금융·증권
부동산
산업·IT
경제
정치
사회
국제
라이프
오피니언
기획·연재
fnEdition
IT 정보통신

구글이 HTTPS 보안 강조하는 속내는?

서영준 기자

파이낸셜뉴스

입력 2017.02.20 10:35

수정 2017.02.20 10:35
보안형 브라우저 이미지 선도...자회사 돈벌이는 '덤'
#직장인 박씨(33세)는 최근 구글의 인터넷 탐색기 크롬을 통해 네이버에 접속했다가 웹사이트 주소 앞에 '안전하지 않음'이라는 메세지를 보고 불안해졌다. 혹여 컴퓨터에 악성코드라도 감염된 것이 아닌지 걱정이 된 것이다.
최근 구글이 크롬을 통해 연결하는 웹사이트가 보안기술인 HTTPS를 적용하지 않았을 경우 '안전하지 않다'는 경고 메시지를 무차별적으로 내보내면서 국내 인터넷 이용자들의 불안이 확산되고 있다. 구글의 정책으로 인해 한국인들이 가장 많이 사용하는 네이버, 다음 등 대형 포털은 물론 각 정부 홈페이지와 금융사 홈페이지들이 졸지에 '안전하지 않은' 사이트로 전락했다.

이에 대해 전문가들은 "HTTPS가 보안이 강화된 규격이기는 하지만, HTTPS를 적용하지 않은 사이트가 모두 안전하지 않거나, HTTPS를 적용한 사이트라고 모두 안전하다고 진단하기는 어렵다"고 문제를 제기하고 있다. 이 때문에 구글이 국내 대표 사이트를 안전하지 않은 사이트로 매도하면 HTTPS 사용을 강요하는 속내에 관심이 집중되고 있다.


20일 관련업계에 따르면 크롬을 통해 '안전하지 않음'이라는 경고 메시지를 받는 사이트는 국내 대표 포털인 네이버와 다음 뿐 아니라 청와대, 미래창조과학부 등 각종 정부사이트와 금융사의 사이트들이 대거 포함돼 있는 것으로 나타났다.

■HTTPS 앞세워 구글 보안 선도 이미지 제고?
구글은 HTTPS 만이 중간자공격으로부터 자유로울 수 있는 유일한 해법이라고 강조하고 있다. 중간자공격이란 통신을 하고 있는 두 당사자 사이에 끼어들어 당사자들이 교환하는 공개정보를 도청을 하거나 통신 내용을 바꾸는 수법을 의미한다. 구글 파리사 타브리즈 엔지니어링 디렉터는 "추가적인 보호장치 없이는 어떤 브라우저나 웹사이트도 중간자공격에서 안전하지 않다"며 "중간자공격을 막을 수 있는 해법이 HTTPS이다"고 말했다.

그러나 이같은 보안 이미지 강조의 이면에는 추락한 기업 이미지를 회복하기 위한 것 아니냐는 분석이 제기되고 있다. 구글은 지난 2013년 발생한 스노든 사태 당시 미국 국가 안보국(NSA)으로부터 개인정보를 탈취당한 인터넷 기업 가운데 한 곳으로 유력하게 거론됐다. 스노든이 공개한 문건에 의하면 NSA는 2007년부터 개인전자정보 수집 프로그램인 프리즘을 통해 미국 주요 인터넷 기업 9곳의 서버에 접속하거나 해저광케이블에서 전자신호를 가로채는 수법으로 일반 시민들의 개인정보를 대규모로 수집했다. 앞서 언급된 중간자공격으로 구글이 피해를 본 셈이다.

보안업계에서는 HTTPS가 보안적으로 개선된 방향이라는 점은 그러나 HTTPS가 만병통치약은 아니라는 것에 입을 모은다. HTTPS 역시 중간자공격으로부터 완벽하게 자유로울 수 없다는 것이다.

구글 파리사 타브리즈 엔지니어링 디렉터가 13일 서울 역삼동 구글코리아에서 진행된 구글 특별 포럼에서 강연을 진행하고 있다.
구글 파리사 타브리즈 엔지니어링 디렉터가 13일 서울 역삼동 구글코리아에서 진행된 구글 특별 포럼에서 강연을 진행하고 있다.

■HTTPS와 SSL로 수익화
구글의 HTTPS 마케팅에 숨은 또 다른 속내는 새로운 먹거리 창출이라는 분석도 제기되고 있다. 인터넷 기업이 HTTPS 암호화를 위해서는 SSL 인증을 받는 것이 필수다. SSL 인증은 웹사이트의 위변조 여부를 확인해 실제 공식 웹사이트가 맞는지 확인해 주는 역할을 한다. 현재 전 세계적으로 SSL 인증서를 발급하는 기관은 600여개 이상으로 집계되고 있다. 통상 3자 인증을 통해 SSL 인증을 진행하며, 구글을 비롯한 주요 브라우저는 신뢰성이 높은 기관에서 발급하는 SSL 인증서를 신뢰한다.

최근 구글은 세계적으로 신뢰도가 높은 SSL 인증서 발급 기관인 R2와 R4를 인수했다. 구글이 자체적으로 SSL 인증에 나서면서 HTTPS를 통해 새로운 수익을 올릴 수 있는 기반을 마련한 것이다. 네이버의 경우 메인 화면을 제외하고 HTTPS를 적용하는데 비용이 약 1억원이 소요된 것으로 알려지고 있다.

구글도 이러한 의도를 굳이 숨기고 있지 않다.
지난 13일 방한한 타브리즈 디렉터는 "HTTPS의 비용 부담을 해결 하기 위해 한국에 와서 웹사이트를 만나는 이유"라며 "이용자 입장에서 인터넷 보안을 생각하면 웹사이트가 최소한 수준으로 갖춰야 하는 것이 HTTPS이다"라고 했다.

한편, 구글은 향후 안전한 인터넷 탐색 환경 조성이라는 목표 아래 크롬의 보안을 강화해 나갈 예정이다.
이를 위해 현재 '안전하지 않음'이라는 메세지에 더해 붉은 색으로 위험을 알리는 표시를 적용할 방침이다.

syj@fnnews.com 서영준 기자

※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지

fnSurvey