공공 웹사이트 중 일부는 암호화(HTTPS)가 되지 않은 상태로 운영된다. 정부는 기술적 문제와 인증 문제로 2025년 전면 도입한다. 아직 3년이나 이용자를 보안 위협에 노출한다.
인터넷 사이트에 접속할 때 첫 시작은 보통 HTTP 또는 HTTPS로 시작한다. 두 방식은 비슷한 듯 하지만 완전히 다르다. HTTPS의 가장 뒤에 붙는 S는 보안(Secure)을 의미한다. 쉽게 말해 HTTPS는 보안 프로토콜인 SSL(TLS)을 이용해 인터넷에 접속한다. HTTP보다 보안이 강화된 형식이다. 반면 HTTP는 사용자 PC와 웹사이트 간 정보를 평문으로 송·수신한다. 해킹과 같은 보안 위협에 취약하다.
공공기관 웹사이트의 암호화 문제는 오래전부터 지적이 됐지만, 기술적 문제와 현장의 반대로 개편 속도가 더디다. 행안부는 2016년 행정 전자서명 인증체계(GPKI)를 기반으로 정부 개발 웹서비스 인증서(G-SSL)를 활용한 HTTPS를 지원했다. 하지만 구글 크롬이나 마이크로소프트 엣지와 같은 인터넷 브라우저는 한국 정부의 행정 전자서명 인증관리센터를 인증기관(CA)으로 인정하지 않는다. 웹사이트에 접속할 때 ‘안전하지 않은 사이트’라는 오류문이 나오는 문제가 발생했다.
G-SSL 의무 적용을 권고하던 행안부는 결국 G-SSL 발급을 중단했다. G-SSL 인증서로 멀티 브라우저 환경 지원을 추진했지만 결국 실패했다. 대신 민간 SSL 인증서 이용을 권고했다. 더욱 가관인 것은 행안부는 국정감사에서 공공기관 웹사이트 보안 문제를 지적을 받기 전까지 별다른 조치를 취하지 않았다. 김영배 국회 행정안전위 소속 의원(더불어민주당)은 2020년 국정감사에서 법제처 홈페이지를 해킹하는 시연을 했다. 이후 공공 웹사이트 암호화 이슈가 공론화됐다. 행안부는 부랴부랴 2020년 말부터 ‘HTTPS-ONLY’ 정책을 검토했고, 공공기관에 HTTPS 적용을 권고 중이다.
행안부는 법에 따라 개인 정보를 다루는 기관에는 HTTPS를 의무화하지만, 그렇지 않은 기관에는 권고만 한다. 개인 정보를 다루는 기관 중 99.6%는 HTTPS를 적용했다고 밝혔다. 하지만 아직 웹사이트 암호화를 적용하지 않은 공공 웹사이트의 수는 학교를 제외하고 1만2000~3000개쯤에 달한다.
HTTPS 늑장 대응 사례는 과거 한국 공공기관의 액티브X 장기 사용 사례와 데자뷔 된다. 액티브X는 마이크로소프트웨어가 인터넷 익스플로러의 활용도를 높이기 위해 만든 것이지만, 해커의 악성코드 유포지 역할을 하거나 무수히 많은 프로그램 설치에 따른 PC 속도 저하 유발, 크롬 등 다른 브라우저와의 호환성 문제 등 다양한 불편을 유발했다.
액티브X는 한국 정부와 공공기관, 웹사이트 등만 오랫동안 사용한 기능이다. 2014년 인기 드라마 ‘별에서 온 그녀’ 속 주인공 전지현이 입고 나온 후 인기를 끈 ‘천송이 코트’를 액티브X 때문에 다른 나라에서 구입할 수 없다는 지적이 나오며 액티브X 퇴출에 속도가 붙는 듯 했다. 하지만 이후 6년 후인 2020년은 돼서야 공공기관 홈페이지에서 액티브X가 사라졌다. 당시에도 액티브X 금지를 바로 강제할 수 없다는 이유로 시일이 차일피일 미뤄졌었다.
행안부 관계자는 "현행법에 따라 개인정보를 송수신할 때는 HTTPS 적용을 하고 HTTP로 접속하더라도 HTTPS로 자동전환(리다이렉션) 적용을 하도록 돼 있다"며 "‘HTTPS-ONLY’ 정책은 계속 진행 중이며, 2021년에도 공공기관에 세 차례의 권고를 진행했다"고 말했다.
이어 "다만, 전면 도입은 시스템 부하 때문에 즉시 적용이 어렵다는 현장의 의견과 G-SSL 시스템 구축에는 전문가의 연구 등으로 시간이 걸리는 문제 때문에 2025년쯤으로 계획을 잡고 있다"며 "2022년 업무계획에 포함되지는 않았지만 내부적으로 계속해서 준비해 나가고 있다"고 설명했다.
류은주 기자 riswell@chosunbiz.com