IT

'안전 위해 vs 혼란 초래'..HTTPS 보안 경고 논란

이해인 기자 입력 2017.02.13. 15:29 수정 2017.02.13. 15:33

구글의 웹브라우저 크롬의 'HTTPS' 경고가 논란이 되고 있다.

HTTPS가 적용되지 않은 웹사이트 이용시 안전하지 않다는 '경고'를 띄우면서다.

보안성 강화를 위한 조치지만 구글의 기준으로 전 세계 홈페이지를 판단, 이용자에게 혼란을 줄 수 있다는 지적이다.

구글 크롬에서HTTPS 방식이 적용되지 않은 웹페이지를 열 때 '안전하지 않은 페이지'라는 경고와 느낌표를 띄우는 것.

음성 기사 옵션 조절 레이어
글자 크기 조절 레이어
크롬에서 네이버 '안전하지 않은 페이지' 경고.."HTTPS는 중간자 공격 차단 해법"

[머니투데이 이해인 기자] [크롬에서 네이버 '안전하지 않은 페이지' 경고…"HTTPS는 중간자 공격 차단 해법"]

13일 역삼동 구글코리아에서 진행된 '구글 특별 포럼: 인터넷과 보안- Wild Web에서 살아남기'에서 파리사 타브리즈(Parisa Tabriz) 구글 엔지니어링 디렉터가 인터넷 보안 관련 강연을 하고 있다./ 사진=구글코리아


구글의 웹브라우저 크롬의 'HTTPS' 경고가 논란이 되고 있다. HTTPS가 적용되지 않은 웹사이트 이용시 안전하지 않다는 '경고'를 띄우면서다. 보안성 강화를 위한 조치지만 구글의 기준으로 전 세계 홈페이지를 판단, 이용자에게 혼란을 줄 수 있다는 지적이다.

구글코리아는 13일 서울 역삼동 사옥에서 파리사 타브리즈 구글 본사 엔지니어링 디렉터를 초청해 '인터넷과 보안' 특별 포럼을 진행했다. 이 포럼에서 타브리즈 엔지니어링 디렉터는 HTTPS 통신 방식의 장점을 재차 강조했다.

타브리즈 엔지니어링 디렉터는 "(HTTP기반) 인터넷은 추가 보호장치 없이 중간자 공격을 완전히 막을 수 없다"며 "TLS 표준 암호화 방식으로 접속을 수행하는 HTTPS가 해법"이라고 밝혔다.

HTTPS는 이용자 PC의 웹브라우저와 웹 서버가 주고 받는 데이터를 암호화해 전송하는 것이 특징이다. 기존 시스템인 HTTP 대비 보안성이 높아 최근 적용 사례가 많아지고 있다. 구글도 보안성 강화를 위해 크롬 브라우저와 웹 서버 사이 통신 방식을 HTTPS로 변경했다.

그러나 구글이 HTTPS 방식을 강요하면서 최근 논란이 일고 있다. 구글 크롬에서HTTPS 방식이 적용되지 않은 웹페이지를 열 때 '안전하지 않은 페이지'라는 경고와 느낌표를 띄우는 것. 관련 업계에서는 모든 웹페이지가 개인정보를 포함하고 있지 않은 만큼 이 같은 조치를 과도하다는 지적이다.

네이버 홈페이지가 대표적인 예로 꼽힌다. 네이버는 개인정보가 포함된 로그인 페이지와 이용정보가 포함된 검색화면에는 HTTPS를 적용했다. 다만 개인 정보 유출 가능성이 낮은 메인 페이지는 HTTP 방식을 유지하고 있다. 이 때문에 크롬에서 네이버 메인페이지에 접속하면 '안전하지 않은 페이지'라는 경고 문구가 뜬다.

네이버는 구글의 이번 조치로 메인페이지 역시 HTTPS 방식을 검토하고 있다. 이용자에 혼란을 줄 수 있다는 판단에서다. 인터넷서비스에서 보안과 개인정보 이슈가 민감하게 다뤄지는 만큼 논란이 커지기 전에 조치를 취하겠다는 것.

크롬의 HTTPS 보안 경고 시스템이 중소 업체들의 진입을 막는다는 의견도 있다. HTTPS 방식을 적용하기 위해서는 비용을 내고 인증을 받아야 한다. 인증에 추가 비용 지불이 어려운 중소 업체들은 처음부터 홈페이지에 '안전하지 않은 페이지'라는 낙인이 찍힌다는 것. 관련 업계에 따르면 네이버가 HTTPS 방식 적용을 위해 들인 비용은 1억원 가량으로 알려졌다.

업계의 한 관계자는 "모든 페이지에서 개인정보 유출 가능성이 있는 건 아니다"라며 "HTTPS가 글로벌 웹 표준도 아닌데 구글이 관련 업계와 협의도 하지 않은 채 과도한 조치를 내려 이용자에 혼란을 주고 있다"고 꼬집었다.

이 같은 논란에도 구글 측은 방침을 바꾸지 않을 계획이다. 네이버에 대해서도 메인페이지에 HTTPS 방식을 적용해야 된다는 입장을 전했다. 타브리즈 엔지니어링 디렉터는 "검색 페이지나 로그인 페이지에 HTTPS를 적용한 것은 바람직하다"면서도 "메인페이지의 경우 조작된 페이지를 띄워 이용자의 개인정보를 빼갈 수도 있는데 메인페이지에 HTTPS 방식을 적용하지 않은 이유를 모르겠다"고 말했다.

이해인 기자 hilee@mt.co.kr