인터넷

구글 크롬 브라우저 ‘HTTP 보안 경고’, 왜 문제인가

이대호

[디지털데일리 이대호기자] 구글이 2월부터 웹브라우저 크롬에 보안접속인 ‘HTTPS’가 아닌 일반 ‘HTTP’의 웹사이트에 접속하면 도메인명 옆에 ‘안전하지 않음’이라는 메시지를 노출하기 시작했다.

이 문제를 국내에 공론화한 호스팅 전문업체 후이즈에 따르면 HTTPS는 웹서버와 브라우저간 정보를 암호화된 상태로 주고받는 반면, HTTP는 정보를 평문으로 주고받기 때문에 오가는 정보를 중간에서 탈취당할 위험이 크다. 크롬 브라우저는 이 부분을 경고하고 있다.

◆크롬 브라우저 보안 경고에 네이버 당황=그런데 이 메시지가 노출된 사이트 가운데 ‘포털 네이버’가 들어가 이용자들이 적지 않은 혼란을 겪고 있다.

그렇다면 하루 수천만명이 드나드는 네이버가 안전하지 않다는 것일까. 보안접속이 아닌 일반 HTTP를 사용한 탓일까.

결론부터 말하자면 이용자 입장에선 걱정할 필요가 없다. 네이버도 보안접속인 HTTPS를 쓰는 중이다. 이용자가 네이버 첫 화면에서 로그인을 시도하면 보안접속인 HTTPS가 적용된다.

네이버가 포털 첫 화면에 HTTPS를 적용하지 않은 이유는 탈취해갈 개인정보를 다루지 않기 때문이다. 게다가 HTTPS 암호화를 거치면 웹 서버에 부하가 생긴다. 하루 수천만명이 수시로 접속하는 포털 첫 화면임을 감안하면 HTTP 프로토콜을 적용하는 것이 더 나은 선택이다.

그러나 크롬 브라우저에 보안 경고가 뜬 이후, 네이버에 관련 이슈의 검색량이 늘어나는 등 불안해하는 이용자들이 감지된다.

이와 관련 네이버 측은 “개인정보 보호 상에는 아무런 문제가 없지만, 사용자들이 불안해하는 부분이 있을 것이라고 판단해 네이버 메인 페이지 자체에 HTTPS를 적용하는 것도 검토하고 있다”고 밝혔다.

후이즈 측도 “보안상 전혀 문제가 되는 부분은 없는데, 구글이 자체적인 HTTPS 경고 노출로 혼선을 주고 있어서 이 문제를 알리게 됐다”고 전했다.

◆‘안전하지 않은 웹사이트’ 무더기 낙인 우려=앞서 언급했듯이 보안접속 HTTPS는 상황에 맞춰 적용하면 된다. 모든 웹사이트가 회원정보, 신용카드정보 등 개인정보를 전송하는 것이 아닌데 적게는 수만원에서 수십만원에 달하는 보안서버 인증서를 구매해 굳이 HTTPS를 적용할 필요가 없는 것이다.

그런데 크롬 브라우저의 이 같은 경고 노출에 따라 HTTPS를 적용하지 않았다는 이유만으로 소규모 웹페이지나 개인 홈페이지는 ‘안전하지 않다’는 누명을 쓸 수 있다.

업계에서도 실제 웹사이트에 적용되는 보안 수단은 HTTPS외에도 다양한데, HTTPS 적용 유무만으로 보안 경고 메시지를 노출하는 것은 이용자에게 잘못된 보안인식을 심어줄 수 있다는 지적이 제기된다.

개인정보 전송이 필요 없는 일부 페이지에 HTTP가 적용돼 보안 경고가 한번이라도 노출되면 이용자 입장에선 웹사이트 내 전체 페이지가 안전하지 않다는 오판을 내릴 수 있다. 구글의 이번 조치로 ‘안전하지 않은 사이트’라는 무더기 낙인효과가 우려되는 상황이다.

<이대호 기자>ldhdd@ddaily.co.kr

이대호
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널