암호화 웹은 정보전송자의 프라이버시를 보호하고 해커 훔쳐보기(스니핑) 공격을 막기 때문에 주로 로그인 페이지에 적용하던 보안 방식이다. 암호화 웹이 상당한 인프라의 추가 투자가 필요함에도 웹서비스 전체로 확대 적용된다.
사용자 계정 기반 글로벌 웹과 클라우드서비스 기업이 이 추세에 앞장선다. 구글은 로그인이 필요한 서비스인 G메일(웹메일), 구글드라이브(웹하드), 구글독스(웹오피스), 유튜브(동영상채널)뿐만 아니라 검색까지도 암호화 웹으로 서비스한다. 자체 발간하는 투명성 보고서에서는 암호화 웹을 구글의 장점으로 지속해서 강조한다. 페이스북, 트위터 등 소셜미디어와 마이크로소프트 아웃룩메일, 야후메일 등 웹메일 역시 암호화 웹 기반으로 서비스한다. 우리나라에서는 네이버가 검색과 웹메일을 암호화 웹으로 전환했다. 다음 웹메일도 올 상반기 암호화 웹 전환을 앞두고 있다.
암호화 웹은 다른 모든 보안과 마찬가지로 `양날의 검`을 속성으로 한다. 장점과 함께 심각한 보안상 위협을 내재한다.
보안 위협으로는 개인정보 유출 통제, 유해 사이트 접속 통제, 악성코드 배포 사이트 접속 통제 무력화를 대표로 들 수 있다.
암호화통신이기 때문에 외부자인 해커가 훔쳐보기 공격을 시도할 때는 안전한 전송 채널이 된다. 이 장점이 내부를 겨누는 양날의 검이 될 때는 네트워크를 통한 정보유출방지솔루션(Network DLP), 유해사이트차단솔루션, 방화벽, 침입방지(IPS), 네트워크APT솔루션 등 DPI(deep packet inspection) 기능을 활용하는 기존의 네트워크 보안장비 보안 기능이 무력화된다.
암호화 웹은 내부자가 고의로 정보를 유출할 때나 해커가 악성코드를 유입시킬 때는 흔적조차 없는 완벽한 정보 유출 통로가 된다. 사내 네트워크에 무혈 입성할 때 역시 최적의 우회 통로가 된다.
예를 들면 고의 또는 실수로 구글 G메일로 주민번호 100만건을 유출하더라도 회사에서는 사전 통제도, 사후 파악도 불가능하다. 웹하드 접속으로 악성코드가 사내에 유입돼도 네트워크 상에서는 통제할 수 없다. 어떤 악성코드가 유입되는지 파악할 수 없다. 유튜브나 페이스북 상의 음란 동영상, 사행성 도박 채널도 특정해서 차단할 수 없다. 암호화 웹으로 회사가 보안상 마땅히 가져야 하는 기밀자료 유출과 악성코드 유입의 가시성이 모두 사라진다.
국내에서는 암호화 웹 위협을 심각하게 인지하지 않는다. 우리나라가 정보통신 강국임에도 클라우드 서비스가 뒤처진 원인이기도 하다.
투자를 선도하는 곳도 있다. 도면 유출로 존립이 흔들릴 수 있는 기술 기반 제조기업, 개인정보 유출로 영업정지까지 가능한 금융기관, 음란물이나 악성코드 유입 통제를 고민하는 기관에서는 3년 전부터 암호화 웹 보호 대책에 투자했다.
암호화 웹의 장점을 살리면서 기존의 보안 수준을 유지하려면 암호화 웹 프락시(HTTPS Proxy) 도입이 필수다. 암호화 웹 프락시에서 암호화통신을 복호화해 개인정보 유출과 유해 사이트 접속 여부, 악성코드 유입 여부를 검사한 뒤에 다시 암호화해 전송하는 방식이다. 네트워크를 통한 정보유출방지솔루션, 유해사이트차단솔루션, 방화벽 등 기존의 보안장비에 암호화 웹 프락시를 내재화하는 것은 세계 기술의 추세이기도 하다.
물론 보안 투자가 필요하고 불편도 감수해야 한다. 네트워크 인프라를 변경해야 한다. 그러나 암호화 웹의 세계 확산이 보안 핵심을 겨누는 양날의 검으로 현존하는 위협이 되고 있다. 더 이상 암호화 웹 보호 대책을 미룰 수 없다. 보안 담당자의 고민이 깊어지는 이유다.
김대환 소만사 대표 kdh@somansa.com