News
"이 웹사이트는 안전하지 않음!" 브라우저별 HTTPS 연결과 HTTP 연결 표시법
본문
구글은 지난주 안전한 웹사이트에 자물쇠를 표시했던 보안 ‘조언’ 방식을 뒤바꿀 예정이라고 발표했다. 7월부터는 안전하지 않은 URL에만 표시할 예정이다. 구글의 목표는 모든 웹사이트 운영자들이 디지털 인증서를 사용하고 모든 페이지의 트래픽을 암호화하도록 촉구하는 것이다.
HTTPS 웹사이트가 안전하다고 표시하는 것이 아니라, 인증서를 발급받지 않고 서버에서 브라우저로, 브라우저에서 서버로 가는 트래픽을 암호화하지 않는 HTTP 사이트가 안전하지 않다고 표시하는 것은 갑자기 튀어나온 아이디어가 아니다. 구글은 2014년부터 이런 방식을 택할 것이라 예고했다.
그리고 60%에 육박하는 크롬 점유율을 봤을 때, 구글은 목적을 달성할 수 있을 것으로 보인다.
보안 전문가들은 구글의 캠페인을 치하하면서, ‘최종전’이 될 것이라고 지적했다. 보안 업체 소포스의 수석 연구원인 체스터 위스니스키는 “앞으로는 어머니께 자물쇠를 보라고 이야기할 필요가 없다. 그냥 컴퓨터를 사용하면 된다”라고 말했다.
그렇다면, 과연 크롬의 경쟁자들은 어떻게 하고 있을까? 발걸음을 맞춰가고 있을까? 아니면 전통적인 방식을 고수하고 있을까? 크롬, 모질라의 파이어폭스, 애플의 사파리, 마이크로소프트의 엣지(Edge)의 보안 대처에 대해서 살펴봤다.
사파리
애플의 사파리 브라우저는 현재 전통적인 방식을 사용하고 있다. 웹페이지가 디지털 인증서를 발급받았고, 맥과 사이트 서버 간의 트래픽을 암호화는 경우, 작은 자물쇠 아이콘을 주소 표시줄에 표시한다.
자물쇠가 없다면? 해당 사이트의 트래픽이 암호화되지 않는 것이다.
하지만 사파리 최신 버전에는 조금 더 발전했다. 사용자가 안전하지 않은 사이트를 방문해서 로그인 필드나 신용카드 정보를 입력하도록 만들어진 필드에 입력하려는 경우 주소 표시줄에 붉은 글씨로 ‘안전하지 않음’으로 시작해서 ‘안전하지 않은 웹사이트’라고 변하는 경고 문구를 띄운다. 이러한 놓치기 어려운 경고 문구는 3월 29일 배포된 맥OS 10.13.4에 포함된 버전부터 등장했다.
파이어폭스
모질라의 파이어폭스 브라우저는 구글 크롬과 유사하다. 결국에는 암호화되지 않는 사이트에 구별 가능한 태그를 표시할 예정이다. 하지만 아직은 아니다.
현재는 사용자명과 암호를 입력하는 로그인 기반의 HTTP 페이지에 방문하면 붉은 선으로 표시된 자물쇠가 표시된다. 로그인 필드에 커서를 가져가 한 번 클릭하면 ‘이 연결은 안전하지 않습니다. 로그인 입력은 위험할 수 있습니다’라는 경고 문구가 나타난다.
이 밖에는 전통적인 방식이 여전히 파이어폭스에 사용되고 있다. HTTPS 웹사이트에는 주소 표시줄에 초록색 자물쇠가 나타나며, 일반 HTTP 페이지에는 아무런 표시가 나타나지 않는다.
모질라는 아이콘 표시 방식을 바꿀 예정이다. 1년 전 파이어폭스는 “HTTPS를 사용하지 않는 모든 페이지에 줄이 그어진 잠금 아이콘을 표시해서 안전하지 않다는 것을 분명히 할 것”이라면서, “계획이 진화하면서, 업데이트되는 사항을 알릴 예정인데, 궁극적인 목적은 모든 개발자들이 이러한 변화로 HTTPS를 통해 웹 사용자들을 보호하는 필요한 절차를 밟는 것”이라고 말했다.
