SSL에는 두 가지 기능이 있습니다. '암호화'와 '신뢰성'이 그것입니다. 먼저, '암호화'는 이해하기 쉽습니다. 말 그대로 웹 브라우저와 웹 서버 사이의 통신을 암호화해서 다른 사람이 도청하지 못하게 합니다.
'신뢰성'은 이런 것입니다. 여러분이 어떤 웹 사이트를 방문할 때, 그 사이트가 정말로 내가 아는 사람에 의해 만들어졌는지 판단하는 것은 상당히 어렵습니다. 그래서 SSL 통신에서는 '인증서'라는 것으로 사이트 제작자가 내가 아는 그 사람이 맞다는 것을 보장해줍니다. 공인인증서와 비슷하다고 생각하시면 됩니다.
SSL 인증서는 공짜가 아닙니다. '신뢰할 수 있는' 몇몇 회사가 인증서를 판매하는데, 대표적인 회사가 베리사인(VeriSign)입니다. 가격은 종류에 따라 다르지만 몇십만 원 정도 합니다. 또한 유효 기간이 있어서 해마다 연장해야 합니다.
그렇다면 웹 서버에서 SSL을 사용하려면 무조건 인증서를 구매해야 하느냐? 그건 아닙니다. 스스로 인증서를 발급할 수도 있습니다. 그러나 그것은 '신뢰할 수 있는' 회사가 발급한 것이 아니기 때문에, 웹 브라우저로서는 '의심스러울' 수밖에 없습니다. 해커가 자기 자신을 마이크로소프트라고 속이는 인증서를 만들 수도 있으니까요.
그래서 대부분의 브라우저는 신뢰할 수 없는 인증서를 사용하고 있는 SSL 웹 서버에 접속할 때 경고를 표시합니다.
인터넷 익스플로러 6에서는 이렇게 보입니다.
그런데, 파이어폭스 3로 넘어오면서 변화가 생겼습니다. 파이어폭스 3에서는 이렇게 보입니다.
상황은 같은데, 훨씬 더 '심각해 보이도록' 변했지요.
최근 Nat Tuck이 작성한 '모질라 SSL 정책은 웹에 안 좋다'라는 글에 따르면, 이러한 경고 화면은 웹에 악영향을 끼칠 수 있습니다.
인증서를 구매하지 않고 SSL를 사용하는 웹 서버는 상당히 많습니다. 비싸기 때문이지요. 또한, 인증서를 사용하지 않아도 '암호화' 기능은 얻을 수 있습니다. 그런데 파이어폭스 3의 새로운 경고 화면은 SSL을 사용한 사이트가 일반 사이트보다도 위험한 것처럼 보이게 합니다.
물론 파이어폭스 3의 취지는 이해할 수 있습니다. 가짜 인증서로 '낚시'를 하는 경우에 대비한 것이겠지요.
그러나 Nat Tuck에 따르면 이와 같은 정책은 결과적으로 다음과 같은 두 가지 영향을 끼칠 수 있습니다.
1. 몇몇 사이트가 SSL 인증서 구매 압력을 받게 될 것입니다. 과거에는 SSL 인증서가 없어도 괜찮았는데 말입니다. 결국, '신뢰'를 돈을 주고 사야 하냐는 비판이 나올 수 있습니다.
2. 몇몇 사이트는 위와 같은 화면이 나오는 것을 방지하기 위해 아예 SSL을 포기할 것입니다. 이렇게 하면 SSL이 가지고 있는 암호화 기능까지 사용할 수 없게 되어 결과적으로 사용자는 더욱 큰 위험에 노출될 것입니다.
제 생각에도 '허용'하기 위해 클릭이 4번이나 필요한 오류 화면은 지나쳐 보입니다. 사용자의 선택권을 좀 더 존중하는 방법이 어떨까요. 보안성을 유지하면서도, 좀 더 편리하게 허용할 수 있도록 인터페이스를 개선하는 것이 좋을 것 같습니다.
그게 어렵지만요. :-)
ps: 이 페이지에서 직접 경고 화면을 보실 수 있습니다.
Posted by 랜덤여신
