구글, HTTPS가 아닌 사이트 접속하면 빨간색 경고 내보낸다

로그인 필드가 있거나 신용카드 거래가 이뤄지는 곳에서만 나오던 경고가
2014년부터 HTTPS 도입률 꾸준히 증가...현재는 웹 환경 거의 대부분이 HTTPS

[보안뉴스 문가용 기자] 구글이 HTTP가 들어가 누워있는 ‘관짝’에 다시 한 번 못을 박았다. 정확히 말하면 크롬 70버전부터, HTTPS가 아닌 웹 페이지들에는 빨간색 경고등이 들어올 예정이라고 한다.

[이미지 = iclickart]

구글은 모든 웹 환경에 암호화 트래픽을 ‘디폴트’로 적용시키기 위한 노력을 꾸준히 해왔다. 이미 2014년부터 HTTP를 기반을 한 사이트들을 ‘안전하지 못한 사이트’로 표시하겠다고 공표해왔고, 일부 적용해온 바 있다.

지금도 구글 크롬은 비밀번호 필드가 있거나 신용카드 입력 란이 있는 웹 페이지가 HTTP로 전송되면 ‘안전하지 않다’는 경고 표시를 내보낸다. 구글 70부터는 이런 규칙이 적용되는 페이지들을 ‘전부’로 확대시킨다는 것.

2018년 5월 초, 구글의 서비스를 거쳐가는 모든 트래픽의 93%가 HTTPS로 보호되어 있었다고 한다. 2014년의 50%에 비하면 크게 올라간 수치다. 뿐만 아니라 웹 전반적으로 HTTPS의 도입률이 크게 올라갔다. 지난 주 말까지 크롬으로 열린 웹 페이지의 3/4 이상이 HTTPS를 도입하고 있었던 것이다. 2014년에는 HTTPS가 적용된 페이지가 40%가 채 되지 않았다.

구글이 크롬 70부터 HTTPS 도입을 한 차례 더 강력하게 요구하는 이유는 이처럼 웹 전반적인 HTTPS 도입률이 높아졌기 때문이다. 구글의 제품 책임자인 에밀리 쉐흐터(Emily Schechter)는 “모든 HTTP 페이지들에 경고를 적용하기에는, HTTPS 도입률이 너무 낮았다”며 “지금은 어느 정도 HTTPS 수치가 올라온 만큼 원래 하려던 것을 할 수 있게 됐다”고 설명한다.

크롬 69버전에서는 초록색 ‘안전(secure)’ 표시가 있었는데, 이것이 70버전부터는 빨간색 불안전 표시로 대체된다. “큰 상징적인 변화입니다. HTTPS가 더 많다는 건 웹 환경의 안전이 ‘디폴트’가 되었다는 뜻입니다. 그러므로 안전하다는 표시를 지우고, 오히려 소수가 되어버린 위험한 사이트를 골라내겠다는 구글의 의사가 크롬 70부터 반영되는 겁니다.”

HTTPS의 도입을 권장하는 건 구글만이 아니다. 워드프레스도 호스팅된 모든 웹사이트에 HTTPS를 적용하기 시작했고, 렛츠엔크립트(Let's Encrypt)라는 단체 역시 무료 HTTPS 인증서를 발급하고 있다. 아마존 역시 무료 보안 인증서를 AWS 고객들에게 제공 중에 있다.

한편 또 다른 메이저 브라우저인 파이어폭스도 작년부터 HTTP로 연결된 로그인 페이지에 사용자가 접속할 때 위험하다는 경고를 내보내기 시작했다. “누구나 쉽고 안전하게 사용할 수 있는 웹 환경을 만드는 것이 브라우저 제조사들이 HTTPS를 강제하다시피 하는 이유입니다. HTTPS로의 이동을 강력히 권고합니다.” 파이어폭스 측의 설명이다.
[국제부 문가용 기자(globoan@boannews.com)]

지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
	네이버
	카카오
	웨이브
	넷플릭스
	구글
	페이스북