The Science Times

인터넷 서핑을 하면, HTTP://로 시작하는 웹 주소가 있고 HTTPs://로 시작하는 웹 주소가 있다. ‘S’ 기입여부에 따라서 어떤 차이점이 있는 것일까?

답은 간단하다. ‘s’는 Security의 약어로, HTTPs는 HTTP에 암호화통신 기술을 적용한 웹 주소이다.

HTTPS는 HTTP에 보안을 적용한 웹이다. ⓒ Wikipidia Commons

암호화통신은 네트워크로 통신을 주고 받을 때 암호화해서 제 3자가 엿볼 수 없게 하는 기술이다. 가령 HTTP에 암호화 기술을 적용해 제 3자가 중간에서 정보를 보지 못하게 하는 것이 HTTPs의 목적이다.

A라는 사람이 웹 서핑을 하고 있는데, HTTP:// 로 시작하는 사이트에 접속하면 중간에서 제 3자가 통신정보를 가로채서 정보를 엿볼 가능성이 크다. 그런데 HTTPs://로 시작하는 사이트에 접속하면 중간에 제 3자가 가로채더라도 정보가 암호화 돼 있어 A 사람의 웹 서핑 내역을 볼 수 없다.

그런데 암호화 통신 기술이 보안 취약점으로 작용하고 있어 논란이 되고 있다. 예전부터 암호화 통신기술은 악용해 왔었다. 예를 들어 음란사이트와 같은 유해사이트들은 정부의 단속을 피하기 위해서 암호화 통신 기술들을 사용해 왔었다.

그러나 해커가 암호화 통신을 보안공격용도로 활용하는 경우는 최근의 일이다. 어떻게 암호화 통신 기술이 해커의 보안공격용도로 활용하는지 살펴보자.

HTTPs:// 로 시작하는 구글 웹 주소 ⓒ 구글

 암호화 통신의 역설

해커들이 어떻게 암호화통신을 활용해서 공격하는지를 알아보기 전에 ‘보안’에 대한 정의를 살펴보도록 하자. ‘보안’은 용어 자체가 애매하고 상대적이다. 보안의 사전적 정의는 외부로부터 기관 혹은 개인 자산을 보호하는 것이다.

그러나 보안의 의미는 주체에 따라서 위협이 될 수 있다. 예를 들어 A라는 회사 정보유출을 사전에 방지하기 위해서 메일 내용들을 검열한다고 가정해보자. A회사는 기업자산을 보호하기 위한 조치이기 때문에 검열은 ‘보안’으로 볼 수 있다. 그러나 A회사 직원들에게는 보안이라기보다는 위협으로 작용할 수 있다. 메일을 검열함으로서 본인의 사생활이 회사에 노출되기 때문이다.

중국이 이와 비슷하다고 할 수 있다. 중국 내부 안전을 위해서 중국 외부와의 통신, 내부 통신을 검열해서 안전을 유지한다. 그러나 이러한 안전은 중국 내의 시민들에게는 해킹 혹은 위협이 된다. 이처럼 보안용어는 애매하고 상대적이다.

보안의 상대적인 특성은, 암호화통신 적용에 가장 잘 드러난다. 암호화통신 적용이 주체에 따라서 보안이 될 수 있고 위협이 될 수 있다. 이메일을 암호화 통신으로 주고받을 시, 이를 검열하는 기관에서는 기업의 중요정보가 유출될 수 있는 위협에 놓이게 된다. 반면에 직원 입장에서는 개인사생활을 보호 할 수 있다.

그럼에도 불구하고 암호화통신 사용량은 꾸준하게 증가하고 있다. 국제 비영리단체인 ‘전자프런티어’에 따르면 크롬과 파이어폭스의 웹사이트 이용률을 분석한 결과 전체 사이트의 50%가 암호화통신을 사용한 웹사이트로, 2016년에 사용량측면에서 신기록을 세웠다.

또한 보안전문회사인 ‘지스케일러’에 따르면 암호화 통신 사용량은 2014년 대비 2018년에 8배 증가할 것으로 전망했다. 2014년 5엑사 바이트 (50억 기가바이트)에서 2018년에 40엑사 바이트 (혹은 400억 기가바이트)로 증가하는 것으로 전망했다.

암호화통신으로 인한 보안취약점 유형

암호화통신 사용은 개인에게는 득이 될 수 있다. 물론 제 3자로부터 정보를 지킬 수 있기 때문에 기업에도 득이 될 수 있다. 하지만 독이 될 수도 있다. 참고로 지스케일러에 따르면 사이버첨단공격의 약 52%가 암호화통신을 사용했다고 보고했다. 그럼 암호화통신이 어떻게 위협으로 작용하는지 알아보자.

해커들은 HTTPs를 사용하면 워터링 홀 (혹은 드라이버바이다운로드) 공격 성공률을 더 높일 수 있다. 워터링 홀 공격은 해커가 사이트를 감염시켜서 사이트 통제권한을 획득한 후 사용자가 사이트 방문 시 악성공격을 몰래 감행 해 감염시키는 방법이다. 이러한 공격은 개인보다는 기관에게 매우 효과적이다.

기관의 네트워크 망은 개인 망과 달리 여러 보안제품을 적용하고 있어서 해커가 직접 이들을 뚫기란 힘들다. 그러나 암호화 통신을 사용하면 보안제품들이 통신의 감염여부를 판단할 수 없다. 그래서 해커는 이를 활용해 보안제품들을 우회해서 사용자 기기를 감염시킬 수 있다.

이메일, SNS 피싱도 마찬가지이다. 피싱을 직역하면 ‘낚시’라는 의미이다. 미끼를 활용해 유인하다는 의미로, 사용자가 관심 가질만한 화재를 던져서 메일에 첨부한 악성파일을 다운받거나, 악성URL링크에 접속하게 해서 사용자 기기를 감염시키는 방법이다. 암호화통신을 사용하면, 기관의 경우 마찬가지로 우회할 수 있기 때문에 좀 더 수월하게 기관의 망을 뚫을 수 있다.

외부위협 용도뿐만 아니라 내부 위협용도로도 활용할 수 있다. 암호화 통신을 사용하는 이메일, SNS등에 기업 중요정보를 첨부해서 유출할 수도 있어, 위협이 된다.

앞서 언급했듯이, 보안은 상대적인 개념이다. 주체에 따라서 보안이 될 수 있고 위협이 될 수 있다. 암호화통신은 통신을 암호화 해주기 때문에 특정 주체에게는 보안으로 작용할 수 있다. 그러나 다른 주체에게는 암호화에 담긴 정보유형을 판별할 수 없기 때문에 보안위협으로 작용할 수 있다.

여러 전문기관에서 조사했듯이 암호화통신 사용량은 계속 증가할 전망이다. 마찬가지로 암호화 통신을 활용한 해킹공격도 증가할 것으로 전망된다. 암호화통신에 대응하기 위해서는 개인정보 침해와 기관의 보안위협 사이의 딜레마를 잘 조정하려는 노력이 필요하다. 그렇게 함으로서 보안가치를 극대화하는 방안 모색이 필요하다.

(3766)