구글이 새해부터 크롬 브라우저에서 HTTPS 통신 방식을 쓰지 않는 웹사이트 로그인 페이지에 경고 메시지를 띄우기로 했다. 크롬 56 버전 이후 적용되는 변화다.
미국 지디넷은 27일(현지시각) 구글이 다음달부터 사용자 계정 정보 또는 신용카드 번호 입력란을 포함하는 HTTPS 미적용 웹페이지에 '보안상 안전하지 않다(Not Secure)'는 메시지를 표시할 예정이라고 보도했다.
[☞참조링크: Chrome will soon mark some HTTP pages as 'non-secure']
보도에 따르면 크롬56과 이후 버전 브라우저가 이런 변화를 적용받게 된다. 구글은 내년 1월부터 웹사이트 관리자들에게 이 내용을 담은 경고를 '구글 검색 콘솔' 메시지를 통해 보낼 계획이다. 구글은 장차 이런 경고를 모든 HTTPS 미적용 웹페이지 대상으로 띄울 계획이다. 관리자가 로그인 및 카드번호같은 민감한 정보를 다루는 영역에 HTTPS 통신을 우선 적용케 하고 향후 이를 확대한다는 구상이다.
다만 모든 HTTPS 미적용 웹페이지 대상으로 경고를 표시하는 방식을 언제부터 적용할 것인지는 불명이다.
HTTPS는 일반 웹페이지 통신 방식인 HTTP보다 보안성을 높인 것으로, 전송계층보안(TLS) 프로토콜을 사용한다. 이는 HTTP 통신에 암호화, 데이터정합성, 인증 기능을 지원한다. 이런 기능은 웹사이트와 방문자 사이에 끼어들어 통신 내용을 가로채는(man-in-the-middle, 중간자) 공격을 예방하고 방문자가 웹사이트를 신뢰할 수 있도록 고안됐다.
구글은 공식 구글플러스 페이지 포스팅을 통해 "여러분의 사이트 전체에 HTTPS를 쓸 수 있게 만드는 게 중요하지만, 만일 여러분의 사이트가 비밀번호와 결제정보 또는 그외 개인정보를 수집한다면 거기에 HTTPS를 사용하는 게 훨씬 중요하다"며 "HTTPS가 없다면 나쁜 의도를 가진 사람이 이런 비밀 데이터를 훔칠 수 있다"고 지적했다.
크롬 브라우저가 HTTPS 암호화 통신을 지원하지 않는 웹사이트 방문자들에게 주의를 주는 기능이 들어간 건 처음이 아니다. 이미 지난해 2월 크롬 브라우저의 신기능 테스트 배포판인 '카나리(Canary)'는 HTTPS 미적용 사이트 접속중에 주소창에 빨간 'X'가 쳐진 회색 자물통 아이콘이 표시되는 식으로 보안상 위험을 경고하는 동작을 보여 줬다.
[☞관련기사: 구글 크롬, HTTPS 아닌 웹사이트에 경고 띄운다]
관련기사
- 구글, 크롬 배터리 테스트 공개…MS에 설욕?2016.12.28
- 구글 크롬 브라우저, 플래시 차단 시작2016.12.28
- 크롬 새버전, 오라클 자바 플러그인 지원 중단2016.12.28
- 확 달라진 구글 크롬북 픽셀 "눈에 띄네"2016.12.28
구글은 지난 9월 크롬 데스크톱 버전에서 로딩되는 웹페이지 가운데 절반 이상이 HTTPS 방식을 사용할만큼 HTTPS 사용 비중이 늘었다는 점을 알리기도 했다. 구글이 지난 2월 게재한 HTTPS 현황 보고서에 따르면 상위 100대 웹사이트 가운데 12곳이 HTTP에서 HTTPS 기반으로 기본 통신 방식을 변경하기도 했다.
[☞참조링크: Moving towards a more secure web]
