HTTPS를 사용해야 한다는 의식이 높아졌으면

어떤 고등학생이 만든 한글 입력 프로그램이 있다. 그 고등학생은 지금은 어른이 되어 국내 유명한 대학교에서 박사 과정 수행 중이라고 한다. 그 한글 입력 프로그램은 아직도 유지되고 있는데, 아주 정성과 시간을 많이 들여 만든 복잡한 프로그램임에 틀림이 없다. 그런데 문제가 한 가지 있다. 프로그램이 디지털 서명되어 있지 않은 것이다. 그 사람의 홈페이지는, "디지털 서명이 되어 있지 않지만, 지난 십 여 년 간 이 프로그램을 개발해 온 저를 믿으신다면 안심하고 설치하세요" 비슷한 문구가 있었다.

컴퓨터 정보 분야는 아니었지만, 컴퓨터 공학 박사 과정을 수행하고 있는 사람이 이런 말을 할 수 있다는 게 사실 잘 믿기지 않는다. 프로그램을 서명하는 것은, 프로그램 개발자를 믿고 안 믿고의 문제가 아니다.  그 사람이 악의적 프로그램을 만들지 않을 것은 나도 절대 의심하지 않는다. 하지만 문제는 그 사람과 최종 사용자의 중간에 있는 사람들이 악의적일 수 있다는 것이다. (소위, man-in-the-middle attack) 그 게 HTTPS가 존재하는 이유가 아닌가? 그 사람의 프로그램은 디지털  서명이 되어 있지 않다. 그 사람의 홈페이지도 HTTPS를 사용하지 않고 있다. 네트워크 라우터를 조작할 수 있다면, 그 사람의 홈페이지를 그대로 복사한 가짜 사이트를 그 사람의 진짜 홈페이지 주소로 보여지게 할 수 있다. 그 후 바이러스 등을 넣어 조작한 그 프로그램을 올려 놓는다면? 그 뿐 아니라, 그 프로그램을 받아서 바이러스 등을 넣어 다른 사이트 등에 올리는 것도 가능하다.

방금 본 외국 사이트의 IT 사이트의 뉴스에서 6억 대 정도의 삼성 갤럭시 스마트폰이 공격을 받을 수 있다는 기사를 보았다. 원인은 간단한 것이었다. 삼성이 갤럭시에 내장한 키보드 프로그램이 업데이트를 할 때,  HTTPS가 아닌 HTTP 서버를 이용하며, 업데이트 파일 자체도 서명하지 않았기 때문이다. 기본적으로 앞서 말한 그 사람의 프로그램과 같은 문제이다.

요즘 인터넷을 보면, 거의 아프리카 사바나같다. 맹수가 득실거리며 언제 어디서 뛰어나와서 목을 물어 뜯을 지 모르는 게 사바나이듯이, 인터넷에도 악의를 가진 해커들이 득실거리며, 조금만 틈을 보이면 그 틈을 이용해 해킹해 자기의 이익을 챙기려고 하고 있다. 다들 HTTPS의 필요성에 대해 좀 다시 한 번 생각해 줬으면 좋겠다. 특히 기업들... 몇 십 만 원 아끼려고 고객을 위험에 몰아 넣는 일은 하지 않았으면 한다.