구글 크롬, HTTPS 아닌 웹사이트에 경고 띄운다

일반입력 :2015/02/03 16:28    수정: 2015/02/03 16:57

구글이 크롬 브라우저 사용자들에게 HTTPS 암호화 통신을 제대로 지원하지 않는 웹사이트를 안전하지 않은 곳으로 소개할 예정이어서 온라인 사업자들의 반발이 예상된다. HTTPS는 웹사이트에 적용된 HTTP에서 암호화 전송보안계층(TLS) 프로토콜로 데이터를 주고받는 것을 의미한다.

사이트가 HTTP 또는 HTTPS 통신을 쓰는지 알긴 쉽다. 브라우저 주소창에서 월드와이드웹(www)으로 시작하는 주소 앞 문자열이 'http://'인지 'https://'인지만 보면 된다.

이미 주요 최신 브라우저들은 HTTPS 기반 서비스를 제공하는 사이트 주소 옆에 녹색 계통의 자물쇠 아이콘과 같은 표식을 함께 나타내 안전한 곳임을 나타낸다.

구글의 명분은 HTTP 암호화를 하지 않은 일반 사이트가 모두 잠재적인 해킹 위협에 노출될 가능성이 오늘날 더 커졌다는 것이다. 사용자와 웹사이트가 주고받는 데이터 보호를 강화하는 차원에서 크롬 브라우저의 영향력을 활용하려는 모양새다.

지난달 30일 미국 씨넷은 구글이 위키피디아나 CNN처럼 암호화되지 않은 일반 웹사이트를 '보안 경고' 대상으로 지목하기 위한 조치를 취하기 시작했다고 보도했다. (☞링크)

보도에 따르면 구글은 크롬을 쓰는 사람들이 암호화 통신을 지원하지 않는 웹사이트에 들렀을 때 주소창에 해당 사실에 대해 주의를 주는 기능을 기본 탑재할 예정이다.

지금은 신기능 테스트용 버전인 크롬 카나리(Canary)를 통해 이를 시범 구현한 상태다. HTTP 사이트 접속시 주소창 앞에 빨간 X표시가 붙은 회색 자물통이 표시되는 식이다. 그간 크롬, 파이어폭스, 인터넷익스플로러, 사파리, 오페라 등 여타 브라우저들이 안전하다고 판단한 HTTPS 기반 사이트를 별도 표시한 것과는 반대가 되는 접근 방식이다.

구글은 이 기능을 정식판에 기본 지원할 방침이다. 암호화되지 않은 웹사이트가 보안상 이용자에게 불리하다는 이유에서다. 해커나 정부의 도감청에 의해 사용자 프라이버시가 침해를 당할 가능성이 커졌다는 것이다.

앞서 구글 크롬 개발팀의 보안 프로그래머 크리스 팔머는 지난해 12월 중순께 크롬 오픈소스판인 '크로미엄' 프로젝트 그룹 및 공식 블로그에 이런 방침을 예고했다. (☞링크)

팔머는 사용자경험(UX)상 안전하지 않은 출처(non-secure origins)를 안전하지 않다고 선언하는 점진적 변화를 고려하고 있으며 2015년 크롬을 통해 이를 보급할 것이라 언급했다.

그가 예시한 사이트 판정 등급은 대략 3가지다. 핵심은 오류가 없는 HTTPS라 불리는 암호화 통신 기반으로 단일 출처에서 정상적인 웹서비스가 이뤄지고 있는지 여부다.

기본 HTTP와 부실한(broken) HTTPS 환경은 '비보안(Non-secure)', 멀쩡한 HTTPS라도 타 출처 콘텐츠가 섞이거나 TLS 기능에 사소한 문제가 있으면 '의심가는(Dubious)' 곳으로 분류된다.

정상적인 HTTPS 기반 서비스가 제공되고 타 출처를 참조하는 형태가 (*, localhost, *)처럼 표기되는 로컬호스트일 경우 비로소 '안전한(Secure)' 사이트로 인정된다.

구글이 이런 경고 기능을 크롬 정식판에 탑재한다는 소식은 아직 HTTPS을 도입하지 않은 사업자 입장에선 불편한 일일 수 있다.

미국 씨넷의 스테판 섕클랜드 수석기자는 웹 분석업체 알렉사의 상위 100만개 사이트 중 HTTPS 암호화를 채택하지 않은 곳이 지난해 기준 55%에 달한다고 전했다. 위키피디아, 인스타그램, CNN, 아마존 제품소개 페이지 등도 포함됐다.

섕클랜드 수석기자는 크롬의 신기능이 확산되면 기능상 멀쩡한 사이트의 방문자에게도 경고를 띄우고, 이용자에게 뭔가 잘못된 것처럼 보이기 싫은 서비스 운영자에게 새로운 비용을 들어가게 할 수도 있다면서 하지만 (암호화되지 않은 웹서비스로 인한 보안 위협) 문제가 해결돼야 한다는 게 구글의 관점이라고 전했다.

관련기사

예를 들어 초고속망 서비스업체나 공항에 있는 무료 무선랜 인터넷 중계 장비에 함께 접속한 누군가가 사용자 컴퓨터로 오가는 데이터를 모두 들여다보고, 중간에 광고를 삽입하고, 정상적인 웹페이지를 위변조할 수 있다.

구글은 지난 2010년 대표 서비스인 G메일을 HTTPS 기반으로 제공하기 시작한 이래로 웹 암호화 확산에 주력해 왔다는 평가다. 마이크로소프트(MS)나 애플 등에서도 주요 서비스를 HTTPS 기반으로 운영한다. 지난 2013년 전직 미국 국가안보국(NSA) 직원 에드워드 스노든의 폭로로 드러난 NSA의 세계 인터넷 감청 활동도 인터넷 이용자들의 프라이버시에 대한 경각심을 높인 계기가 됐다.