(사진=청와대 홈페이지 캡처)
청와대를 비롯해 상당수의 정부부처와 연구기관이 홈페이지 운영에 정보보호의 최소장치로 불리는 HTTPS를 활용하지 않는 것으로 나타났다.
바른미래당 박선숙 의원이 22일 국가과학기술연구회와 25개 정부출연연구기관 국정감사를 앞두고 각 연구원과 주요 공공기관 홈페이지의 웹 표준 보안조치를 점검한 결과 정부조직법이 규정한 18개 중앙행정기관 중 과학기술정보통신부를 제외한 모든 기관의 홈페이지에 '주의요함' 메시지가 뜨는 것으로 확인됐다.
연구기관 중에는 국가과학기술연구회, 한국식품연구원과 부설 세계김치연구소, 한국에너지기술연구원 등 4기 기관의 홈페이지에 HTTPS 보안 조치가 돼 있지 않았다.
HTTPS(Hypertext Transfer Protocol Secure)는 보안에 취약한 온라인의 통신의 인증과 암호화를 위해 미국 넷스케이프가 1995년 개발한 보안 기술로, 국제인터넷표준화기구(IETF)는 1999년 HTTPS를 표준규약으로 정했다.
HTTPS는 웹사이트의 보안 문제를 모두 해결해주는 고급 해결책은 아니지만 IETF가 표준규약으로 정할 정도로 기반이 되는 기술로 평가되고 있다.
이에 구글은 자사가 개발한 웹브라우저 크롬 이용시 HTTPS 기반이 아닌 웹사이트에 접속하면 보안경고 메시지를 띄워 이용자에게 알린다.
미국 정부도 2015년 보안 강화를 위해 백악관 정책지시를 시작으로 국토안보부 행정지침, 상원의원 공개서한에 이르기까지 적극적인 조치를 강조하는 'HTTPS-ONLY' 정책을 펼치고 있다.
연방 정부기관이 운영하는 대국민 서비스 홈페이지의 경우 개인정보의 이용 유무와 무관하게 HTTPS를 조치하도록 했다.
미국 백악관 홈페이지를 크롬으로 접속하면 '이 사이트는 보안 연결(HTTPS)이 사용되었습니다'라는 문구가 뜬다.
(사진= 미국 백악관 홈페이지 캡처)
반면 청와대 홈페이지에 접속하면 '이 사이트는 보안 연결(HTTPS)이 사용되지 않았다'며 '이 사이트에 입력하는 비밀번호나 신용카드 번호 등의 정보는 공격자에 의해 도난당할 수 있습니다'라는 경고 문구를 확인할 수 있다.
'행정·공공기관 웹사이트 구축·운영 가이드'를 제공하고 있는 행정안전부를 비롯해 방송통신위원회, 원자력안전위원회 등도 '주의요함' 상태다.
국가과학기술연구회와 한국식품연구원, 한국에너지기술연구원은 개인정보가 다뤄지는 연구비리 제보 페이지, 기술이전 상담 페이지, 회원가입·로그인 페이지에서조차 HTTPS 조치를 하지 않은 것으로 나타났다.
한국인터넷진흥원의 '보안서버 구축 안내서'는 "웹사이트상 보안서버 인증마크는 개인정보보호의 신뢰성을 사용자에게 보여줄 수 있다"며 HTTPS 조치가 정보유출과 위조사이트 방지는 물론 기업의 신뢰도 향상에도 중요하다고 지적하고 있다.
박선숙 의원은 "국가 정보보안의 기초적 인프라를 성실하게 세운 미국과 다른, 청와대를 비롯한 우리 정부기관의 사례는 어느 관점에서 보더라도 즉시 보완돼야 할 필요가 있다"며 "급격한 기술 발전으로 이런 보안 조치도 곧 무력해질 가능성이 있으므로 더 고도화된 기술에 대응하는 더 높은 보안 수준을 준비해 가야 한다"고 말했다.