테크레시피

HTTPS는 어떻게 인터넷 사용자를 보호할까

인터넷에서 볼 수 있는 HTTPS나 HTTP를 보면 모든 웹사이트 통신에 관계하고 HTTPS 쪽 보안이 뛰어나다는 정도는 이해해도 자세한 건 모르는 사람이 많다. 브라우저 파이어폭스를 개발하는 모질라(Mozilla)가 HTTPS가 어떻게 인터넷 사용자를 보호하는지, HTTPS만 있으면 웹은 안전할지에 대한 의문에 대해 설명해 눈길을 끈다.

HTTPS는 기존 HTTP를 통한 데이터 통신을 SSL/TLS 프로토콜을 이용해 암호화해 더 안전한 연결을 통해 데이터 통신을 실시하는 구조를 말한다. HTTPS를 이용해 데이터 통신을 수행해 악의적 공격자가 사용자와 웹사이트 사이에서 송수신되는 데이터를 훔쳐보는 걸 방지할 수 있다.

또 HTTPS로는 인터넷 서비스 공급자 ISP가 웹사이트 최상위를 넘어 그 이상 자세한 방문한 페이지를 확인하지 못하도록 하는 기능도 있다. 예를 들어 ISP는 사용자가 레딧(https://www.reddit.com)에 방문한 건 이해할 수 있지만 세부 페이지(https://www.reddit.com/r/CatGifs/)에 액세스한 것까지는 알 수 없다.

파이어폭스에서 연결한 웹사이트는 HTTPS나 HTTP를 구분하기 위해 주소 표시줄 왼쪽에 잠금 아이콘을 표시한다. 열쇠 아이콘이 정상히면 HTTPS 연결이고 아이콘에 빨간 사선이 들어가 있으면 HTTP다.

HTTPS는 안전한 데이터 통신을 제공해주고 있지만 이것만 있으면 인터넷 보안에서 만능이라는 건 아니라는 지적이다. 어디까지나 HTTPS는 데이터 통신이 암호화된 개인 것이라는 걸 보장하는 것이며 웹사이트 자체가 사기와 악성코드를 장치하는 경우 HTTPS도 관계가 없다. HTTPS 연결을 제공할 수 있는 신뢰할 수 있는 안전한 웹사이트 뿐 아니라 악덕 상법이나 피싱, 악성 코드 배포에 사용되는 웹사이트도 HTTPS를 제공할 수 있다.

모질라는 HTTPS에 대해 전화와 비슷하다며 전화 회사는 사기꾼이 당신에게 전화를 걸어 신용카드 번호를 얻으려고 할 책임을 지지 않는다며 당신은 자신이 누구와 얘기하고 있는지에 대해 잘 알고 있어야 하며 HTTPS 일은 안전한 회선을 제공하는 것이며 사기꾼이 얘기하지 않는다는 걸 보증하는 건 아니라고 설명했다.

사기꾼에 속지 않기 위해선 사용자 자신이 위험한 사이트를 분별한 능력을 배양해야 한다. 모질라는 사기꾼이 사용자를 속이려고 하는 걸 이해할 필요가 있다고 지적하고 있다. 예를 들어 의심스러운 거래가 확인되어 고객 명의 A은행 계좌가 동결됐다, 계정을 되살리고 싶으면 아래 링크를 클릭해 암호를 재입력하라는 이메일이 도착했다. 만일 A은행 계좌를 갖고 있지 않으면 피싱이라는 걸 쉽게 알 수 있다. 만일 A 은행 계좌를 갖고 있다면 불안해 링크를 클릭해 버릴 지도 모른다.

하지만 모질라는 이메일에 포함된 링크를 클릭하는 건 기본적으로 위험한 행동이라고 경고하고 있다. 이런 이메일을 받은 경우에는 이메일이 아니라 브라우저에서 직접 계정에 액세스하거나 이메일이 진짜인지 확인하기 위해 공식 사이트에 기재되어 있는 연락처 전화번호로 전화를 거는 게 안전하다는 것이다.

파이어폭스는 또 기본적으로 위장 사이트와 멀웨어로부터 보호 기능이 구현되어 있으며 방문한 웹사이트가 위험한 웹사이트로 신고된 경우 사용자에게 경고하는 구조로 되어 있다. 이런 보호 기능에서 경고를 받았다면 해당 웹사이트를 떠나야 한다.

HTTPS는 직접 접근을 해오는 사기꾼을 배제하는 건 아니지만 고객 로그인 등을 마련하는 웹사이트에서 외부 통신에 노출되지 않도록 하는 역할을 한다. 파이어폭스에서 HTTPS-Only로 설정해 HTTP와 HTTPS를 모두 지원하는 웹사이트에서 강제로 HTTPS를 사용할 수 있지만 속으로는 여전히 HTTPS를 지원하지 않는 웹사이트도 존재한다.

HTTPS 전환은 무료 SSL 인증서를 발행하는 렛츠인크립트(Let’s Encrypt)를 이용해 쉽게 처리할 수 있다. 모질라는 웹 전체 안전성을 높이기 위해서라도 사용자가 HTTPS를 지원하지 않는 웹사이트를 발견하면 이메일이나 문의 양식을 통해 HTTP 전환을 촉구해달라고 호소했다. 관련 내용은 이곳에서 확인할 수 있다.

이석원 기자

월간 아하PC, HowPC 잡지시대를 거쳐 지디넷, 전자신문인터넷 부장, 컨슈머저널 이버즈 편집장, 테크홀릭 발행인, 벤처스퀘어 편집장 등 온라인 IT 매체에서 '기술시대'를 지켜봐 왔다. 여전히 활력 넘치게 변화하는 이 시장이 궁금하다.

뉴스레터 구독