공공기관 웹사이트에 방문했을 때 브라우저에 나타나는 보안 경고 문제가 2년 넘게 방치돼 온 것으로 드러났다. 정부는 이 문제를 풀어보겠다고 호언장담했지만, 지난 2018년 말까지 관련 문제를 해결하지 못하고 결국 손을 놓은 상태다.
12일 현재 주요 국가·공공기관 홈페이지 서버가 일부 PC 브라우저와 스마트폰 환경에서 보안 접속을 지원하지 않는다. 청와대, 국무조정실, 외교부, 법무부, 조달청, 통계청, 방위사업청 등에 접속시 HTTPS 암호화통신보다 보안성이 떨어지는 HTTP 통신을 수행하고 있다.
HTTPS 암호화통신은 컴퓨터와 웹서버가 주고받는 정보를 암호화해 위·변조 및 탈취를 막는 기초적 보안 기술이다. 방문자는 브라우저 화면 맨 위 '주소창' 왼쪽, 자물쇠 아이콘 모양과 사이트 주소 앞부분의 문자열 'https' 유무로 방문 중인 사이트의 HTTPS 암호화통신 적용 여부를 알 수 있다.
웹서버에 HTTPS 암호화통신을 적용하지 않으면 일반 HTTP 통신이 이뤄진다. 이는 방문자 컴퓨터와 웹서버간 인터넷으로 오가는 정보를 보호하지 않는다. 즉 HTTP 통신을 수행하는 사이트 방문자에겐 그 정보가 외부에 노출시 프라이버시 침해 위험이 있고, 해당 운영조직은 사이트 정보 위변조로 인한 대외 신뢰도 하락 소지가 있다.
공공사이트에서 HTTP 통신이 이뤄지면 민간기업이나 개인 웹사이트에서보다 잠재적 위험성이 커진다. 국민은 민원 신청과 행정정보 열람을 위해 주민번호·실명·연락처·주소 등 개인정보나, 계정·패스워드를 입력해야 할 때가 많기 때문이다. 또 웹사이트가 HTTP 통신을 수행시 악의적 해커가 공공기관에서 배포하는 정보를 가로채 바꿔칠 수 있다. 공식성을 띠는 중요 행정정보가 틀린 내용으로 뒤바뀌거나, 공문서가 악성코드를 감춘 파일로 몰래 교체돼 국민이 피해를 입을 수 있다.
행정안전부는 공공기관용 '웹서버 보안 인증서(G-SSL인증서)'를 발급해 이 문제를 예방해 왔다. G-SSL 적용 공공사이트는 윈도PC 크롬, 인터넷익스플로러(IE), 엣지(Edge) 브라우저 사용자에게 HTTPS 암호화통신을 지원했다. 하지만 '멀티브라우저' 미지원 문제가 남았다. 행안부 G-SSL인증서를 적용해도 리눅스·맥OS PC와 iOS·안드로이드 기반 모바일기기의 브라우저에선 HTTPS 암호화통신이 이뤄지지 않았다. 일상에서 스마트폰 사용 비중이 증가한 상황에 해결이 시급했다.
행안부는 5년 전부터 G-SSL인증서로 멀티브라우저 환경 지원을 추진했지만 실패했다. G-SSL인증서를 탑재하는 절차를 밟아, 주요 브라우저에서 보안 경고를 띄우지 않도록 만들겠다는 구상이었다. 이를 위해 행안부 산하기관이 2015년부터 2018년까지 주요 브라우저 개발업체를 상대로 검증을 신청했지만 G-SSL인증서 인증체계·발급절차 규정의 한계로 실패했다. 행안부는 결국 작년부터 공공기관에 인터넷용 G-SSL인증서 발급을 안 하겠다며 멀티브라우저 지원을 포기했다.
행안부는 작년 6월부터 공공기관의 G-SSL인증서 용도를 내부시스템 행정업무용으로 제한하기 시작했다. 인터넷에서 운영되는 대국민 공공사이트에는 멀티브라우저 호환에 문제가 없는 민간 웹서버 보안 인증서(SSL인증서)를 쓰라고 공지했다. 현재 공공기관들은 과거 발급받은 공공사이트용 G-SSL인증서의 잔여 유효기간이 다할 때까지 이를 사용할 수 있지만, 이후에는 민간의 SSL인증서를 구매해 사용해야 한다.
보안전문가들은 정부가 당장 G-SSL인증서로 국제표준 규격을 맞춰 멀티브라우저를 지원하는 것은 불가능하다고 입을 모은다. 우선 전문성을 갖춘 외부 전문가나 전담 공무원을 통해 관련 절차를 밟아 나가야 하고, 짧아도 3년, 길게는 4~5년간의 장기 계획을 갖고 제도·정책적 지원까지 염두에 두면서 시도해야 한다는 진단이다. 따라서 주요 공공기관이 모바일 및 PC 멀티브라우저 환경에 HTTPS 암호화통신을 즉각 지원하려면 가능한한 빨리 민간의 SSL인증서를 도입해 나가야 한다.
