“이용자가 웹사이트에 접속할 땐 사이트와 직접 연결되는 것이 아니라 여러 중간 연결지점들을 거치게 된다. 수많은 중간 지점마다 누군가 엿보거나 가로챌 수 있다”
파리사 타브리즈 구글 보안 전문가는 13일 역삼동 구글코리아 사무실에서 ‘인터넷과 보안: Wild Web에서 살아남기’ 제하의 구글 포럼에서 인터넷 웹사이트를 이용할 때 유의해야 할 보안 사항들을 짚고 이에 대한 해법으로 ‘HTTPS’를 제시하며 이같이 말했다.
타브리즈에 따르면 웹의 모든 트래픽들은 보통 암호화를 거치지 않은 텍스트로 전송되기 때문에 해커들이 마음만 먹으면 트래픽을 중간에 가로채서 개인 계정 정보나 대화 내용을 엿볼 수 있다. 타브리즈는 이를 ‘중간자 공격(man in the middle)’이라고 부르며 이에 대처하기 위해선 ‘HTTPS’와 같은 추가적인 보호장치가 필요하다고 강조했다.
HTTPS는 암호화된 연결을 의미한다. 대부분의 웹사이트는 HTTP 프로토콜을 통해 브라우저에서 웹사이트에 연결되는데, HTTPS는 HTTP를 암호화한 것이다. 이용자들은 URL에 HTTP가 아닌 HTTPS가 표시되는 경우 웹사이트 연결이 안전하다는 것을 알 수 있다.
타브리즈는 “HTTPS는 웹사이트의 모든 보안 문제를 해결해주진 않지만 그에 도달하기 위한 중요한 지점”이라며 “이 프로토콜이 존재한지 20년이 넘었지만 아직도 대다수 웹사이트는 HTTPS 기반이 아니며, 대부분의 한국의 웹사이트들도 사정은 마찬가지”라고 지적했다.
이날 구글의 지적에 따르면 국내 대표적 포털 사이트인 네이버나 다음도 완전히 HTTPS 기반이 아니다. 로그인을 하기 전인 포털 메인스크린은 여전히 HTTPS를 지원하지 않기 때문이다. 타브리즈는 “메인스크린은 트래픽이 가장 몰리는 곳”이라면서 “검색광고도 민감한 정보를 지닐 수 있기 때문에 사이트 전체를 HTTPS로 가져갈 필요가 있다”고 지적했다.
구글의 웹브라우저 크롬은 지난달 말부터 일부 웹사이트의 주소창 앞에 '안전하지 않다'는 의미의 느낌표 아이콘을 띄우고 있다. 로그인을 요구하는 웹사이트가 HTTPS 접속을 지원하지 않는 경우다.
이날 타브리즈는 “구글은 강력한 암호화가 웹의 모든 사용자의 안전과 보안을 위한 기초라고 믿는다”며 “모든 제품과 서비스에서 암호화를 지원하기 위해 노력하겠다”고 밝혔다.
![[컬처콕] ‘전원 센터돌’ 스테이씨, 에스파·아이브에 밀리는 이유](https://img.etoday.co.kr/crop/320/200/2047201.jpg)