과거 마이크로소프트를 대표 주자로 한 상용 소프트웨어 진영이 오픈 소스를 경계 대상으로 보고 택했던 전략이 있습니다. 바로 오픈 소스에 대한 불안감을 조장하는 FUD(Fear, uncertainty and doubt) 메시지를 다양한 관점에서 뿜어 내는 것이었습니다. 지금은 오픈 소스와 관련해 FUD 전략을 펼칠 수 없는 시대다 보니 과거의 기억으로 남아 있습니다. 하지만 FUD 비슷한 메시지들을 아직도 볼 수 있는 곳이 남아 있다. 대표적인 것이 Open SSL 입니다.

Open SSL은 서버 운영체제, 웹 서버, 네트워크 장비 등에서 굉장히 널리 쓰입니다. 반면에 클라이언트 측면에서는 널리 쓰이지 않고 있습니다. 그 이유는 클라이언트에서 사용하는 웹 브라우저 대부분이 Open SSL을 사용하지 않기 때문입니다. Open SSL로 이용자를 인증하는 사이트나 서비스를 들어가면 가장 먼저 경고 문구가 뜹니다. 브라우저 마다 조금씩 다르지만 대략 믿을 수 없는 사이트니 접속하지 말라는 투의 경고입니다.

인터넷 익스플로러, 크롬, 파이어폭스, 사파리 등 널리 쓰이는 웹 브라우저들은 사용자가 특정 사이트에 접근할 때 해당 사이트의 인증서를 검증합니다. 이 때 시만텍, 고대디, 코모도 등에서 제공하는 유료 SSL 서비스를 쓰는 사이트의 경우 별 경고 없이 연결이 됩니다. 하지만 Open SSL을 이용해 인증서를 생성해 쓰는 사이트의 경우 위험 메시지를 마구 뿌려 댑니다. 물론 웹 브라우저 입장에서는 조금이라서 신뢰성에 의심이 가면 경고를 하는 것이 맞다. 다만 좀 과하지 않나 하는 생각이 든다. 유효 하지 않다, 잠재적으로 위험 하다 등의 문구를 보는 순간 대부분의 사용자들은 해킹 당한 사이트 아닌가? 하는 의구심을 갖습니다. 그리고 해당 사이트 접속을 포기합니다.

무엇이 이토록 강력한 경고 문구를 쓰게 만드는 것일까요? SSL은 웹 브라우저와 웹 사이트 간에 안전한 연결을 위한 프로토콜입니다. 이에 대한 CA(certificate authority) 역할 및 인증서 발행을 하는 곳이 앞서 언급한 시만텍, 고대디, 코모도 등의 업체입니다. 그리고 이들 업체들은 자사의 SSL을 업계에서 널리 쓰이는 웹 브라우저, 서버 플랫폼, 모바일 장치, 애플리케이션 등과 호환성을 보장합니다. 웹 브라우저로 주제를 좁혀 보면 유명 브라우저에는 유명 인증서 업체의 인증서들이 심겨져 있습니다. 신뢰된 인증 기관이란 이유로 해당 업체들의 인증서가 기본 내장되어 있는 것입니다. 즉, 업체 간 신뢰 관계가 맺어져 있다는 것인데 이 관계가 순수한 신뢰만으로 이어져 있을까요?

보안 업계에서는 이 신뢰 관계를 설명할 때 HTTPS 생태계를 빼놓지 않습니다. 이 생태계는 인증서 발행 업체, 웹 브라우저 업체, 웹 사이트 운영 기업 등으로 구성되어 있습니다. HTTPS 업계는 Open SSL을 생태계의 일부로 수용하는 데 있어 불안감을 조장하고 있습니다. 그들의 내세우는 논리는 ‘대마불사’입니다. 인증서 시장은 서너 개의 대형 업체 중심으로 움직입니다. 그리고 소비자들은 대형 업체의 서비스는 믿을 만 하며 Open SSL처럼 치명적인 보안 허점도 없다고 생각하는 경향이 있습니다. 하지만 실체를 보면 꼭 그렇지 만도 않습니다. 언론에서 적극적으로 알리지 않아서 그렇지 버진사인, 코모도, 트러스트웨이브 등 나름 이름 있는 서비스 업체발 해킹 사고 소식도 심심찮게 들려 옵니다.

HTTPS 생태계의 문제는 몇몇 선도 업체 중심의 폐쇄적인 구조를 띈다는 것입니다. 이런 구조에서는 문제를 숨기기도 쉽고 소비자를 기만하기도 쉽습니다. 각종 규제 강화 덕에 대형 업체의 SSL 인증서 장사는 활황을 이어가고 있습니다. 소비자들은 이들 기업의 서비스는 안전할 것이란 막연한 기대감을 갖고 브랜드 가치 때문에 높은 비용을 지불한다는 사실을 보지 못합니다. 모든 암호화 기반 서비스나 솔루션은 공개된 표준을 토대로 만들어 지기 때문에 기술적, 보안적 차별성이 대동소이하지만 HTTPS 생태계는 대마불사 논리를 앞세워 수익을 창출하고 있습니다.

대부분의 웹 브라우저가 Open SSL을 이용하지 않는 것이 지금은 그리 큰 이슈가 아닐 수도 있습니다. 하지만 향후 사물인터넷(IoT) 시대가 본격화 되면 HTTPS 업계는 또 한번 Open SSL을 놓고 FUD 전략을 펼치지 말라는 법도 없습니다. 생각만 바꾸면 견고한 HTTPS 생태계가 아닌 새로운 대안이 얼마든지 존재합니다, 최근 스마일서브에서 발표한 Open SSL을 인증서로 쓸 수 있는 GPL 기반 보안 서버(http://www.boanserver.com/)도 대안 중 하나입니다.

정리해 보자면 돈만 내면 쉽게 쓸 수 있는 것 외에 다른 대안도 틈틈이 살펴보는 여유가 필요할 때입니다. 과거 오픈 소스를 밀어 내려던 상용 소프트웨어 진영이 지금 태도가 달라진 이유도 사실 똑똑한 소비자들을 더 이상 속일 수 없어서였습니다. 이를 다시 한번 떠올릴 때가 아닐까요?