[ET단상]TLS 인증, 공공기관 웹사이트 보안 첫 단추

Photo Image

국내 공공기관 웹사이트 1210개 가운데 약 42%가 인터넷 프로토콜(HTTP) 사이트인 것으로 밝혀지면서 행정안전부는 중앙부처·지방자치단체·공공기관 웹사이트를 HTTP 강화 형태인 HTTPS로의 전환을 추진해 왔다.

웹사이트가 전송계층보안(TLS) 인증서로 이용자 데이터를 보호하는 경우 웹 브라우저 주소창에 HTTPS가 표시된다. 보안소켓계층(SSL)으로 불리는 TLS는 표준 보안 기술로, 웹서버와 인터넷 브라우저 사이에 전송된 데이터를 암호화해 인터넷 연결 보안을 유지한다.

TLS는 이용자가 접속하려는 웹사이트 서버가 신뢰할 수 있는지, 고신뢰성 인증서를 쓰고 있다면 해당 서버나 웹사이트가 해당 조직에서 운영하는 것인지 등을 판단한다. 암호화 알고리즘을 통해 이용자와 사이트 간 주고받는 데이터를 읽고 수정하는 것을 방지한다. 주민등록번호, 신용카드번호, 로그인 자격 증명 등 주요 정보를 안전하게 전송한다.

TLS 인증서는 신뢰 수준에 따라 DV·OV·EV 인증서로 나뉜다. 이 가운데 DV 인증서는 기본 인증서로, 암호화만 제공하고 신원 확인은 제공하지 않기 때문에 가짜 웹사이트를 활용해 데이터나 금전을 노리는 공격에 악용되기도 한다. 이에 정부기관이나 은행 등 주요 기관에서는 암호화와 신원 확인을 모두 제공하는 OV나 EV와 같은 고신뢰성 인증서를 반드시 이용해야 한다.

미국은 국민이 정부 웹사이트를 이용할 때 프라이버시와 중요한 개인 데이터가 보호되도록 공공기관 웹사이트에 HTTPS 암호화 통신이 의무 적용되는 'HTTPS-온리' 정책을 시행하고 있다. 미국 연방정부 공공 웹사이트는 방문자와 HTTPS 연결을 수행하기 위해 웹서버에 반드시 TLS 인증서를 적용해야 한다.

HTTPS를 구축하지 않은 조직은 이용자를 위험에 빠뜨릴 수 있다. 권한이 없는 누군가가 중간에 끼어드는 중간자 공격에 악용될 수 있기 때문이다. 더 우려되는 점은 HTTP 사이트는 웹 주소 옆에 '안전하지 않음' 또는 '주의 요함'이라는 표시가 뜬다는 것이다. '안전하지 않음' 표시가 나타나지 않게 하고 검색엔진최적화(SEO) 효과를 높이며 HTTP와 HTTPS 페이지가 혼합된 웹사이트에서 발생할 수 있는 공격을 피하기 위해서는 웹사이트 전반에 TLS 인증서를 적용해야 한다.

TLS 인증서의 핵심은 신뢰할 수 있는 인증기관(CA)에 의해 디지털 서명된다는 것이다. 누구나 인증서를 만들 수 있지만 브라우저는 신뢰할 수 있는 CA 목록에 있는 조직에서 가져온 인증서만 신뢰한다. 신뢰할 수 있는 CA가 되려면 브라우저와 CA/브라우저 포럼이 정한 글로벌 보안과 인증 표준을 준수하고, 감사를 받아야 한다. 이런 이유로 많은 정부가 더 높은 투명성과 신뢰를 위해 글로벌 감사 제도와 외부 감사 대상인 CA를 통해 인증서를 발급한다.

전 세계에서 채택되는 CA는 투명성·확장성·자동화를 통해 보안을 강화하고 효율 높은 인증서 관리를 제공한다. 인증서 투명성 모니터링을 통해 인증서 발급 프로세스의 투명성을 확보하고, 이용자에게 발급된 인증서 정보를 제공해 신뢰도를 강화하며, 누구에게나 안전한 브라우징 환경을 조성해야 한다. 확장성을 통해 브라우저 종류나 암호화 수준에 상관없이 무제한으로 인증서를 발급, 추적할 수 있어야 한다. 최신 공개키기반구조(PKI) 기반 기술 플랫폼과 자동화 툴을 이용해 인증서 구매·설치·모니터링·갱신·복원을 인증서 발급 규모에 상관없이 손쉽게 수행할 수 있어야 한다.

코로나19 이후 디지털화가 가속되면서 웹사이트 보안의 중요성이 더욱 강조되고 있다. 개인정보를 보호하고 보안이 보장된 연결은 인터넷의 기본이 되고 있으며, 공공기관 웹사이트는 서비스 이용자인 국민을 위해 최고 수준의 보안 표준을 유지해야만 한다. 그 첫걸음으로 국제 인증 TLS 인증서 도입은 필수다. 글로벌 보안 표준에 대응하는 공공기관 웹사이트 환경 마련은 국민이 보안 위협에 노출되는 위험성을 줄이고 정부와 국민 간 신뢰를 공고히 하는 시작이 될 것이다.

나정주 디지서트코리아 지사장 james.nah@digicert.com


브랜드 뉴스룸