정부, 공공사이트 HTTPS 보안경고 없앤다

정부가 방문자의 브라우저와 운영체제(OS)를 차별하는 공공사이트 HTTPS 접속 문제를 해결하기 위해 지난달까지 파이어폭스 브라우저 개발사 모질라와 협의를 진행했다. 이달(12월)중 모질라의 최종절차를 거치면 내년부터 파이어폭스로 공공사이트 HTTPS 접속이 가능해진다.

■무슨 일 있었나

그간 정부는 웹사이트와 방문자간 통신을 암호화한 HTTPS 확산에 발맞춰 움직여 왔다. 전자정부 주무부처인 행정안전부 차원에서 수년 전부터 HTTPS 기반 접속 환경을 갖추려는 정부부처, 산하기관, 지방자치단체에 공공사이트용 보안서버 인증서(G-SSL)를 보급 중이었다.

파이어폭스 사용자가 공공사이트 HTTPS 접속시 정상적으로 접속이 안되거나 보안경고를 접했던 문제가 해결될 전망이다. 정부가 G-SSL 인증서 정보를 브라우저 인증서 저장소에 적용해 달라는 내용으로 모질라와 최근 협의를 마치고 내년초 적용을 앞뒀다고 최근 밝혔다.

G-SSL 확산은 꾸준했지만 정작 이를 채택한 공공사이트가 방문자에게 향상된 보안 환경을 제공하지 못하는, 즉 미흡한 '멀티브라우저 미지원' 문제가 대두됐다. 모바일 및 비윈도 브라우저는 HTTPS 접속시 '보안 경고' 문구를 띄우는 현상이다. [☞관련기사]

행안부나 산하기관인 한국정보화진흥원 등 공공사이트에 G-SSL 기반 HTTPS 접속이 가능한 방문자 환경은 마이크로소프트(MS) 윈도 기반 일부 브라우저 뿐이다. 인터넷익스플로러(IE), 엣지, 크롬 정도다. 맥OS, 리눅스, iOS, 안드로이드, 파이어폭스는 미지원이다.

이런 미지원 브라우저를 쓰는 방문자는 G-SSL 인증서를 쓴 공공사이트에 HTTPS 접속을 시도하면 보안경고를 띄우거나, 서버 응답이 없다는 등의 안내를 받게 된다. 이를 넘기려면 찜찜한 보안경고를 무시하는 '예외'로 치거나, 덜 안전한 HTTP 접속을 해야 한다. [☞관련기사]

■공공사이트 HTTPS 접속, 왜 브라우저 차별하나

공공사이트에서 방문자에게 경고를 띄운다해서, G-SSL 인증서의 보안성이나 기술적 결함을 탓할 일은 아니다. 모바일 및 비윈도 PC 환경에서 주요 브라우저를 쓰는 방문자에게 HTTPS 접속시 보안 경고를 띄우지 않으려면 정부와 브라우저업체간 협의가 필요하기 때문이다.

정부 인증서 기반 공공사이트가 어떤 방문자 브라우저를 지원하려면, 해당 브라우저의 '루트인증서 저장소'란 곳에 G-SSL 정보가 미리 들어가 있어야 한다. 이렇게 할 수 있는 건 브라우저 개발업체뿐이다. 이를 위해 정부는 각 브라우저 개발업체에 G-SSL 지원을 요청해야 한다.

MS는 이미 정부 요청에 따라 윈도 내장 브라우저의 루트인증서 저장소에 G-SSL 정보를 추가했다. 그래서 이 저장소 정보를 공유하는 인터넷익스플로러(IE), 엣지, 윈도용 크롬 등 브라우저에선 문제 없이 공공사이트 HTTPS 접속이 된다.

파이어폭스를 만드는 모질라, 사파리 브라우저 및 맥OS와 iOS를 만드는 애플, 크롬 브라우저와 안드로이드 OS를 만드는 구글은 아직 MS처럼 루트인증서 저장소에 G-SSL 정보를 추가하지 않았다. 그래서 비윈도PC와 주류 모바일OS로는 공공사이트 HTTPS 접속이 안 됐다.

