세계일보

검색

[팩트체킹] HTTPS 앞세워 '공포 마케팅'하는 구글

입력 : 2017-02-16 07:00:00 수정 : 2017-02-15 20:33:55

인쇄 메일 글씨 크기 선택 가장 작은 크기 글자 한 단계 작은 크기 글자 기본 크기 글자 한 단계 큰 크기 글자 가장 큰 크기 글자

구글의 크롬 브라우저에 네이버 도메인을 치면 '이 사이트에 대한 연결은 안전하지 않다'라는 경고문구가 뜬다. 사진=크롬 화면 갈무리
최근 구글이 웹 표준 보안기술인 'HTTPS'(Hypertext Transfer Protocol over Secure Socket Layer)를 앞세워 네이버와 다음 등 포털을 비롯한 국내 대부분 사이트들에 대해 '안전하지 않다'고 주장해 후폭풍에 휩싸이고 있다.

보안상 안전 문제를 내세워 다른 사이트들에 사실상 '낙인'을 찍으면서 이슈 선점에는 성공했지만, 지나친 논리 비약과 의도적인 경쟁사 깎아내기가 아니냐는 비판이 일고 있다. 나아가 '허위 사실을 퍼뜨리고 있다'며 반발하는 업체도 나타났다. 인터넷 보안의 중요성을 높이려는 노력이라는 구글 측 설명에도 이 같이 보기에는 도를 넘은 처사가 아니냐는 지적을 산다. 이런 노력이 부작용을 일으켰다고 주장할 수도 있겠으나 회사 마케팅을 위해 누리꾼들에게 무리한 공포심을 심고 있다는 반론도 맞선다.

◆HTTPS가 뭐길래?

16일 정보기술(IT) 업계에 따르면 HTTPS는 인터넷으로 송·수신하는 데이터를 암호화하는 보안기술이다. 암호화돼야 중간에 해커가 데이터를 가로채도 그 내용을 알 수 없다. 우리나라는 정보통신망법에 의해 로그인 구간에만 법적으로 HTTPS를 적용토록 하고 있다.

HTTPS를 둘러싸고 최근 구글이 일으킨 논란의 발단은 지난 13일 구글코리아가 '인터넷과 보안'을 주제로 연 기자간담회였다. 크롬의 보안 담당 파리사 타브리즈 엔지니어링 디렉터는 이 자리에서 인터넷 보안을 위해서는 모든 영역에 HTTPS를 지원해야 한다고 주장하면서 HTTPS를 적용하지 않은 사이트에 '안전하지 않은 사이트'라는 경고를 내보내고 있다고 설명했다.

그렇다 보니 현재 크롬 브라우저에서는 국내 대부분 사이트가 '안전하지 않은 사이트'라는 경고를 받고 있다.

국내 보안업계는 구글의 이러한 정책이 의외라는 반응을 보인다. HTTPS가 중요한 보안기술인 것은 분명하지만, 이를 적용하지 않는다는 이유 만으로 경고 표시를 보내는 건 무리가 있다는 지적이다. 이는 구글의 독자적인 정책이지 웹 표준과 무관하다는 목소리도 제기된다. 구글이 자사 이익을 위해 일방적으로 밀어붙이고 있다는 게 이런 목소리의 주류이다.

크롬의 정책에 문제점이 있다는 지적도 빗발친다. 전문가들은 실제 웹사이트에 적용되는 보안 수단은 HTTPS 외에도 매우 다양한데, HTTPS만으로 사이트를 평가하게 하는 것은 이용자로 하여금 자짓 잘못된 보안인식을 심어줄 수 있다고 입을 모은다. 실제 안전하지 않은 사이트임에도 HTTPS를 적용했다는 것만으로 '안전하다'고 오판하게끔 유도한다는 주장이다. 이를 두고 보안 전문가들은 'Security Theater(보안 극장)'의 함정에 빠졌다고 표현한다.

◆"구글은 안전하고, 네이버·다음은 위험하다고?"

파리사 타브리즈(사진) 구글 엔지니어링 디렉터는 여기서 한 발 더 나아가 네이버와 다음을 직접 정조준해 '안전하지 않다'고 직격탄을 날렸다.

이에 네이버와 다음 측은 개인정보가 적용된 영역에 대해 HTTPS를 적용하고 있다고 당장 반박했다. 특히는 네이버의 검색어 영역까지 HTTPS를 구현해 중간 탈취가 불가능하다고 주장한다.

그럼에도 파리사 디렉터는 "개인정보가 오가지 않는 영역까지도 HTTPS를 적용해야 한다"며 "개인정보가 입력되지 않는 데이터라고 해도 누적되면 식별 가능한 정보가 된다"고 주장했다.

업계에서는 이 주장이 지나친 논리 비약이라고 입을 모은다. 한 관계자는 "누군지 모르는 특정 이용자의 행태 정보가 축적된다고 해도 해당 이용자를 식별할 수 있는 것은 아니다"라고 잘라 말했다.

나아가 파리사 디렉터가 "네이버에서 이용자들이 검색하는 모든 단어는 암호화되지 않아 누군가가 마음만 먹는다면 검색어를 여과 없이 볼 수 있다"고 주장한 점도 구설에 올랐다.

네이버는 검색어를 입력한 즉시 암호화하기 때문에 중간 탈취가 있을 수 없다는 입장이다. 실제 네이버 검색어는 입력 시점부터 암호화되어 서버로 전송된다.

이처럼 구글이 사실과 다른 주장을 강변하는 행태에 대해서는 '오만이 극에 달했다'는 지적도 나온다. 덩달아 국내 온라인 광고 시장을 큰 수익을 올리면서도 세금은 사실상 회피하고 있으며, 우리나라 정밀지도 데이터를 반출하는 과정에서 거짓말을 일삼았다는 보안 분야에서의 오래된 비판까지 다시 불이 붙은 형국이다.

네이버와 다음은 앞으로 메인 페이지에서도 HTTPS를 적용할 방침이다. 네이버 측은 "개인정보보호에는 아무런 문제가 없지만, 이용자들이 불안해하는 부분이 있을 것이라고 판단해 메인 페이지 자체에 HTTPS를 적용할 계획"이라고 밝혔다. 다음도 "로그인 이후 정보에 대해 HTTPS를 도입하고 있어 보안 문제는 전혀 없다"면서도 "로그인 전에도 HTTPS를 적용하는 방안을 검토하고 있다"고 전했다.

◆구글, 공포 마케팅 벌이는 '진짜 이유'

일각에서는 구글이 HTTPS를 앞세워 국내에서 '공포 마케팅'을 펼치는 데 대해 인증기관 사업을 위한 행보라는 해석도 나오고 있다.

지난달 구글은 암호화 기술 인정서를 발급하는 조직과 함께 최상위 인증기관 2곳을 인수, '구글 트러스트 서비스'(Google Trust Services)를 신설한다고 밝혔다. 이는 곧 구글 스스로 인증기관이 되는 것이다. 구글 트러스트 서비스는 HTTPS 암호화를 위한 통신용 인터넷 통신 규약의 프로토콜인 SSL(Secure Sockets Layer) 인증서를 지원하고 있다.

김현주 기자 hjk@segye.com


[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]

오피니언

포토

한지민 '우아하게'
  • 한지민 '우아하게'
  • 아일릿 원희 '시크한 볼하트'
  • 뉴진스 민지 '반가운 손인사'
  • 최지우 '여신 미소'