클라우드 응용 프로그램과 디지털 콘텐츠, 그리고 수많은 데이터를 사물과 이어주는 IoT 장치의 확산에 따라 우리는 디지털과 현실 모든 부분에서 급속한 변화를 경험하게 됐다. 기업들은 이러한 변화 요구와 시장 트렌드에 따라 자사의 핵심 서비스를 클라우드 형태로 이전시키게 됐고, 온라인과 무관한 산업에 종사하는 기업들까지도 디지털 콘텐츠 생성에 열을 올리게 됐다.
이러한 기술의 진보는 놀라울 정도로 높은 접근성과 편의성 이면의 또 다른 문제를 야기시켰다. 클라우드 환경의 취약점을 이용한 지능적이고 고도화된 보안 위협에 조금씩 노출되기 시작하면서 결국 대규모 복잡한 보안 문제에 직면하는 결과를 초래했다. 이제 기업들에 있어 보안은 선택이 아닌 필수의 문제로 대두된 것이다.
SSL 적용 사이트, 크롬 75%…안드로이드 50%
SSL은 이러한 추세와 함께 발전해왔다. 클라우드 환경에서 정보 자산을 안전하게 보호하기 위해 암호화 기술의 중요성이 부각되기 시작했고, 데이터 암호화를 통해 웹 브라우저와 웹 서버 간의 데이터 전송을 안전하게 해주는 SSL에 대한 의존도가 높아진 것은 당연한 결과이다.
현재 구글 크롬 브라우저에서는 웹 페이지의 75%가 SSL이 적용된 https로 로드 되고 있으며, 안드로이드에서는 50%에 달하는 페이지들이 https로 로드되고 있다.
여기서 주목할 점은, 구글과 같은 세계적인 기업에서 개인정보 보호와 웹 서비스 속도 향상이라는 명분을 세워 각 브라우저 상에서 SSL 보안 프로토콜을 의무화하며 SSL 확산을 추진하고 있다는 것이다.
구글은 이 같은 정책을 확산시키기 위해 올해부터 SSL이 적용된 사이트가 아니면 크롬 브라우저 상에서 ‘안전하지 않음(Not Secure)’이라고 표시하고, SSL이 적용돼 있다면 ‘안전함(Secure)’이라고 표기하는 정책을 시행하고 있다. 기업은 이제 사람들의 자사에 대한 신뢰를 잃지 않도록 하기위해 SSL을 의무화해야 하는 압박에 직면하게 된 것이다.
SSL 적용안하면 ‘안전하지 않음’ 경고
구글의 ‘안전함’표기 정책에 따라 자연스럽게 기업들의 SSL수요가 커지게 됐으며, 저가형 혹은 트라이얼 버전으로 배포되는 DV SSL 인증서가 주목 받기 시작했다. 이러한 인증서는 무료 혹은 적은 비용으로 사용할 수 있으며, 명확한 심사 절차 없이 쉽게 발급된다는 편의성으로 인해 많은 개인과 기업들이 선호하게 됐다.
OV SSL이나 EV SSL과 같이 보안 강도가 높고 기업의 실체성을 인증하는 절차를 통해 발급되는 인증서보다 낮은 보안 단계의 DV SSL을 많이 사용한다는 것은 기업들이 보안 그 자체의 문제보다는 단순히 신뢰 있는 기업의 이미지 유지 차원에서 비용 절감을 더욱 중히 여긴다는 뜻으로 풀이된다.
실제로 세계적으로 DV SSL의 수요가 지난 해 보다 335%가 증가했다는 넷크래프트의 조사 결과가 이 같은 주장을 뒷받침해주고 있다. 넷크래프트에 따르면 2017년 적용된 DV SSL은 1934만4017건이다.
저가·무료 SSL 인증서로 피싱 사이트 제작
구글의 SSL에 대한 정책적 지원과 저가형 SSL 인증서 확산에 따라 자연스럽게 사람들에게SSL은 안전한 보안 기술이라는 인식을 심어주게 됐다. 명확한 절차와 인증을 거친 인증서인가에 대한 검증 없이 SSL만 적용하면 안전한 사이트가 된다는 인식이 특별히 보안에 대한 지식이 없는 개인과 기업들 사이에서 사실처럼 받아들여지게 됐다.
아이러니하게도 안전한 정보 보호를 추구하기 위해 SSL을 확산시킨다는 명분으로 도입한 구글의 브라우저 표기 정책이 피싱 사이트를 증가시키는 결과를 초래했다.
