기본적인 사이버권리로서 HTTPS 사용하고, 요구하자

웹 데이터의 무결성·보안성, 미래 인터넷 준비 위해 HTTPS 필수로 사용해야

[보안뉴스= 박형근 시큐리티플러스 대표] 누군가 어떤 모르는 사람이, 내가 어떤 병명에 대해서 알아보는지, 어떤 금융 상품에 대해 관심이 있는지, 또 어떤 상품들에 관심이 있는지, 그리고 어떤 공공 서비스를 활용하는지 계속 엿보고 있다면 어떤 기분이 들까? 그다지 유쾌하진 않을 것이다.

대한민국의 헌법 제17조, “모든 국민은 사생활의 비밀과 자유를 침해 받지 아니한다”라는 법적 조항을 굳이 인용하지 않더라도 사생활 보호와 존중은 기본적인 통념으로써 인정된다. 그러나 사이버 세상에서는 어떨까?

날마다 인터넷 검색을 위해 사용하는 주소의 첫머리는 대개 ‘http://’ 라는 키워드로 시작된다. 이는 서비스 제공자와 내가 중간의 누구라도 서로 주고받는 내용을 엿볼 수 있는 암호화되지 않은 통신을 사용한다는 의미다.

이러한 공개된 통신을 통해서 개인의 사생활 보호가 침해될 뿐만 아니라, 네트워크 중간에서 조작과 해킹 공격(이것을 흔히 MITM – Man In The Middle Attack, 중간자 공격이라고 한다)을 통해 입력된 내용이 조작되거나, 조작된 내용에 노출되거나 하는 등의 다양한 위험 속에 있게 된다.

이에 따라 개인 사생활 보호, 웹 데이터에 대한 무결성 보장과 보안성의 이유로 전 세계적으로 기본적으로 암호화 통신을 하자는 ‘HTTPS-Only Standard’ 운동이 거세다. 특히, 페이스북과 구글로 대표되는 새로운 인터넷 서비스 업체들은 기본적인 보안요소로써 HTTPS를 사용하고 있으며, 공공 서비스 부문에 있어서도 2015년 6월 8일 미국 행정부에서는 전 공공 서비스에서 HTTPS 서비스를 표준화할 것을 공표함에 따라 더욱 가속화되고 있다.

이러한 영향으로 HTTPS 서비스함에 있어서 필수적인 공용인증서 서비스에 있어서도 오픈소스 운동을 불러와서 무료 공인인증서 서비스인 Let’s Encrypt는 서비스 개시 16개월 만에 2천4백만 웹사이트에서 HTTPS 서비스를 위해 사용될 정도로 폭발적이었다. 또한, 아마존과 같은 클라우드 서비스 제공업체들은 고객들에게 무료로 공인인증 서비스를 제공하는 등 HTTPS-Only 채택을 확산시키기 위한 다양한 지원이 제시되었다.

이러한 전 세계적인 인식 변화에 발맞춰 W3C 월드와이드웹 컨소시엄에서는 RFC7230에서 HTTPS의 중요성으로 기본적으로 사용을 장려하기 위해 HTTP 프로토콜의 의미를 ‘https://’ 라고 재정의하고 있다. 또한, 구글을 필두로 한 다양한 개발자 그룹에서 미래 API 혹은 웹 생태계 플랫폼으로써 기본적으로 HTTPS-Only를 적극 검토 및 반영하고 있다.

다시 말해 현재 HTTPS-Only 는 단지 현재의 개인 사생활 보호, 웹 데이터에 대한 무결성 보장과 보안성 때문뿐만 아니라 차세대 웹의 미래로써 먼저 채택하고 적용해야 할 기술요소라고 할 수 있다.

이러한 HTTPS의 중요성에도 불구하고, 국내 웹사이트의 도입률은 매우 저조하다. 인터넷 뱅킹을 포함하여 온라인 금융 거래를 중심으로 HTTPS를 도입한 것이 전부다. 이제는 개인의 관점에서도, 기업의 관점에서도 사이버상의 사생활 보호라는 측면은 물론 웹데이터에 대한 무결성과 보안성을 위해, 그리고 미래 인터넷을 준비하는 차원에서라도 기본적으로 HTTPS를 사용해야 할 시점이다. 웹과 웹서비스 보안을 위해 해야 할 일은 많지만, 우선 이것부터 차근차근 시작하자.
[글_ 박형근 비영리 보안단체 시큐리티플러스(SecurityPlus) 대표
(securityplus@securityplus.or.kr)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)