구글 “HTTPS는 보안 필수요소…모든 웹페이지에 적용해야”
(서울=연합뉴스) 고현실 기자 = 구글은 암호화 접속 방식인 HTTPS 없이 사이트 보안을 담보하기 힘들다며 “모든 웹페이지에 HTTPS 접속을 적용해야 한다”고 주장했다.
구글의 보안 전문가 파리사 타브리즈는 13일 서울 강남구 구글 코리아에서 ‘인터넷과 보안’을 주제로 열린 구글 특별 포럼에서 “어떤 웹사이트도 HTTPS 없이는 보안을 담보할 수 없다”며 “궁극적으로 HTTPS를 적용하지 않은 모든 페이지에는 ‘안전하지 않다(Not Secure)’는 메시지를 표시할 것”이라고 말했다.
HTTPS는 일반 웹페이지 통신 방식인 HTTP보다 보안성을 강화한 프로토콜로, 웹 서버와 브라우저가 주고받는 정보를 암호화한다. 이 때문에 암호화하지 않은 정보를 주고받는 HTTP보다 정보 유출의 위험이 적은 것으로 평가받는다.
그는 “HTTPS가 모든 보안 문제를 해결할 수 없지만, 문제를 해결하기 위한 필수 기반”이라며 “아직 대다수 웹페이지가 HTTPS를 적용하지 않아 단계별로 점진적으로 전환할 수 있도록 지원하고자 한다”고 밝혔다.
하지만 국내 대표 포털 사이트인 네이버와 다음도 메인 화면에는 HTTPS를 적용하지 않고 있다. 이미 공개된 정보만 있는 웹페이지이기 때문에 적용하지 않았다는 게 해당 사이트 측의 해명이다. 네이버와 다음은 로그인과 검색 등 정보를 입력하는 단계부터 HTTPS를 적용하고 있다.
이에 대해 타브리즈는 “네이버의 트래픽이 가장 몰리는 화면이 메인 화면인데 HTTPS를 적용하지 않으면 중간자 공격에 노출될 수 있다”며 “개인정보가 입력되지 않는 데이터라 하더라도 여러 주 동안 누적되면 식별 가능한 정보가 된다”고 지적했다.
HTTPS를 적용하면 접속 속도가 느려지고, 추가 비용이 들어간다는 지적에 대해서는 “다양한 지원 수단이 있다”며 “사용자의 보안을 생각한다면 전체 페이지에 HTTPS를 적용할 필요가 있다”고 재차 강조했다.
구글은 이밖에 안전한 인터넷 사용을 위해 비밀번호를 재사용하거나 공유하지 말고, 공용 컴퓨터에 되도록 로그인을 피해야 한다고 조언했다.
아울러 인증 단계를 추가한 2단계 인증을 사용하고, 소프트웨어나 앱은 신중하게 설치하며 최신 버전의 브라우저를 사용하는 것도 해킹 위험을 줄이는 방법으로 제시했다.
이날 발표자로 나선 타브리즈는 ‘보안 공주'(Security Princess)라는 독특한 직함을 가진 보안 전문가다. 구글 보안팀의 ‘고용된 해커’인 소프트웨어 엔지니어로 시작해 약 10년간 구글에서 정보 보안 업무를 담당하고 있다. 백악관의 디지털 컨설턴트로 활동하며 정부 보안 개선 과제에 참여하기도 했다.