우리 모두가 보안을 중요시하지만, 실제로 인터넷상의 보안이 어떻게 이루어지는지는 비전공자 입장에서 알기 어렵지요. 제가 아는 것도 많지는 않지만, 현재 인터넷상의 보안 접속이 어떻게 이루어지는지 제가 이해한만큼 설명해 볼까 합니다.

1. 무엇이 보안 접속인가?

이 글에서 말하는 보안 접속이란 'HTTPS'를 말합니다. 이건 기존 HTTP에 S, 즉 secure를 붙인 것인데요. HTTPS를 사용하는 사이트는 주소가 http:// 대신 https:// 로 시작하는 특징이 있습니다.

요즘 브라우저는 일반 연결과 보안 연결을 구분 짓기 위해 다음과 같이 주소 줄을 초록색으로 표시하기도 합니다:



이는 사용자에게 이 사이트로의 연결이 안전하다는 것을 알리고, 안심시키기 위한 것입니다. 또한 일반 사이트보다 보안 사이트가 더 멋있어 보이게 함으로써 인센티브를 주려는 목적도 있지요.

하지만 유감스럽게도 대부분의 사용자는 이게 뭔지 모르고, 심지어는 주소 줄이 평소와 다르게 뜨면 겁을 먹는 경우도 있다고 들었습니다. 원래 목표와는 정반대로 동작하는 셈이죠.

2. 원리

HTTPS는 SSL, 또는 TLS라고 불리는 보안 규격에 기반하고 있습니다. TLS를 사용하기 위해서는 복잡한 절차를 거쳐야 합니다. 비대칭 암호화라느니, 공개 키 암호화라느니, 키 교환 같은, 여러분도 들어 보셨을 법한 용어들이 그것이지요. 하지만 이 글에서 집중하고 싶은 것은 다음 주제입니다:

어떻게 상대방이 진짜 상대방인 줄 아는가?

일반적으로 여기서 상대방은 보통 서버, 또는 웹 사이트입니다. 즉, 내가 지금 접속하는 웹 사이트가, 모양만 같은 낚시 사이트가 아니라, 진짜 그 사이트라는 것을 어떻게 아냐는 것이죠.

이 과정에서 사용되는 것이 바로 [디지털 인증서]입니다.

디지털 인증서는 현실의 인증서와 비슷합니다. 사이트 주소가 적혀 있고, 도장이 찍혀 있습니다. 한쪽 구석에는 일련 번호도 적혀 있습니다.

웹 브라우저가 웹 사이트에 접속할 때, 서버는 자신의 인증서를 사용자에게 보냅니다. 웹 브라우저는 인증서를 열어 보고, 인증서에 적힌 사이트 주소가 지금 접속하려는 사이트 주소와 일치한다는 것을 확인한 다음에야, 비로소 이게 낚시 사이트가 아니라는 것을 확신할 수 있는 것입니다.

여기서 ['도장']이 중요합니다. 아무나 도장을 찍을 수 있게 하면 곤란하기 때문이죠. 해커가 자기 멋대로 사이트 주소에 'PGR21.com'이 적힌 인증서를 만들면 곤란할 것입니다. 그 인증서로 PGR21과 똑같은 낚시 사이트를 만들 수 있을 테니까요. 그렇다면 필연적으로 이 도장이 믿을 만한 도장인지 아닌지 판단해야 할 텐데, 어떻게 알 수 있을까요?

이를 위해 컴퓨터는 [믿을 수 있는 도장 목록]을 자체적으로 탑재하고 있습니다. 보통 이 목록은 운영 체제가 관리하고, 경우에 따라서는 웹 브라우저 스스로 관리하기도 합니다(파이어폭스).

여러분의 컴퓨터에 저장된 목록을 보려면, 브라우저 설정(인터넷 옵션 같은)에서 인증서 목록을 클릭하면 됩니다. 보통 이렇게 보입니다:



따라서 보안 연결을 지원하고 싶은 서버가 있다면, 우선 저 목록 중 한 업체에 찾아가서 자신의 인증서에 도장을 찍어 달라고 요청해야 합니다. 물론 돈이 들죠. 업체에 따라 가격은 다양한데, 가장 싼 것이 만 원 정도고, 비싼 것은 수십만 원씩도 합니다. 이는 해킹 피해 발생 시의 보험료도 포함되어 있기 때문이죠.

마이크로소프트나 구글은 수시로 어떤 업체를 도장 목록에 올릴 것인지 판단하며, 가끔은 특정 업체를 도장 목록에서 제외하기도 합니다. 해킹 사건이 터지거나, 특정 정부의 입김을 강하게 받고 있다는 의혹이 들 때 주로 그렇죠. 이러면 그 도장으로 발급된 인증서 전체가 믿을 만하지 못하게 되기 때문입니다.

