구글 크롬의 '안전'표시에 대한 믿음에 뒤통수를 때리는 피싱 사이트의 등장

최근들어 구글이 지속적으로 밀고 있는 정책이 있다. 바로 인증서를 통한 보안이 확보된 웹서비스에 대해서 안전하다는 표시를 웹브라우저의 주소 창에 보여주도록 하는 것이다. 현재 크롬 웹브라우저에는 HTTP로 접속하면 주소창 왼쪽에 느낌표(!) 아이콘이 뜨고 안전하지 않다(-.-)는 메시지를 띄운다. 그리고 HTTPS로 접속하면 안전함이라는 메시지를 띄우면서 녹색 아이콘이 뜨도록 되어 있다. HTTP와 HTTPS의 차이점은 SSL을 통한 보안 통신을 지원하는가의 여부로 구별된다. SSL은 Secure Socket Layer의 약자로 웹브라우저 등이 웹 서버에 접속할 때 보안 통신을 제공하는 프로토콜(약속이나 규약 같은?)이다.

SSL을 사용하기 위해서는 웹서버가 안전하다는 것을 입증하는 인증서가 필요하다. 보통 서버 인증서라고 하는데 사설로 만들 수도 있고 공인된 인증기관을 통해 발급 받을 수 있다. 크롬은 사설 서버 인증서는 인정하지 않고 공인된 서버 인증서만 인정하는 것 같다. 그리고 뭐 공인기관을 통해 서버 인증서를 발급 받으려면 당연히 돈이 들어간다. 어느 공인기관을 통하느냐에 따라 가격은 천차만별인데 조금은 비싸다는 느낌을 받을 수 있을 것이다. 대표적인 공인기관은 베리사인(Verisign)이나 코모도 등이 있다(엄밀히 따지면 공인기관이 아닌 인증서 발급 대행 서비스 기업이라고 보는 것이 더 맞을 것이다). 여하튼 이런 곳들을 통해서 서버 인증서를 발급 받고 서비스 웹 서버에 설치하게 되면 인증 유효 기간 동안에는 이 서버의 서비스는 인증받은 안전한 서비스라는 것을 공표하는 것이 된다. 그러면 당연히 크롬의 주소창 좌측에는 안전함이라고 녹색 아이콘이 뜨고 사용자들은 안심을 하면서 서비스를 사용하게 될 것이다. 그것이 구글이 지속적으로 밀고 있는 웹 보안 필수 정책(?)이다.

그런데 마냥 HTTPS가 되었다고 좋아라 할 수 없는 상황이 벌어졌다. HTTPS로 안전하다고 믿은 사이트에 뒤통수를 맞게 되는 상황이 벌어지고 있기 때문이다. 물론 인증서를 받은 서비스 서버가 문제가 되는 상황이 아니라 이것은 철저하게 사용자가 조심을 해야 할 상황이다. 피싱 기법인데 크롬의 안전함 표시를 신뢰하는(?) 사용자들의 심리를 교묘히 이용하는 해킹 방법이 나왔다.

위의 그림의 두 사이트를 살펴보자. 둘 다 페이팔(PayPal) 사이트처럼 보인다. 그런데 하나는 제대로 된 페이팔 사이트이고 나머지 하는 피싱용 가짜 페이팔 사이트이다. 어느 것이 진짜 페이팔 사이트일까? 왼쪽이 진짜 페이팔 사이트고 오른쪽이 가짜 페이팔 사이트다. 그런데 둘 다 안전하다는 녹색 아이콘이 떴다. 물론 진짜는 PayPal. Inc.가 있고 가짜에는 Secure로 안전함이 보인다. 진짜 페이팔 사이트에서 나오는 저 문구는 페이팔 사이트가 지정한 것이다. 보통은 Secure, 즉 안전함이라고 표시된다. 그러니까 사람들은 안전한 사이트라고 생각한다.

일단 저 가짜 사이트도 위에서 언급한 서버 인증서를 받은 웹 서버를 이용한다. 보통 웹 서버 인증을 받기 위해서는 사이트 검수를 하는데 아마도 정상적인 서비스로 먼저 검수를 받고 서버 인증서를 받은 다음에 피싱용 사이트를 개발해서 올렸을 것이라 추측이 된다. 그런데 사이트 자체를 보면 정말 똑같다. 어지간한 전문가들이 봐도 진짜 페이팔 사이트라고 믿을 수 밖에 없을 정도다. 대다수의 일반 사용자들은 그냥 다 속을 듯 싶다.

그러면 어떻게 구별해야 하나? 도메인을, URL을 봐야 한다. 정상적인, 즉 진짜 페이팔 사이트의 주소와 피싱용 사이트의 주소는 다르다. 물론 거의 비슷하게 만들어 구별하기 어렵게 한다. 페이팔의 예를 들면 진짜 페이팔 사이트의 주소는 paypal.com이다. 하지만 피싱용 사이트의 주소는 paypal.com-xxx.com 등으로 사람들이 그냥 스쳐지나가면서 볼 때 구별하기 어렵게 도메인 주소를 만들어서 제공을 한다. 위의 그림을 봐도 www.paypal.com까지만 보이기 때문에 어지간하면 구별이 어렵다. 전체 도메인(전체 URL)을 봐야 알 수 있으며 세심히 봐야 구별할 수 있을 것이다. 게다가 앞에 paypal이라는 단어가 들어간 것을 보면 뒤는 그닥 신경 안쓰고 넘어가는 사람들의 심리를 교묘히 이용하기 때문에 전체 도메인을 봐야 하는 귀찮음이 존재하며 귀찮은거 싫어하는 사람들은 세심히 안보기 때문에 그냥 넘어갈 수 밖에 없는 것이다.

즉, 이제는 웹브라우저에서 제공하는 기능 만을 믿어서는 안되며 도메인이 정확한지부터 살펴야 하는 짜증나는 상황이 도래했다는 것이다. 그와 동시에 서비스 사업자들은 사람들이 좀 더 외우기 쉬운 짧은 도메인을 구입하기 위한 전쟁을 치뤄야 하는 귀찮음도 함께 말이다. 물론 예전부터 사람들이 인식하고 외우기 쉬운 도메인을 확보하기 위해 수많은 기업들이 도메인 확보 전쟁을 해오고 있다. 거기에 이제는 이런 문제까지 더하게 되니 더 신경을 써야 하는 입장이 된 것이다.

이전에 포스팅했던 아시아나 항공 홈페이지 해킹 사고는 사용자보다는 관리자, 서비스 제공자의 주의를 요하는 상황이었는데 이 페이팔 사이트의 피싱 이슈는 사용자에게 주의를 요하는 상황이다. 어느 한쪽만의 노력으로는 안전한 인터넷 서비스 이용이 어려운 상황이 되어버린 것이 좀 짜증이 난다. 사용자는 좀 편하게 서비스를 이용하고 싶은데 말이지.

* 관련 뉴스 *

'안전'표시 믿었는데…HTTPS 허점 악용한 피싱 사이트 주의 (중앙일보, 네이버뉴스)