[보안칼럼]https의 s는 단순 알파벳이 아니다

인터넷 사용자라면 누구나 브라우저 주소창에서 ‘HTTP’나 ‘HTTPS’와 같은 문자열을 볼 수 있다. 얼핏 보면 단지 알파벳 ‘S’ 차이로 여겨진다.

HTTP는 하이퍼텍스트 트랜스퍼 프로토콜(Hypertext Transfer Protocol)의 줄임말로 인터넷의 근간이 되는 커뮤니케이션 프로토콜이다. 웹브라우저의 주소창에 방문을 원하는 URL을 입력하면 HTTP 명령이 관련 웹서버로 전달돼 요청된 특정 웹페이지가 보인다.

HTTP 프로토콜은 1991년에 처음으로 문서화가 이뤄졌다. 프로토콜 연구가 지속됨에 따라 인터넷 커뮤니케이션에서 보안의 중요성 인식이 점점 높아졌으며 이를 배경으로 HTTPS로 알려진 하이퍼텍스트 트랜스퍼 프로토콜 시큐어(Hypertext Transfer Protocol Secure)가 탄생했다.

기술적으로 HTTPS는 실질적인 프로토콜이 아니다. 실제로 이것은 SSL·TLS 프로토콜 위에 레이어드된 HTTP다. 시큐어 소켓 레이어(Secure Sockets Layer)를 나타내는 SSL은 TLS(트랜스포트 레이어 시큐리티:Transport Layer Security)와 함께 인터넷 트래픽을 보호하기 위해 만들어진 암호화 프로토콜이다. SSL과 TLS는 공개키와 비밀키를 이용해 세션 키를 교환하고, 이 세션키로 클라이언트와 서버 간 통신을 암호화한다. TLS와 SSL은 커뮤니케이션 상대방에 대한 인증과 키 교환을 위해 X.509 인증서를 사용한다.

클라이언트와 서버 사이의 커뮤니케이션을 양방향으로 암호화하면 비밀을 캐려는 해커들로부터 데이터를 보호할 수 있다. 이는 커뮤니케이션이 이뤄지는 쌍방의 중간에 끼어들어 커뮤니케이션을 가로채고 조작된 트래픽을 주입하는 ‘맨 인 더 미들(man-in-the-middle)’ 공격 시도를 방지해 준다.

아직까지 웹상의 많은 사이트는 다양한 이유로 인해 HTTPS 대신 HTTP를 사용한다. 주요 이유 중 하나는 HTTPS가 웹사이트를 느리게 만들 수 있다는 것이다. 연초 발생한 카드사 개인 신용정보 유출 사태에서 볼 수 있듯이 상당수 금융권과 카드사들은 업무 효용성이 떨어진다는 이유로 암호화를 꺼리고 있는 상황이다.

하지만 HTTPS를 사용하는 것이 웹 사이트를 더 빠르게 해 주지는 않겠지만 이는 다양한 방법으로 극복될 수 있다.

이 프로세스의 최종 결과는 해커들이나 정부기관의 눈으로부터 데이터를 보호하기 위한 레이어의 추가다. 지난 몇 년 동안 구글이나 야후 같은 기업은 개인정보보호라는 목표에 따라 암호화 및 HTTPS 사용을 확대해 왔다.

또 같은 이유로 전자프런티어재단(EFF)과 토르(TOR) 프로젝트가 HTTPS 사용 확산을 위해 구글 크롬과 모질라 파이어폭스 브라우저 사용자에게 ‘HTTPS Everywhere’라고 불리는 플러그인을 제공하고 있다.

이것은 단순한 문자에 의해 설명되는 것과는 완전히 다른 것을 의미한다. HTTPS에서 ‘S’는 단순한 알파벳 이상이다. 이는 인터넷상 개인정보 보호와 개인정보 노출의 경계선인 것이다.

최근 잇따른 개인정보 유출 사고로 해당 기업의 최고경영자(CEO)들이 고개를 숙이고 있다. 이들이 사전에 최고보안책임자(CISO) 또는 최고정보책임자(CIO)를 통해 이 같은 ‘S’의 의미를 되새겨 봤더라면 좋았을 것 같다.

금석현 체크포인트코리아 지사장 keum@checkpoint.com