최근 Chrome 웹 브라우저에서는 HTTPS 보안 연결을 지원하지 않는 웹 사이트 접속 시 주소창에 "안전하지 않음" 표시를 통해 경고를 하도록 정책이 변경되었습니다.
이에 따라 사이트 전체가 HTTPS 보안 연결로 구성된 웹 사이트가 아닌 경우에는 "이 사이트에 대한 연결은 안전하지 않습니다." 표시가 이루어지며, 이에 따라 사이트 접속자들이 보안상 큰 문제가 있는 것으로 생각하고 있습니다.
실제 해당 이슈로 인하여 네이버(Naver), 다음(Daum) 포털 사이트의 경우에는 차후 사이트 전체를 HTTPS 보안 연결이 이루어질 수 있도록 변경할 예정으로 보입니다.
일반적으로 웹 사이트 내에서 로그인과 같은 민감한 개인정보를 입력하는 페이지의 경우에는 이전부터 HTTPS 보안 연결을 통해 서버와의 통신을 암호화하여 보호가 이루어지고 있으며, 그 외의 페이지에서는 서버 과부하 등의 이유로 HTTP 통신을 통해 효율성을 주고 있었습니다.
예를 들어 사이트 전체를 HTTPS 보안 연결을 지원하는 경우 또는 특정 페이지에서 암호화된 통신이 이루어지는 경우에는 "안전함" 또는 해당 사이트 인증서를 표시하고 있었습니다.
그렇다면 HTTPS 보안 연결이 이루어지는 웹 사이트는 무조건적으로 안전함을 보장하는지에 대해 잠시 살펴보도록 하겠습니다.
예를 들어 HTTPS를 지원하는 웹 서버가 외부에서 해킹되어 변조될 경우에는 해당 사이트 접속자 중 보안 취약점(Exploit)을 통해 악의적인 코드가 실행되어 보안 패치가 이루어지지 않은 접속자는 자동으로 감염이 이루어질 수 있습니다.
하지만 이런 경우에는 Chrome 웹 브라우저에서 악성코드 유포 사실을 알기 이전까지는 "안전함"이라고 표시할 수 있습니다.
이후 악성코드 유포가 확인된 경우에 한하여 사이트 접속 시 웹 브라우저는 위험 표시를 통해 접속을 차단할 수 있습니다.
더욱 문제되는 부분 중에는 해킹이 아닌 HTTPS 접속이 이루어지는 악성 사이트를 제작하여 피싱(Phishing) 사이트로 운영될 수 있다는 점입니다.
해당 피싱 사이트에 접속할 경우 Chrome 웹 브라우저는 HTTPS 통신을 한다는 이유로 우선적으로 "안전함"으로 표시하기 때문에 URL 주소를 제대로 확인하지 않고 안전하다는 메시지만을 신뢰하여 민감한 정보를 입력할 수 있습니다.
그러므로 웹 브라우저에서 HTTPS 통신 여부에 따라 표시하는 "안전함" 또는 "안전하지 않음" 표시는 입력하는 정보가 암호화되어 전송하느냐 여부임을 표시할 뿐 사이트 내부의 콘텐츠의 신뢰성을 보장하지는 않다는 것을 명심해야 할 것입니다.