정부 "공공 사이트 HTTPS 보안경고 조만간 해결"

정부가 공공 웹사이트 방문시 경고를 띄워 불편했던 HTTPS 접속 문제를 조만간 해결하겠다고 공언했다. 현재 마이크로소프트(MS) 윈도 환경을 제외한 주요 데스크톱 및 모바일 기기와 브라우저에선 대다수 공공 웹사이트에 보안이 강화된 HTTPS 접속이 매끄럽지 않았다.

웹브라우저가 방문한 웹사이트 서버와 HTTPS 암호화 통신을 수행하고 있을 때 주소창에 이런 자물통 아이콘이 표시된다. 서버에 적용된 SSL인증서의 신뢰성이 확인돼야 한다. [사진

행정자치부는 8일 약 1만여곳에 달하는 전자정부 웹서비스에 적용된 G-SSL 인증서의 국제신뢰성마크 '웹트러스트' 인증을 갱신했다고 발표했다. 지난 2015년 10월 최초 인증에 이은 인증 갱신은 행정전자서명운영체계(GPKI) 국제표준 부합여부를 재확인한 것이라고 강조하기도 했다.

행자부는 인증 갱신을 바탕으로 주요 브라우저 개발사와 조만간 협의를 완료해 정부사이트의 신뢰성이 제고될 것이라고 덧붙였다. 이는 PC와 모바일 플랫폼의 여러 브라우저에서 주요 공공 웹사이트에 HTTPS 방식으로 접속할 때 뜨는 보안 경고를 없앨 수 있다는 예고로 이해된다.

HTTPS 접속은 홈페이지 방문자와 암호화 통신을 수행하는 기술이다. 이를 위해 웹서버에 적용할 SSL 인증서가 필요하다. 인증기관(CA)이 SSL 인증서를 발급한다. CA가 믿을만하면 그 인증서도 믿을만한 걸로 간주된다. 주요 브라우저는 그런 믿을만한 CA 목록을 미리 탑재한다.

행자부가 직접 발급하는 SSL 인증서가 G-SSL 인증서다. 즉 행자부가 CA 역할이다. 구글, 모질라, 애플은 현재 행자부를 믿을만한 CA로 간주하지 않는다. 그래서 이들의 브라우저로 G-SSL 인증서를 쓴 한국 정부부처, 산하기관, 지방자치단체에 HTTPS 접속시 경고가 뜨는 것이다.

[☞관련기사: ‘HTTPS’ 적용 공공사이트, 브라우저 차별 심하다]

그럼 행자부의 G-SSL 웹트러스트인증 갱신과 브라우저 HTTPS 경고 표시의 관계는 뭘까. 요약하면 웹트러스트인증은 행자부가 브라우저 개발업체들에게 믿을만한 CA이자 인증서 발급처라는 것을 증명하기 위한 최소요건이다.

행자부는 "2017년부터 모든 웹브라우저에서 국제기준 인증을 요구하고 있으며 매년 웹트러스트인증심사를 거쳐 웹사이트 보안강화를 추진하고 있다"면서 "인증을 받지 않은 사이트에서 보안 경고가 나타나 국민들에게 정부사이트에 대한 신뢰 손상이 우려돼왔다"고 설명했다.

다시 말해 브라우저 개발업체더러 브라우저를 만들 때 G-SSL 인증서를 쓰는 웹사이트가 경고를 안 띄우게 해달라고 요구하기 위한 근거다. 행자부가 말한 '브라우저 개발사와의 협의'는 이를 가리킨다. 사실 행자부가 개발사와 협의 중이라는 얘기는 새로운 게 아니다.

[☞관련기사: HTTPS 불편한 공공 사이트…언제 해결되나]

행자부의 요구를 수용한 건 MS뿐이다. 윈도 기반 IE와 크롬 브라우저에서 공공사이트 방문시 HTTPS 경고가 안 뜨는 이유다. 구글, 모질라, 애플은 아직 수용하지 않았다. 맥과 iOS, 안드로이드, 리눅스에서 이 개발사들의 브라우저가 경고를 표시하는 이유다.