■행안부 "공공사이트 HTTPS 멀티브라우저 미지원, 내년엔 해결"

정부도 이 문제를 알고 있다. 2년 전인 2015년부터 MS, 모질라, 구글, 애플 등에 인증서 정보 추가를 요청했다. MS가 비교적 일찍 그 요청을 수용한 결과, 윈도PC와 내장된 IE 및 엣지 브라우저에선 문제가 없다. 나머지 브라우저에 인증서 정보를 추가하려면 별도 절차가 필요하다.

현재 행안부 산하기관 한국지역정보개발원이 브라우저 업체별 인증서 정보 추가를 위한 실무 및 협의를 진행 중이다. 한국지역정보개발원은 G-SSL 보급과 '웹트러스트'라 불리는 보안서버인증서 국제인증 획득 및 갱신 업무를 맡아 왔다. 브라우저 업체와의 협의도 그 연장이다.

지난 8일 행안부 측은 한국지역정보개발원을 통해 모질라에 G-SSL 인증서 정보 추가를 요청한 절차가 마무리됐다고 밝혔다. 설명에 따르면, 이달(12월)중 모질라 내부 토론을 거쳐 추가 여부가 결정된다. 추가가 결정되면 내년 1월쯤부터 파이어폭스 인증서 저장소에 반영된다.

모질라가 G-SSL 정보를 담으면 안드로이드, 윈도, 맥OS, 리눅스 파이어폭스를 쓰는 방문자의 공공사이트 HTTPS 접속도 원활해질 것으로 기대된다. 정부는 이미 지난 3월에도 멀티브라우저를 곧 지원할 수 있다고 답했지만, 이는 당시 부처 담당자의 착오로 보인다. [☞관련기사]

■크롬·사파리 등 다른 브라우저는 별개

파이어폭스 브라우저는 OS와 무관하게 자체 인증서 저장소를 쓴다. 윈도, 리눅스, 맥OS, iOS, 안드로이드에서 파이어폭스를 통한 공공사이트 HTTPS 접속은 한 번에 해결될 수 있다. 하지만 iOS의 사파리나 안드로이드의 크롬 등을 쓰는 방문자 환경은 파이어폭스 환경과 별개다.

정부가 향후 구글, 애플과의 협의를 거친다면 안드로이드, iOS 등 모바일 환경에서도 원활한 공공사이트 HTTPS 접속을 지원할 수 있게 된다. 이를 위해 정부는 각 브라우저 인증서 저장소에 G-SSL 정보를 추가할 절차를 따로 밟아야 할 수도 있다. 그 추진 여부는 불분명하다.

정부와 나머지 브라우저 업체간 별도 절차가 요구된다면 향후 상당한 추가 시일이 소요될 수 있다. 모질라는 2015년부터 파이어폭스에 G-SSL 인증서 정보를 추가하려는 정부의 요청을 받아, 통상적인 절차에 따라 행안부의 루트 인증기관(Root CA) 자격을 검토해 왔다. [☞참조링크]

브라우저 개발사 관점에서 정부의 G-SSL처럼 외부 제3자 서명이 아니라 조직의 자체 전자서명으로 발급되는 보안인증서를 루트(Root)인증서라 하고, 행안부처럼 이를 발급하는 조직을 루트 인증기관이라 부른다. MS에 비해 모질라의 루트 인증기관 자격 검증은 더 까다로웠다.

모질라 사이트를 통해 담당자 아론 우(Aaron Wu)가 한국지역정보개발원 실무자와 협의하면서 지난달(11월) 30일까지 행안부의 루트 인증기관 자격 확인에 필요한 정보 요청, 검증을 수행했음을 알 수 있다. 다만 G-SSL 인증서 추가 여부가 토론 안건으로 다뤄진다는 행안부 측 설명은 확인되지 않는다. [☞참조링크]