구글 "HTTPS 없이 보안 담보 안돼…네이버·다음도 해당"

파리사 타브리즈 구글 디렉터 "HTTP 기반 사이트 데이터 탈취나 조작 위험"
"HTTP 기반 사이트 대상 '안전하지않음' 표시해 HTTPS로 전환 유도"

파리사 타브리즈 구글 엔지니어링 디렉터가 13일 서울 강남구 역삼동 본사에서 개최한 '인터넷과 보안' 포럼에서 HTTPS에 대해 설명하고 있다.

[아시아경제 한진주 기자] 구글이 HTTPS를 지원하는 웹사이트들이 확대돼야 한다고 목소리를 높였다. 국내에서는 네이버와 다음의 첫 화면에서 HTTPS가 작동되지 않아 개선이 필요하다는 지적이다.

13일 구글코리아가 서울 강남구 역삼동 본사에서 개최한 '인터넷과 보안' 포럼에서 파리사 타브리즈 구글 엔지니어링 디렉터는 "대다수 웹사이트들은 HTTPS 기반이 아니며, 한국에서는 네이버와 다음도 포함돼있다"며 "현 구조상 HTTPS 없이 보안이나 프라이버시 보호가 담보될 수 없다"고 지적했다.

HTTP는 브라우저에서 웹사이트에 연결하기 위해 사용하는 기술적인 수단을 말한다. HTTPS는 암호화된 HTTP 연결을 뜻한다. HTTPS는 사용자의 보안과 개인정보를 지켜주는 역할을 한다. 구글은 자체 웹브라우저 크롬에서 HTTPS가 작동되는 웹사이트에서는 녹색 자물쇠 마크를 보여준다.

구글은 웹브라우저나 앱이 웹사이트에 안전하게 연결되려면, 정보 가로채기를 막는 것이 중요하다고 강조한다. 그 수단이 바로 HTTPS다. HTTPS는 정보 가로채기를 저지하고, 발신·수신정보에 대한 무결성을 보장한다.

파리사 타브리즈는 "여전히 대다수 웹페이지들이 HTTP에 기반을 두고 있기 때문에 점진적으로 전환할 수 있도록 도움을 주고자 한다"며 "패스워드나 신용카드 정보를 입력하는 사이트에 대해 '안전하지 않음'이라고 표시하기 시작한 것도 그 일환이며, 궁극적으로 몇 년이 걸리겠지만 모든 HTTP 페이지에 안전에 대해 표시하면서 HTTPS로 전환하도록 유도할 것"이라고 말했다.

최근 구글이 발표한 투명성보고서에 따르면 국내 주요 포털인 네이버와 다음에서는 HTTPS가 작동되지 않는다. 네이버와 다음은 첫 화면 이외에 로그인과 검색 등 정보를 입력하는 단계부터 HTTPS를 적용하고 있다. 페이스북이나 인스타그램, 빙 등은 HTTPS를 적용하는 웹사이트로 분류돼있다.

파리사 타브리즈 디렉터는 "네이버의 메인 화면이 HTTP 기반인데 메인화면에서 트래픽이 가장 많이 몰린다"며 "HTTP 기반으로 된 사이트의 경우 중간자가 데이터 탈취나 조작, 로깅할 수 있는 위험이 있으며 네이버에서 검색하게 되면 그 정보도 노출될 수 있다"고 설명했다.

이어 "검색정보 하나만으로 특정 이용자를 식별할 수 없지만 대량으로 누적될 경우, 몇 주간 A라는 사람에게서 발생된 트래픽 정보를 조합하면 해당 개인으로 식별 가능하다"며 "최근 진행된 연구들을 살펴보면 사람들의 정보 조각이 쌓이면 이름이나 주소가 없더라도 식별 가능하다는 결론이었다"고 말했다.

상당수 기업들은 HTTPS에 대해 여전히 오해하고 있다고 지적하기도 했다. 은행이 아닌 기업의 웹사이트에서 HTTPS가 필요없다고 판단하거나 HTTPS 보안 인증을 받는 것이 비싸다는 인식 등을 그 사례로 들었다.

파리사 타브리즈 디렉터는 "최근 2~3년간 인증을 받는 비용을 거의 무료로 해주는 업체들의 비중도 높아지고 있다"며 "HTTPS로 이전하면 사이트 속도가 느려지고 복잡해질 것이라는 인식이 있지만 그렇지 않으며 이용자들의 보안을 생각한다면 최소 수준으로 갖춰야 하는 부분이 HTTPS"라고 말했다.