미국 연방 공공웹사이트 10중 7곳 HTTPS 도입

미국 연방정부 공공기관 웹사이트 10곳 중 7곳이 방문자에게 보안상 더 안전한 HTTPS 접속을 지원한다는 조사 결과가 나왔다.

HTTPS 접속은 웹사이트와 방문자 브라우저 사이에 오가는 정보를 암호화된 통신으로 보호해, 방문자에게 일반 HTTP 접속보다 더 안전한 웹서비스를 제공하기 위한 수단이다. 이를 구현하려면 웹사이트를 운영하는 서버가 HTTPS 암호화 통신 방식을 지원하도록 구성돼야 한다.

미국 연방 조달청(GSA, General Services Administration) 산하 공공정보화 담당기관인 '18F'는 지난 4일 이같은 조사 결과를 발표했다.

[☞참조링크: Tracking the U.S. government's progress on moving to HTTPS]

18F 발표에 따르면 2016년 12월 31일 당시 대략 1천곳으로 추정된 미국 정부 최상위도메인이름(.gov)을 쓰는 웹사이트 가운데, HTTPS 접속을 지원하는(Supports HTTPS) 비중은 73%였다. HTTP가 아닌 HTTPS 접속을 '기본'으로 삼은(Enforces HTTPS) 비중은 61%였다. 방문자가 항상 HTTPS 기반으로만 접속하도록 만드는 'HSTS 정책'을 적용한 비중은 43%였다.

HTTPS 접속 지원 사이트보다는 HTTPS 접속을 기본으로 삼은 사이트가, 이보다는 HSTS 정책을 적용한 사이트가 더 높은 보안 기준에 맞춘 것이다. 각각의 비중은 .gov 기반의 '하위도메인'을 쓰는 2만6천여개 웹사이트를 전체로 놓고 보면 더 낮아진다. 하위도메인 가운데 HTTPS 접속을 지원하는 곳은 61%, HTTPS 접속을 기본으로 삼은 곳은 40%다. HSTS 정책을 적용한 곳은 26%다.

.gov 도메인을 사용하는 미국 정부 운영 웹사이트 1천곳(추정)과 그 하위 도메인을 사용하는 2만6천곳(추정)의 HTTPS 암호화 접속 보안 수준별 적용 비율[자료=미국 연방 조달청]

이를 보도한 테크크런치 등 외신들의 시선은 까칠하다. 미국 정부가 웹 모든 연방 공공기관 웹사이트를 2016년 12월 31일까지 HTTPS 암호화 접속으로 제공한다는 목표를 달성하지 못했다고 보도한 것이다. 일정 수준 확산시키긴 했지만 당초 목표했던 100% 전환을 이루진 못했다는 지적이다.

[☞참조링크: Federal government improves encrypted web connections, but misses goal]

HTTPS 암호화 접속 전환 정책은 지난 2015년 6월 미국 관리예산처(OMB, Office of Management and Budget)는 연방 최고정보책임자(CIO)의 서한(memorandum) 형태로 각 기관에 전달됐다. 그 내용은 2016년말까지 API를 비롯한 "외부에서 접속할 수 있는 모든 연방 웹사이트와 웹서비스"를 HTTP에서 HTTPS로 바꾸라 주문하고 있다.

미국 정부, 공공기관용 최상위도메인인 .gov 도메인이름을 쓰는 웹사이트에 적용된 HTTPS 보안 수준별 확산 추이. [자료=미국 연방 조달청]

미국 공공정보화 소식을 다루는 매체 FCW에 따르면, 당시 OMB 서한의 목적은 연방 웹사이트 보안 수준을 민간 부문에 맞춰 공공기관들이 더 강력한 프라이버시 표준을 더 많이 채택하게 만들고, 기술 전환에 필요한 현실적인 일정을 제공하기 위한 것으로 요약됐다.

[☞참조링크: 3 in 10 agency websites miss OMB deadline to migrate to HTTPS]

GSA 대변인은 OMB 정책이 추진된 이래로 ".gov 하위도메인 기반으로 운영되는 웹사이트의 HTTPS 지원이 크게 늘었다"며 "정부 통계의 웹 트래픽 데이터는 HTTPS가 .gov 하위도메인 기반으로 운영되는 대다수 웹사이트의 접속 요청에 사용되고 있음을 보여 준다"고 밝혔다. 이어 "2017년엔 더 진척될 것"이라며 "공공기관들은 그들의 도메인을 가능한한 많이 전환해 (보안) 격차를 줄여야 한다"고 덧붙였다.

이전부터 트위터와 페이스북같은 글로벌 소셜네트워크 서비스가 HTTPS 접속을 기본 지원해 왔다. 최근 구글은 크롬 브라우저에서 HTTPS 미적용 웹사이트 방문자에게 경고를 띄우고, 웹콘솔 알림을 통해 사이트 관리자에게 HTTPS 적용을 유도할 계획을 밝혔다. 애플도 앞서 모든 앱스토어 등록 앱의 웹 접속을 HTTPS 암호화 통신으로 수행케 하려는 정책을 올해 적용하겠다고 예고했는데, 개발자들의 준비 상황이 여의치 않아 보류한 상태다.

[☞관련기사: 트위터, 사이트 보안 강화…"모바일앱도 확인하세요"]