모든 HTTP 연결에 표시하는 것은 현재 파이어폭스 내부에서 테스트 중이며, 파이어폭스 60에는 적용되지 않았다. 하지만 사용자들은 수동으로 이를 변경할 수 있다.
• 파이어폭스 주소 표시줄에 about:config 를 입력한다.
• ‘security.insecure_connection_icon.enabled’를 검색한다.
• 해당 아이템을 더블클릭하면 ‘값’ 항목이 ‘true’로 변경된다.
bbc.com과 같은 HTTP 페이지에 방문해 변경 사항을 확인할 수 있다.
크롬
크롬은 여전히 HTTP를 표시하는 것이 아니라 HTTPS 사이트를 자물쇠로 표시하는 전통적인 방식을 사용하고 있다. 최소한 주소 표시줄에서 빠르게 볼 수 있다. ‘i’ 아이콘을 클릭하면 현재 안전하지 않은 연결 상에 있다는 점을 알려주는 안내문이 나타난다.
그리고 2017년 이후 크롬은 암호나 신용카드 정보를 HTTP 연결로 보안처리 하지 않은 채 전송하는 경우 주소 표시줄에 ‘안전하지 않음’이라는 경고 문구를 표시하고 있다.
하지만 구글은 올해 안에 여러 변화를 예고한 상태로, 암호화된 트래픽만을 알려주는 것을 반전시킬 예정이다.
이러한 변화는 7월에 배포될 크롬 68부터 시작되며, 모든 HTTP 사이트의 주소 표시줄에 ‘안전하지 않다’는 문구가 표시된다.
현재 크롬 66을 사용 중인 사용자들은 아래 절차에 따라 크롬 68을 사용할 수 있다.
• 주소 표시줄에 chrome://flags를 입력한다.
• ‘Mark non-secure origins as non-secure’를 검색한다.
• 오른쪽 상자에서 ‘Enable’을 선택하고, 크롬을 재시작한다.
• Enable(mark as actively dangerous)를 선택해도 된다.
9월 2일~8일 주에 배포될 크롬 69는 HTTPS 페이지에서 초록색의 ‘안전’ 텍스트를 없애고 작은 자물쇠 아이콘만 표시할 예정이다. 구글은 이를 안전한 페이지를 눈에 띄게 만드는 것이 아니라 더 자연스럽게 받아들이도록 하기 위한 것이라 설명했다.
그리고 10월에 등장할 크롬 70에서는 모든 HTTP 사이트에 안전하지 않은 연결을 의미하는 붉은 삼각형 아이콘과 ‘안전하지 않음’이라는 문구를 함께 넣을 예정이다. 이 신호는 사용자가 입력 필드에 무엇인가를 입력하려 하는 즉시 나타난다.
엣지
애플의 사파리와 마찬가지로, 마이크로소프트의 엣지는 HTTPS를 표시하고, HTTP는 표시하지 않는 정책을 쓰고 있다.
엣지는 HTTPS 사이트에 접속하면 초록색 자물쇠 아이콘이 주소 표시줄에 표시된다. 자물쇠가 없다면, 해당 사이트는 트래픽이 암호화되지 않고, HTTP 연결을 사용하는 것이다. ‘i’ 아이콘을 클릭하면 웹사이트가 암호화되지 않았으며, 누군가 암호와 같은 민감한 정보를 탈취할 수 있다는 설명이 나타난다.
하지만 사파리나 파이어폭스, 크롬과는 달리 안전하지 않은 사이트에서 입력 필드에 뭔가를 입력할 때 나타나는 경고가 없다. editor@itworld.co.kr
출처: IT WORLD(http://www.itworld.co.kr/news/109420#csidxe13003d98bf726da51d836281ded854 )