파리사 타브리즈 구글 엔지니어링 디렉터 “HTTPS 이제 선택이 아닌 필수”
구글이 ‘인터넷과 보안 – 와일드 웹에서 살아남기’라는 주제로 13일 구글코리아 회의실에서 특별 포럼을 진행했다. 이번 포럼은 파리사 타브리즈 구글 엔지니어링 디렉터가 방한해 진행했다. 타브리즈 디렉터는 10여년간 구글에서 일한 보안 전문가로 2월7일 안전한 인터넷의 날을 맞아 아시아 나라를 다니며 순방 강연을 진행중이다.
먼저 구글 크롬에 대해 소개한 타브리즈 디렉터는 “전 세계 20억명 이상이 사용하는 웹 브라우저로, 사용자에게 보안성이 높은 브라우저 제공과 인터넷 자체 안전성을 확보할 수 있도록 노력중”이라 전했다.
웹에 대한 설명을 이어간 타브리즈 디렉터는 “웹은 다이렉트로 연결된다고 생각하기 쉽지만, 중간에 상호 연결된 지점들을 통해 연결된다”며 “이러한 과정에서 네트워크를 조작할 줄 아는 중간자에게 가로채기 당하기 쉽고 이는 결국 개인정보 탈취 등으로 금융 사기, 개인 피해 위험이 이어지게 된다”고 전했다.
이에 구글은 HTTPS를 점점 중요시하게 하고 있고 일반적인 웹사이트에도 HTTPS 사용을 적극 권장하고 있다고 타브리즈는 전했다. HTTPS는 암호화된 HTTP 연결로, SSL 또는 TSL 암호화를 사용한다. 이를 통해 정보에 대한 가로채기를 저지하고 발신 및 수신 정보의 무결성을 보장한다. 암호화된 통신은 가로채기를 당할 수는 있어도 내부 콘텐츠는 누구도 알아볼 수 없기 때문이다.
아직 대다수 웹이 HTTP 기반이지만, 구글은 이를 빨리 전환하기 위해 지난 1월부터 HTTPS가 아닌 사이트는 안전하지 않음(Not secure) 문구를 주소창 왼쪽에 표시하기 시작했다. 향후 궁극적으로 HTTPS를 사용하지 않은 웹사이트에는 ‘안전하지 않음’ 표시를 빨간 색 글씨로 강조할 예정이다.
하지만 구글이 이렇게 HTTPS를 반강제로 밀어붙이고 있는 것에 대해 사이버 보안이라는 본래의 목적도 있겠지만 이와 더불어 이윤추구를 위한 것 아니냐는 의문도 제기된다.
이에 대해 타브리즈 디렉터는 “웹 종단간 암호화 표준은 이것이 유일하고, 구글이나 크롬과 무관한 글로벌 표준”이라며 “전 세계 20억명이 사용중인 크롬의 보안 책임자로써, 구글은 모든 웹 사용 유저들을 보호해야 할 책임이 있다”고 전했다.
한편 아직까지 국내와 더불어 다양한 웹사이트에서는 HTTPS가 사용중이지 않다. 우리나라 대표 포털인 네이버와 다음만 보더라도 메일 등 중요 정보가 있는 것만 HTTPS를, 메인 화면등은 HTTP를 사용 중이다. 하지만 타브리즈 디렉터는 HTTPS를 모든 사이트에서 사용할 것을 권장한다.
아래는 타브리즈 디렉터가 전한 HTTPS를 안 쓰는 웹사이트들의 보편적인 이유와 이에 대한 반박 내용이다.
첫 번째, 우리는 은행이 아냐. 우리는 보안이 필요 없어! - HTTPS는 웹사이트의 무결성 및 사용자의 개인정보와 보안을 지켜준다. 특히 강력하고 새로운 웹 플랫폼 기능은 HTTPS를 제공하는 사이트에서만 이용할 수 있다.
두 번째, 비용이 너무 비싸! - 구글은 인증비용에 대해 작은 사이트 혹은 중간규모 사이트에 대해서는 무료로 인증해 주는 비중을 높이고 있다.
세 번째, 사이트가 너무 느려지거나, 구축하는게 너무 복잡해! - 그렇지 않다. 구글은 HTTPS 구축을 위한 도움 툴을 제공한다.
구글은 강력한 암호화가 웹의 모든 사용자의 안전과 보안을 위한 기초라고 믿고 있고 모든 제품과 서비스에서 암호화를 지원하고자 노력중이다. 구글의 HTTPS 페이지 늘리기는 이러한 목표의 일환이다. 구글은 제품과 서비스에서 100% 암호화 달성이라는 목표를 두고 있다.
그래도 삭제하시겠습니까?