안전한 전자정부 첫걸음, 행안부의 HTTPS-ONLY 정책 어떻게 되고 있나

행정안전부, 오는 12월까지 공공기관 웹사이트에 HTTPS 적용하는 정책 검토
HTTP와 달리, 공개 키 기반 구조로 통신 내용 암호화로 패킷 가로채기 등 예방 가능

[보안뉴스 이상우 기자] 행정안전부가 정부부처, 지자체, 공공기관 등 홈페이지를 전수조사하고 공공기관 웹사이트 암호화 계획, 이른바 HTTPS-ONLY 정책을 도입하겠다고 밝힌 지 한 달이 지났다. 사실 행안부가 행정·공공기관 웹사이트에 보안서버 구축과 관련한 가이드를 발표한 것은 지난 2017년이지만, 현재까지 청와대, 보건복지부, 외교부, 국토교통부, 고용노동부, 환경부, 여성가족부 등 주요 기관 및 산하기관 홈페이지 등에는 HTTPS가 적용돼 있지 않다. 이 때문에 관리자의 로그인 시도 시 ID 및 비밀번호가 유출될 가능성이 제기되고 있으며, 이를 통해 정보를 유출하고, 국가기관을 사칭해 피싱이나 악성코드 유포 등 2차적인 공격 역시 가능한 상황이다.

[이미지=utoimage]

우리가 브라우저를 통해 보는 웹 페이지는 대부분 하이퍼텍스트(HTML)라는 언어로 작성된 문서로, 문자뿐만 아니라 다양한 형태의 콘텐츠와 효과를 구현할 수 있는 것이 특징이다. 하이퍼텍스트로 된 문서를 서버와 사용자 PC 사이에 전송하는 규약을 HTTP(하이퍼텍스트 전송 규약)라고 부르며, 이 방식을 통해 서버에 저장된 문서가 웹 브라우저 화면에 표시되고, 웹 브라우저에 입력한 정보가 서버로 전송된다.

문제는 이 과정이 평문으로 된 코드로 이뤄진다는 점이다. 서버와 사용자 사이에 주고받는 정보를 중간에 가로채는, 이른바 패킷 스니핑을 통해 사용자의 ID와 비밀번호, 신용카드 정보 등이 노출될 가능성도 언제나 존재한다. 실제로 미국의 경우 대형 케이블 업체인 컴캐스트가 고객의 데이터를 중간에 가로챈 경우가 있었으며, 케이블 업체뿐만 아니라 인터넷 서비스 제공자(ISP)도 사용자의 인터넷 데이터를 추출해 이를 바탕으로 다양한 마케팅을 진행하기도 했다.

몇 개월 전 국내 한 언론사를 통해 보도된 해킹 시연 역시 이와 같은 맥락이다. 엄밀히 말해 해당 기관의 서버가 직접적으로 공격당한 것은 아니며, 서버와 사용자 PC 사이에 주고받은 데이터를 감청하는 방식의 공격이다. 사용자 PC는 인터넷을 통해 서버와 웹 문서를 주고받는데, 사용자 PC가 연결된 공유기 등을 통해 이 과정에 개입하고 사용자가 전송하는 정보를 중간에서 몰래 가로챈다. 하지만, 서버가 직접 공격당하지 않아도 사용자의 ID와 비밀번호를 알아낼 수 있다는 데 문제가 있다. 만약 이 계정이 관리자 계정이라면, 공격자는 이를 이용해 서버에 랜섬웨어 등 악성 파일을 설치할 수 있는 것은 물론, 다른 사용자의 정보를 유출해 국가기관을 사칭한 스피어피싱 역시 충분히 가능하다.

▲여성가족부 공모사업 업무 시스템 로그인 페이지로, 여가부 페이지와 달리 해당 로그인 페이지는 HTTPS를 적용했다[자료=보안뉴스]

HTTPS는 이러한 전송 과정에 암호화를 더해 외부에서 이를 탈취하더라도 해당 정보를 알 수 없게 하는 기술이다. HTTP에 ‘Secure’를 더했다고 이해하면 된다. 이 기술은 지난 1994년, 넷스케이프에 의해 개발됐으며, 전송 계층 보안(TLS)이라는 통신 규약을 통해 서버와 PC 사이의 통신에서 패킷 감청 및 위조를 방지하는 기술이다. 참고로 과거에는 SSL(보안 소켓 계층)이라는 표현을 사용했으나, SSL 3.0 버전 이후 TLS라는 이름으로 국제표준화가 이뤄졌다. 현재까지 SSL/TLS이라는 명칭을 혼용하고 있으나, 실제 기술 이름은 TLS다.

이 암호 규약을 통해 둘 사이가 연결되면 둘 사이에 주고받는 정보가 공개 키 기반 구조로 암호화되며, 정보를 확인하는 쪽의 ‘개인 키’가 없으면 중간에서 누군가 이를 가로채더라도 정보를 확인할 수 없다.

그렇다면 사용자는 자신이 이용하는 웹사이트가 HTTPS를 적용했는지 어떻게 파악할 수 있을까? 대부분의 웹 브라우저는 안전한 사이트에서 자물쇠가 잠긴 모양을 웹 브라우저 주소창에 보여준다. 반면, HTTPS 미적용 사이트의 경우 크롬, 엣지 등 크로미움 기반 브라우저에서는 암호화 미적용 웹사이트에서 ‘안전하지 않음’ 혹은 ‘주의 요함’이라는 표현으로 알려준다. 파이어폭스의 경우 자물쇠 모양에 빨간 빗금을 그어 표시한다. 해당 아이콘을 누르면 현재 적용한 암호화 통신 규약에 어떤 기관의 인증서를 사용하는지, 쿠키 등 주요 정보는 어떤 것을 수집하는지 확인할 수 있다.

▲파이어폭스에서 암호화 통신 적용 여부를 표시하는 아이콘[자료=보안뉴스]

물론 ‘주의 요함’이라는 표현이 있더라도 무조건 불완전한 사이트라는 의미는 아니다. 가령 웹 서핑 중 앞서 언급한 두 가지 아이콘 외에 ‘느낌표’ 모양의 아이콘이 나타나는 것을 볼 수 있다. 이는 사이트 내 포함된 일부 콘텐츠가 암호화 미적용이라는 의미다. 사이트 내 포함된 배너나 링크 등의 콘텐츠가 HTTPS 미적용 사이트로 연결된다면 이 표시가 나타날 수 있다. 이 때문에 사용자는 주소창에 나타나는 아이콘을 눌러 제대로된 인증기관을 이용하는지, 도메인은 올바른지 등의 정보를 확인하고 ID와 비밀번호 등 주요 정보를 입력하는 것이 바람직하다.

한편, 행안부는 공공기관 웹사이트 3만여 개를 전수조사했으며, 개인정보 취급 여부, SSL 도입 여부, HTTP 주소로 접속할 경우 HTTPS로의 자동 전환조치 여부, 현재 사용하고 있는 해외 인증서 업체와의 계약기간 및 가격 등을 확인해 12월까지 ‘HTTPS–ONLY’ 정책을 검토할 예정이다.
[이상우 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)