단말에 대한 보안은 1차적으로 사용자에게 있지만, 서비스 상 보안문제가 있다면 이에 대한 책임은 당연히 서비스 업체에서 져야한다.
국내외 인터넷서비스 업체(ISP)들이 웹브라우저와 서버간의 안전한 트랜잭션을 위해 ‘보안접속(SSL, Secure Sockets Layer)’을 강화하고 나서는 모양새다.
특히 구글의 경우는 자난 19일 자사의 웹브라우저인 구글 크롬 옴니바(주소창 겸 검색창)에도 SSL 암호화를 적용할 계획이라 밝혀 주목을 받고 있다.
SSL암호화는 웹브라우저와 서버간 데이터를 안전하게 주고받기 위한 표준 프로토콜이다. 네츠케이프가 개발했으며 모든 웹브라우저 개발업체들이 이를 사용하고 있다.
SSL암호화 적용시킨 웹사이트에 접속하면 웹브라우저는 해당 페이지를 HTTP가 아닌 HTTPS로 접근한다. HTTPS는 SSL 서브 계층에서 사용자 페이지 요청을 암호화, 복호화하는 프로토콜이다. 패킷이 암호화 돼 있기 때문에 일반적으로 보안이 강하다고 인식하고 있어도 좋다.
(다만, HTTPS는 웹브라우저와 서버간의 전송되는 패킷만 암호화하기 때문에 해당 정보가 암호화구간을 벗어나면 바로 복호화되기 때문에 100% 안전하다고 보긴 힘들다.)
미국 페이팔이나 구글은 사이트 전체에 SSL암호화를 적용했다. 페이스북이나 트위터는 사용자의 필요에 따라 이를 적용할 수 있도록 했다. 과거 페이스북은 사용자가 로그인시에만 HTTPS를 사용했으나, 마크 저커버그 최고경영자의 강력한 추진력으로 전 영역에 SSL암호화를 적용했다.
반면 국내 네이버를 제외한 포털들은 로그인시에만 SSL암호화를 적용하고 있다. 정보통신망법 상으로 문제가 없지만, 보안에 취약한 상황이라는 것은 분명하다.
이는 포털사들의 메일서비스에도 그대로 적용된다. SSL암호화를 통해 로그인 정보는 보호받을 수 있지만 이메일을 확인하거나 쓰는 동안 동일한 네트워크의 다른 사용자가 이를 손쉽게 가로챌 수 있다.
이는 최근 모바일 디바이스가 많아짐에 따라 문제가 심각해지고 있다.
스마트폰 보급률이 높아지면서 공짜 AP(액세스포인트)도 급격하게 증가했다. 스마트폰이나 노트북을 공짜 AP에 접속시켜 사용하는 사람도 많아졌다. 그러나 해커들이 공짜 AP에 접속한 사용자들의 정보를 탈취할 수 있다는 사실을 아는 사람은 많지 않다.
예를 들어보자. A는 ‘freeap’라는 AP에 접속해 모바일 다음으로 들어갔다. A는 다음 메일 서비스를 사용해 지인에게 메일을 보냈다. ‘freeap’에는 사용자들의 정보탈취를 목적으로 한 해커도 접속해 있었다. ‘freeap’의 패킷을 감청하고 있던 해커는 특정 주소에서 발송되는 메시지(메일)을 포착했고 이를 빼돌릴 수 있게 됐다.
사용자 디바이스 내부 데이터를 탈취한다는 의미는 아니다. SSL암호화가 적용되지 않은 서비스(앱도 포함)와 서버간의 메시지를 탈취한다는 의미다. 이러한 이유로 구글, 야후는 메일서비스 전체에 SSL암호화를 적용했다.
개인정보유출문제로 뒤숭숭한 상황에 국내 인터넷서비스 업체들의 SSL암호화는 이제 선택이 아닌 필수가 아닐까 생각해본다.
댓글 쓰기