[취재수첩] 구글의 HTTPS, 보안 지키는 만병통치약 아니다
2017년 2월 16일 (목)
ⓒ 디지털데일리, 최민지 cmj@ddaily.co.kr
최근 구글이 웹 브라우저 ‘크롬’에 적용한 보안정책을 두고 말들이 많다. HTTPS를 적용하지 않은 모든 웹사이트에 대해 안전하지 않다고 표기하겠다는 것이다.
궁극적으로 데이터를 암호화 전송하는 HTTPS의 방향성에 보안업계도 동의를 표하고 있다. 통신구간을 암호화하고 웹사이트 진위여부 확인에 필요한 방식이기 때문이다. 하지만, 결론적으로 HTTPS 보안정책에 대한 구글의 태도에 국내 상당수 웹사이트들은 불만을 나타내고 있다.
구글은 공식적인 간담회를 통해 HTTP 기반 사이트는 중간자가 데이터를 탈취·조작할 수 있는 위험에 놓여있어 모든 웹페이지가 HTTPS를 적용해야 한다고 주장했다. 사용자 보안을 생각했을 때 최소 수준이 HTTPS이기 때문에 HTTP 웹사이트에 대해 적극 경고하겠다는 방침이다.
HTTPS가 정말 웹사이트 보안의 만병통치약인지 보안업계 전문가들에게 물었다. 대답은 “아니다”였다. 구글이 밝힌 중간자 공격에서 HTTPS도 자유로울 수 없다. 실제 HTTPS 취약점을 악용한 중간자 공격 사례도 발견되고 있다. HTTPS를 HTTP로 만들어 데이터를 가로채거나, 또는 HTTPS 자체 보안 취약점을 활용하는 방식이다.
HTTPS는 연결을 안전하게 유지하도록 SSL 또는 TLS 암호화를 사용하는데, 오히려 이 부분이 취약점을 높이게 할 수도 있다는 지적도 제기된다. 공격자들이 악성코드를 숨기거나 SSL 세션을 통해 내부로 진입할 수 있다는 것. 이미 암호화된 상태라 보안장비에서 쉽게 막기도 어렵다.
또, 구글에서 HTTPS를 적용한 웹페이지를 안전하다고 확인했을 때 실제로 정말 안전한지는 그 누구도 장담할 수 없다. 해커들이 신뢰할 수 있는 사이트에 악성코드를 심는 일은 다반사다. 일단, 악성코드에 감염되면 HTTPS가 그 부분까지 막아줄 수 없다. 무용지물인 셈이다.
HTTPS가 기존보다 보안적으로 개선된 방향인 것은 사실이다. 하지만, 구글이 강조하는 바처럼 보안의 만병통치약이 아니다. 구글의 마케팅 방식이 오히려 보안의 구멍을 낼 수 있다는 우려를 지울 수 없는 부분이다.
일각에서는 구글이 HTTPS 암호화 통신에 쓰는 SSL 인증시장에 본격 진입하기 위한 술수가 아니냐는 의혹도 내비친다. 이렇게까지 HTTPS를 강조하고 나설 이유가 없다는 것이다. 아직은 지켜봐야 할 수준으로 생각된다. 웹 브라우저부터 운영체제 등 인터넷 기반을 장악하고 있는 구글이 인증시장까지 뛰어들게 되면 공정성 문제는 수면 위에 오를 수밖에 없다.
구글의 속내가 새로운 먹거리 창출이든, 고객의 정보보호 실현이든 “이것만 있으면 당신의 정보는 안전하다”는 식의 마케팅 방식은 위험하다. 100% 안전한 보안은 없다.
※ 본 내용은 (주)디지털데일리(http://www.ddaily.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
[원문출처 : http://www.ddaily.co.kr/news/article.html?no=152874]
번호 | 제목 | 조회수 | 작성 |
---|---|---|---|
공지 | [Open UP 활용가이드] 공개SW 활용 및 개발, 창업, 교육 "Open UP을 활용하세요" | 392739 | 2020-10-27 |
공지 | [Open UP 소개] 공개SW 개발·공유·활용 원스톱 지원 Open UP이 함께합니다 | 382531 | 2020-10-27 |
6352 | [해외소식] 미국 GSA 감사원 "18F, IT 행정 규정 및 사이버보안법 위반" | 4671 | 2017-02-22 |
6351 | "오픈소스가 기업 혁신의 차세대 동력" | 3997 | 2017-02-22 |
6350 | [해외소식] MS, 클라우드 기반 생물학연구툴 'BMA' 오픈소스로 공개 | 4283 | 2017-02-22 |
6349 | [주간 OSS 동향 리포트] 리누스 토발즈, 리눅스 커널 4.10 공개 | 4259 | 2017-02-22 |
6348 | [해외소식] 리눅스 커널 4.10 공개 | 3997 | 2017-02-21 |
6347 | [해외소식] 야후, 빅데이터 클러스터용 분산 딥러닝 텐서플로온스파크(TFoS) 오픈소스로 공개 | 4331 | 2017-02-21 |
6346 | 글로벌 IoT 표준, 한국 목소리 키운다…OCF 국가지부로 첫 출범 | 3868 | 2017-02-21 |
6345 | 엔시큐어 블랙덕 허브, 오픈소스 자동식별… 보안 취약점 실시간 관리 | 4855 | 2017-02-21 |
6344 | 한국 호스팅회사의 오픈스택 클라우드 도전장 | 4429 | 2017-02-21 |
6343 | [취재수첩] 구글의 HTTPS, 보안 지키는 만병통치약 아니다 | 3734 | 2017-02-21 |
0개 댓글