• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

미국 국방부 웹사이트 일부도 HTTPS 없어... 신뢰 문제 제기돼 2018.05.24

상원 의원, 국방부 새 CIO에 HTTPS 도입하라고 메시지 보내
보안 업계는 CIO의 응답 기다리고 있어...“국방부 전체 강화되길”

[이미지 = iclickart]

[보안뉴스 문가용 기자] HTTPS를 도입하는 곳이 빠르게 늘어나고 있다. 이제 HTTP가 아니라 HTTPS가 웹 표준으로 보일 정도다. 하지만 아직도 HTTPS로 옮기지 않은 조직들이 다수 남아있는 것이 현실이다. 여기에는 미국 국방부도 포함되어 있다. 이에 미국 상원 의원인 론 와이든(Ron Wyden)은 국방부의 CIO인 데이나 디지(Dana Deasy)에게 “HTTPS로의 전환을 서두르라”고 촉구하는 서한을 보냈다.

현재 HTTPS가 디폴트로 설정된 국방부 웹사이트는 미국 육군, 미국 공군, NSA 홈페이지 등이다. 이 사이트들은 유명 웹 브라우저들이 신뢰하는 인증서들을 사용하고 있기도 하다. 그러나 해군, 해병대, CIO 사무국 웹사이트들은 HTTPS를 사용하고 있지 않거나, 최고 인증 기관에서 발급한 인증서가 아닌 국방부 인증서를 사용 중에 있다고 와이든은 지적했다.

“제가 언급한 웹사이트에서 사용하는 국방부 인증서는 대부분 웹 브라우저들이 ‘신뢰할 만하다’고 인정한 인증서가 아닙니다. 그러므로 이러한 브라우저들을 사용하는 사용자들은 국방부가 운영하는 웹사이트를 탐색하면서도 보안 경고를 보고 불안해야만 합니다. 미국의 국방부 사이트를 방문하면서 경고 화면에 놀라게 하는 건 적절하지 않습니다.”

미국 정부기관이 HTTPS 도입 문제로 압박을 받은 건 이번이 처음이 아니다. 2015년에는 행전 관리 예산국(Office of Management and Budget, OMB)가 연방 정부 기관들에 HTTPS 암호화 기능을 도입하라고 촉구한 바 있다. 2017년에는 미국 국토안보부가 이를 받아 보다 강력한 지침을 연방 정부 기관들에 내리기도 했다.

“공공 인터넷으로 연결이 가능한 웹사이트는 개인정보가 유출될 수 있는 통로가 되기도 합니다. 뿐만 아니라 국방과 안보에 치명적인 악영향을 줄 수 있는 데이터 유출도 야기할 수 있습니다.” 버그 바운티 플랫폼인 버그크라우드(Bugcrowd)의 정부 솔루션 책임자 마이크 청(Mike Chung)의 설명이다.

또 다른 버그 바운티 플랫폼인 해커원(HackerOne)의 리사 위즈웰(Lisa Wiswell) 고문 역시 국가 기관이라면 반드시 HTTPS를 도입해야 한다고 주장한다. “이미 민간 부문의 사업자들은 HTTPS를 표준처럼 받아들인 지 오래입니다. 하지만 정부 기관에서의 이런 움직임은 더디기만 합니다. 요즘 같은 ‘사이버 공격의 시대’에 평문으로 데이터를 전송한다는 건 위험하기 짝이 없는 발상입니다.”

보안 업계는 현재 데이나 디지 CIO의 대응에 주목하고 있다. 디지는 지난 4월에 CIO로 임명됐으며, 그 전까지는 JP모건 체이스(JPMorgan Chase)에서 CIO를 역임했다. 청은 “와이든 의원의 요청을 받아들이는 것 말고는 선택의 여지가 그리 많아 보이지 않는다”고 말한다. “그리고 어차피 해야만 하는 일이죠.”

와이든 의원 역시 “취약한 부분을 그대로 놔두었을 때의 결과가 점점 더 끔찍해지고 있다”며 “구글 역시 7월부터 HTTPS를 사실상 표준으로 받아들이겠다고 공표한 상태”라고 강조했다. “구글의 크롬 브라우저로 누군가 국방부 사이트들을 방문했다고 하면 어떻게 될까요? 신뢰할 수 없는 사이트라는 경고가 뜨고, 이는 곧 국방부 전체에 대한 신뢰 문제로 이어질 겁니다.”

와이든은 서한을 통해 세 가지를 제안했다.
1) OMB와 국토안보부가 발행했던 과거 지침들을 참고해 HTTPS를 도입하는 것.
2) 웹 브라우저 제조사들이 신뢰하는 인증서들을 구해 적용할 것.
3) 유효기간이 짧고, 기계가 생성한 인증서를 사용했을 때의 장단점을 객관적으로 평가할 것.

“사실 저는 디지라는 새로운 인물이 국방부 보안 시스템 전체를 강화시켜줬으면 합니다. 국방부가 운영하는 모든 공개 웹사이트들이 전혀 새로운 수준의 보안 장치를 장착하기를 바란다는 것이지요. 동시에 모자란 보안 인력 충원 문제에도 해결책을 제시하기를 희망하고 있고요.”

청은 “현재 미국 정부 기관은 사이버 보안이라는 측면에서 매우 어려운 시기를 지나고 있다”고 설명한다. “지금 미국 연방 정부기관들의 보안 상태는 엉망입니다. 자료에 의하면 연방 정부에서 사용하는 앱들이 가장 약하고, 취약점 스캔 점검을 매주 받는 경우도 극히 드물더군요(4%). 이런 식으로 사이버전을 감당할 수 있을는지 모르겠어요.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>