비보안 비밀번호 모음으로 인해 Chrome 56에 경고가 표시됩니다.

비보안 비밀번호 모음으로 인해 Chrome 56에 http://money2015.tistory.com/ 경고가 표시됩니다.

   얼마 전 메일로 "비보안 비밀번호 모음으로 인해 Chrome 56에 http://money2015.tistory.com/ 경고가 표시됩니다."라는 알림 메일이 왔습니다. 일상적인 글을 주로 적는 블로그에 비밀번호나 신용카드 세부정보를 수집하는 입력란이 포함되어 있다?는 허무맹랑한 소리에 조금 더 검색해보니 원인을 찾을 수 있었습니다.

비보안 비밀번호 모음으로 인해 Chrome 56에 http://money2015.tistory.com/ 경고가 표시됩니다.

받는사람: http://money2015.tistory.com/ 소유자

2017년 1월부터 Chrome(버전 56 이상)에서는 페이지가 HTTPS로 제공되지 않는 경우 비밀번호나 신용카드 세부정보를 수집하는 페이지를 '안전하지 않음'으로 표시합니다.

다음 URL에는 비밀번호나 신용카드 세부정보를 수집하는 입력란이 포함되어 있으며, 이로 인해 새로운 Chrome 경고가 표시됩니다. 다음의 예를 검토하여 이 경고가 어디에 표시되는지 확인하고 사용자의 데이터를 보호하기 위한 조치를 취하시기 바랍니다. 이 목록은 일부일 뿐 전체 목록이 아닙니다.

---

   먼저 알림 메일의 제목에 있는 Chrome 56은 크롬의 버전을 나타냅니다. 2017년부터 크롬은 56 버전으로 업데이트되었습니다. 고음질 음원을 매끄럽게 들을 수 있는 flac 파일 재생을 지원하고, 몇 년 전 삭제해버린 sticky(CSS 코드)를 재 추가하는 등 이번 업데이트에는 많은 사용자가 반길 만한 점이 포함되어 있습니다.

   하지만, 몇몇 사용자에게는 치명적?일 수도 있는 정책이 추가되었는데, 더이상 http 프로토콜을 사용하는 웹사이트를 안전한 사이트로 평가하지 않겠다는 것입니다. 발 빠른 웹사이트 관리자들은 작년에 구글에서 이와 관련된 정책을 발표했을 때 보안성이 뛰어난 https 프로토콜로 교체하는 작업을 진행했습니다. 이에 비해 다음을 포함한 국내 대부분의 웹사이트에서는 아직도 속도가 빠르다는 이유로 http 프로토콜을 고집하고 있습니다.

   http와 https를 비교할 때 s가 같는 의미는 보안성에서 아주 큽니다. s는 SSL(Secure Socket Layer)의 약자로 주고받는 정보를 모두 암호화하고 있음을 나타냅니다. 방문자(이용자)가 https 프로토콜을 사용하는 웹사이트에 접속하면 서버가 공개키를 방문자에게 제공하고 그 키를 이용해야만 서버와 이용자 사이의 정보를 볼 수 있습니다. 즉, 해커가 네트워크에 침입하더라도 그 키가 없으면 아무것도 얻을 수 없는 것입니다. 이에 비해 http 프로토콜을 사용하는 웹사이트는 아무런 암호화 작업이 진행되지 않기 때문에 보안상으로 아주 취약할 수밖에 없습니다. 이 때문에 공기업의 웹사이트나 은행, 쇼핑몰 등의 웹사이트는 https를 필수적으로 이용하고 있습니다.

   https가 이런 높은 보안성을 자랑하는데도 http를 사용하는 이유는 속도 때문입니다. https는 모든 정보를 암호화해 전달하기 때문에 http보다는 속도 면에서 뒤처질 수밖에 없습니다. 하지만, 전세계 50% 이상(2016년 12월 기준), 대한민국 48% 이상(2016년 12월 기준)의 점유율을 자랑하고 있는 크롬에서 1월부터는 http 프로토콜을 사용하는 웹사이트에 보안상 위험하다는 문구를 추가할 계획이라고 하니 불이익을 받기 전에 https로 전환을 고려해보는 것이 바람직합니다.

티스토리를 사용하는 블로거로서 Daum에서도 하루빨리 조처를 하길 바라봅니다.