구글, HTTPS가 아닌 사이트 접속하면 빨간색 경고 내보낸다

로그인 필드가 있거나 신용카드 거래가 이뤄지는 곳에서만 나오던 경고가
2014년부터 HTTPS 도입률 꾸준히 증가...현재는 웹 환경 거의 대부분이 HTTPS

[보안뉴스 문가용 기자] 구글이 HTTP가 들어가 누워있는 ‘관짝’에 다시 한 번 못을 박았다. 정확히 말하면 크롬 70버전부터, HTTPS가 아닌 웹 페이지들에는 빨간색 경고등이 들어올 예정이라고 한다.

[이미지 = iclickart]

구글은 모든 웹 환경에 암호화 트래픽을 ‘디폴트’로 적용시키기 위한 노력을 꾸준히 해왔다. 이미 2014년부터 HTTP를 기반을 한 사이트들을 ‘안전하지 못한 사이트’로 표시하겠다고 공표해왔고, 일부 적용해온 바 있다.

지금도 구글 크롬은 비밀번호 필드가 있거나 신용카드 입력 란이 있는 웹 페이지가 HTTP로 전송되면 ‘안전하지 않다’는 경고 표시를 내보낸다. 구글 70부터는 이런 규칙이 적용되는 페이지들을 ‘전부’로 확대시킨다는 것.

2018년 5월 초, 구글의 서비스를 거쳐가는 모든 트래픽의 93%가 HTTPS로 보호되어 있었다고 한다. 2014년의 50%에 비하면 크게 올라간 수치다. 뿐만 아니라 웹 전반적으로 HTTPS의 도입률이 크게 올라갔다. 지난 주 말까지 크롬으로 열린 웹 페이지의 3/4 이상이 HTTPS를 도입하고 있었던 것이다. 2014년에는 HTTPS가 적용된 페이지가 40%가 채 되지 않았다.

구글이 크롬 70부터 HTTPS 도입을 한 차례 더 강력하게 요구하는 이유는 이처럼 웹 전반적인 HTTPS 도입률이 높아졌기 때문이다. 구글의 제품 책임자인 에밀리 쉐흐터(Emily Schechter)는 “모든 HTTP 페이지들에 경고를 적용하기에는, HTTPS 도입률이 너무 낮았다”며 “지금은 어느 정도 HTTPS 수치가 올라온 만큼 원래 하려던 것을 할 수 있게 됐다”고 설명한다.

크롬 69버전에서는 초록색 ‘안전(secure)’ 표시가 있었는데, 이것이 70버전부터는 빨간색 불안전 표시로 대체된다. “큰 상징적인 변화입니다. HTTPS가 더 많다는 건 웹 환경의 안전이 ‘디폴트’가 되었다는 뜻입니다. 그러므로 안전하다는 표시를 지우고, 오히려 소수가 되어버린 위험한 사이트를 골라내겠다는 구글의 의사가 크롬 70부터 반영되는 겁니다.”

HTTPS의 도입을 권장하는 건 구글만이 아니다. 워드프레스도 호스팅된 모든 웹사이트에 HTTPS를 적용하기 시작했고, 렛츠엔크립트(Let's Encrypt)라는 단체 역시 무료 HTTPS 인증서를 발급하고 있다. 아마존 역시 무료 보안 인증서를 AWS 고객들에게 제공 중에 있다.

한편 또 다른 메이저 브라우저인 파이어폭스도 작년부터 HTTP로 연결된 로그인 페이지에 사용자가 접속할 때 위험하다는 경고를 내보내기 시작했다. “누구나 쉽고 안전하게 사용할 수 있는 웹 환경을 만드는 것이 브라우저 제조사들이 HTTPS를 강제하다시피 하는 이유입니다. HTTPS로의 이동을 강력히 권고합니다.” 파이어폭스 측의 설명이다.
[국제부 문가용 기자(globoan@boannews.com)]

국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
	2001년 정보보호 규정 포함된 정보통신망법 개정
	2003년 1.25 인터넷 대란
	2009년 7.7 디도스 대란
	2011년 개인정보보호법 제정
	2013년 3.20 및 6.25 사이버테러
	2014년 카드3사 개인정보 유출사고
	2014년 한수원 해킹 사건
	2017년 블록체인/암호화폐의 등장
	기타(댓글로)