이 방식은 비판도 받고 있습니다. 현행 방식대로라면 보안 접속을 위해서는 특정한 몇몇 인증 업체에 의존할 수밖에 없는데, 이는 인터넷이 추구하는 자유의 원칙에 위배된다는 것이죠. 이 문제는 인류사의 오랜 떡밥인, '누가 누구를 관리하는가, 정당성은 있는가'와도 연관되기 때문에, 뽀족한 답이 없는 것 같습니다.

3. 도청

이러한 시스템 하에서 만일 누군가가 도청을 시도한다면, 암호화 자체를 뚫는 것은 어렵기 때문에, 보통 웹 브라우저와 서버 사이에 도청기를 설치하는 방식으로 시도하게 됩니다. 이렇게요:

[사용자] --- [도청기] --- [서버]

다만 이렇게 하면, 도청기의 일련 번호가 인증서에 표시된 일련 번호랑 다르기 때문에, 웹 브라우저는 쉽게 위조 여부를 판단할 수 있게 됩니다. 따라서 다음과 같은 오류를 발생시키죠:



그래서 해커는 주소에서 https를 빼버리려 시도하기도 합니다. 일반 접속은 애초에 인증서를 확인하지도 않으니까요. 사용자가 주소 줄이 초록색인지, 누리끼리한지, 붉으스름한지 잘 확인하지 않는 것을 이용한 방법이죠. (위에서 말했듯, 그게 뭔지도 모르는 사람이 많으니까요.)

그래서 어떤 사람들은 모든 사이트에 HTTPS를 강제하자는, 'HTTPS everywhere' 운동을 지지하기도 합니다. 하지만 보안 접속을 지원하는 데는 비용이 들기 때문에(인적 비용이든, 컴퓨터 비용이든), 아직까지는 갈 길이 멀어 보이는 것이 사실이죠.

4. 보안 접속의 의의는 무엇인가?

그러나 이것이 사이트와의 통신 내용이 [이미 설치된] 바이러스나 악성 코드로부터 안전하다는 뜻은 결코 아닙니다. 보안 채널은 통신 그 자체가 안전하다는 것을 보장할 뿐, 통신 외적인 방법으로 정보를 빼내는 방식에는 속수무책이거든요.

예를 들어, '키 로그'라는 종류의 악성 코드는 사용자가 키보드로 입력한 내용을 가로챕니다. 통신과는 관련이 없지만 여전히 아이디와 비밀번호를 훔치는 데는 충분하죠.

아니면 웹 브라우저 자체에 기생하는 방법이 있습니다. 비유하자면 아서스와 제이나가 전화 통화를 하는데, 전화 자체는 보안이 보장되지만, 선량한 줄로만 알았던 아서스가 알고 보니 타락한 리치 왕이었던 거죠. 크롬에서 확장 기능을 설치하거나, 인터넷 익스플로러에서 ActiveX를 설치할 때 주의를 기울여야 하는 이유가 여기에 있습니다.

아이러니하게도 이것이 한국 금융권 및 상거래 사이트에서 보안 프로그램을 잡다하게 요구하는 이유이기도 합니다. 아서스를 믿을 수가 없기 때문에, 엇나가지 못하도록 사전에 족쇄를 채워 두려는 것이죠. 그러나 그 족쇄 자체가 사용자에게 큰 불편으로 다가오기 때문에 논란이 있습니다.

위와 같은 한계에도 불구하고, HTTPS(TLS)가 제공하는 보안 채널이 안전하다는 것 하나만으로도 상당히 안심이 됩니다. 바이러스나 악성 코드만 주의한다면, 내가 주고 받는 통신 내용이 아무에게도 도청 당한다는 걱정 없이 마음 놓고 소통할 수 있지요.

이 장점은 모바일에서 극대화됩니다. 데스크톱 세계를 교훈 삼아, 모바일 앱들은 기본적으로 다른 앱에 영향을 미치는 것이 엄격하게 금지되어 있습니다. 따라서 악성 코드가 키보드 앱에 간섭할 수 없으며, 따라서 키 입력 내용을 훔치는 것도 불가능합니다. 물론 루팅이라든지, 키보드 앱 그 자체가 악성 코드였다든지(!) 하는 반전이 있을 수도 있겠습니다만, 일반적인 시나리오에서는 데스크톱보다 훨씬 신뢰할 만하지요.

세 줄 요약:

1. 특정 사이트의 주소 줄이 초록색이면 도청 위험에서 대체로 안전하다.
2. 만일 특정 사이트의 주소 줄이 평소에는 초록색이었는데 갑자기 색이 사라졌다면 도청을 의심해 보자.
3. 설령 색이 초록색이더라도 악성 코드와 바이러스는 항상 조심하자.
4. 하지만 NSA가 출동하면 어떨까?!