넷크래프트에 따르면, 크롬의 ‘안전함’표기 정책 시행 이후, 피싱 사이트들이 무료·저가형인증서를 사이트에 적용해 ‘안전함’ 표기를 미끼로 피싱에 성공한 사례가 증가하고 있다. 크롬 브라우저에서는 어떠한 SSL인증서인지 여부와 상관없이 인증서만 적용돼 있으면 사이트 접속 시 기본적으로 ‘안전함(Secure)’이라고 표기된다. 일반 사용자의 입장에서는 인증서가 정상 설치된 사이트에 대해서 직관적으로 안전하다고 인식하게 되는 것이다.
각 개인이 스스로 주의 하지 않으면 진짜 웹사이트와 유사한 URL로 구성한 가짜 웹사이트가 피싱 사이트인지의 여부를 확인하기 어렵기 때문이다. 피싱 사이트는 이점을 악용해 손쉽게 발급되는 DV SSL인증서를 발급 받아 불법 웹사이트의 안전성을 확보해 더욱 속이기 쉽게 사이트를 위장하고 있고,이 같은 불법 행위들은 제법 성공하고 있는 것으로 보인다.
“‘안전함’ 표기 믿을 수 없어”
브라우저 기술표준 협의체(CAB Forum)는 지난 달 이 같은 SSL에 대한 크롬 표기 정책을 문제 삼았다. 사용자에게 막연한 정보를 제공하는 것이 아니라 인증서 유형별로 명확하게 정의된 보안 정보를 제공해 혼란을 막아야 하며, 사용자에게 인증서의 유형 별 차이점과 각 브라우저 별 표기 방식에 대한 교육이 필요하다는 사실을 강조했다. ‘안전함’이라는 단어의 의미 자체가 사람들이 방심하기 쉽게 하기 때문이다.
SSL은 암호화 기술을 통해 웹 사이트의 ‘필수’ 요소로 자리잡고 있고 여러 웹사이트의 보안에 지대한 영향을 주고 있지만, 중요한 것은 이를 사용하는 주체들이 SSL이 악용되거나 위협 받지 않고 제대로 된 역할을 수행할 수 있도록 실천 방안을 모색하고 확산시켜야 한다.
브라우저 기술표준 협의체에서 언급한 바와 같이 피싱에 악용되는 DV SSL에 대해서 브라우저 상에 ‘안전함’이라는 표기를 사용하는 대신 사용자가 좀 더 신중하고 객관적으로 판단할 수 있게 하는 암호화된 사이트, 보안된 사이트 등 좀 더 사실적이고 전문적인 명칭을 사용해야 한다.
다음으로 피싱 사이트와 진짜 사이트를 구분하기 위해 실제의 도메인 주소만 진하게 표기해 사용자가 올바른 URL로 접근했는지의 여부를 즉시 파악할 수 있도록 해야 한다다. 실제로 파이어폭스 브라우저에서는 이 같이 직관적으로 파악이 가능하도록 실제 URL을 진하게 표기해 피싱을 예방하고 있다.
EV 인증서, 기업 신뢰 제고에도 도움
더불어 SSL을 사용하는 각 기업에서 별도 심사 없이 발급되는 저가형 DV SSL 사용을 지양하고, 웹사이트의 실체성과 회사명을 브라우저 상에 명확히 표기해주는 EV SSL을 사용해 고객의 혼선을 방지하도록 돕는 것이 바람직하다. EV SSL을 적용하면 단순히 ‘안전함’이라고 표기되는 것이 아니라 인증된 기업명이 표기되기 때문에 이는 기업 신뢰에도 좋은 영향을 줄 수 있다.
무엇보다 중요한 것은 각 기업과 개인의 보안에 대한 인식이다. 지난 시간의 여러 사례들이 입증해주듯이 DDoS공격, 랜섬웨어 등 웹에 대한 공격은 점점 고도화되고 지능화 되고 있다는 이야기는 이론이 아니라 우리 주변에 실제로 매일 일어나고 있는 현실이다.
이러한 현실에도 불구하고 여전히 개인정보보호에 책임이 있는 사이트들이 보안에 대해 미흡한 대비를 하고 있고, 각 개인들도 이에 대한 무지 속에서 무분별하게 서비스를 이용하고 있다는 점은 우려할 만한 일이다.
4차 산업혁명의 시대에서 기술만이 강조되는 듯 보이지만, 기술의 진보와 함께 우리가 진정으로 강화해야 할 것은 기술을 사용하는 인간의 책임과 태도일 것이다. 진보된 기술을 개발하고 공급하는 기업들의 올바른 정책과 함께 기술의 혜택을 누리는 각 개인의 책임 있는 태도가 병행될 때 진정으로 안전한 인터넷 세상의 가치가 더해질 것이다.