하지만 행안부가 무료로 발급하는 G-SSL인증서를 써 온 공공기관들은 SSL인증서를 도입하려면 별도 예산을 편성하고 보안관리자의 상시 관리업무도 고려해야 하는 문제가 있다. 관련 부서를 갖추지 않은 군소 공공기관, 전국 지자체 및 일선 학교는 이와 관련한 대응에 어려움을 겪고 잠재적 보안위협에 노출될 우려가 있다. 국내 공공기관·민간기업에 SSL인증서를 공급하고 있는 한 보안업체 관계자는 "아직 구체적인 SSL인증서 교체·구매 움직임은 일어나지 않고 있다"고 밝혔다.
12일 현재 주요 국가·공공기관 홈페이지 서버가 일부 PC 브라우저와 스마트폰 환경에서 보안 접속을 지원하지 않는다. 청와대, 국무조정실, 외교부, 법무부, 조달청, 통계청, 방위사업청 등에 접속시 HTTPS 암호화통신보다 보안성이 떨어지는 HTTP 통신을 수행하고 있다.
HTTPS 암호화통신은 컴퓨터와 웹서버가 주고받는 정보를 암호화해 위·변조 및 탈취를 막는 기초적 보안 기술이다. 방문자는 브라우저 화면 맨 위 '주소창' 왼쪽, 자물쇠 아이콘 모양과 사이트 주소 앞부분의 문자열 'https' 유무로 방문 중인 사이트의 HTTPS 암호화통신 적용 여부를 알 수 있다.
웹서버에 HTTPS 암호화통신을 적용하지 않으면 일반 HTTP 통신이 이뤄진다. 이는 방문자 컴퓨터와 웹서버간 인터넷으로 오가는 정보를 보호하지 않는다. 즉 HTTP 통신을 수행하는 사이트 방문자에겐 그 정보가 외부에 노출시 프라이버시 침해 위험이 있고, 해당 운영조직은 사이트 정보 위변조로 인한 대외 신뢰도 하락 소지가 있다.
행정안전부는 공공기관용 '웹서버 보안 인증서(G-SSL인증서)'를 발급해 이 문제를 예방해 왔다. G-SSL 적용 공공사이트는 윈도PC 크롬, 인터넷익스플로러(IE), 엣지(Edge) 브라우저 사용자에게 HTTPS 암호화통신을 지원했다. 하지만 '멀티브라우저' 미지원 문제가 남았다. 행안부 G-SSL인증서를 적용해도 리눅스·맥OS PC와 iOS·안드로이드 기반 모바일기기의 브라우저에선 HTTPS 암호화통신이 이뤄지지 않았다. 일상에서 스마트폰 사용 비중이 증가한 상황에 해결이 시급했다.
행안부는 5년 전부터 G-SSL인증서로 멀티브라우저 환경 지원을 추진했지만 실패했다. G-SSL인증서를 탑재하는 절차를 밟아, 주요 브라우저에서 보안 경고를 띄우지 않도록 만들겠다는 구상이었다. 이를 위해 행안부 산하기관이 2015년부터 2018년까지 주요 브라우저 개발업체를 상대로 검증을 신청했지만 G-SSL인증서 인증체계·발급절차 규정의 한계로 실패했다. 행안부는 결국 작년부터 공공기관에 인터넷용 G-SSL인증서 발급을 안 하겠다며 멀티브라우저 지원을 포기했다.
행안부는 작년 6월부터 공공기관의 G-SSL인증서 용도를 내부시스템 행정업무용으로 제한하기 시작했다. 인터넷에서 운영되는 대국민 공공사이트에는 멀티브라우저 호환에 문제가 없는 민간 웹서버 보안 인증서(SSL인증서)를 쓰라고 공지했다. 현재 공공기관들은 과거 발급받은 공공사이트용 G-SSL인증서의 잔여 유효기간이 다할 때까지 이를 사용할 수 있지만, 이후에는 민간의 SSL인증서를 구매해 사용해야 한다.
보안전문가들은 정부가 당장 G-SSL인증서로 국제표준 규격을 맞춰 멀티브라우저를 지원하는 것은 불가능하다고 입을 모은다. 우선 전문성을 갖춘 외부 전문가나 전담 공무원을 통해 관련 절차를 밟아 나가야 하고, 짧아도 3년, 길게는 4~5년간의 장기 계획을 갖고 제도·정책적 지원까지 염두에 두면서 시도해야 한다는 진단이다. 따라서 주요 공공기관이 모바일 및 PC 멀티브라우저 환경에 HTTPS 암호화통신을 즉각 지원하려면 가능한한 빨리 민간의 SSL인증서를 도입해 나가야 한다.
하지만 행안부가 무료로 발급하는 G-SSL인증서를 써 온 공공기관들은 SSL인증서를 도입하려면 별도 예산을 편성하고 보안관리자의 상시 관리업무도 고려해야 하는 문제가 있다. 관련 부서를 갖추지 않은 군소 공공기관, 전국 지자체 및 일선 학교는 이와 관련한 대응에 어려움을 겪고 잠재적 보안위협에 노출될 우려가 있다. 국내 공공기관·민간기업에 SSL인증서를 공급하고 있는 한 보안업체 관계자는 "아직 구체적인 SSL인증서 교체·구매 움직임은 일어나지 않고 있다"고 밝혔다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지