크롬 차기 버전은 주소창에서 방문자가 들른 웹사이트가 HTTPS 암호화통신을 쓰고 있다는 표시를 보여주지 않게 된다. 앞으로 브라우저와 웹서버간의 송수신 데이터가 암호화로 보호되고 있어 보안상 안전하다는 걸 굳이 드러내지 않겠다는 계획이다. 다음달 나올 크롬69의 변화다.
현재 최신 정식판 크롬68은 방문한 웹사이트의 서버가 브라우저와 HTTPS 또는 HTTP로 통신하고 있다는 걸 일일이 주소창 문구로 보여 준다. HTTPS면 '보안 연결(Secure)'이고 HTTP면 '주의 요함(Not Secure)'이다. 그런데 후속판부터 '주의 요함'만 보이고 '보안 연결'은 안 보이게 된다.
요약하면 앞으로 크롬은 HTTP는 암호화통신을 안 하고 있으니 조심하라는 것을 강조하지만, HTTPS 방식으로 보안 연결이 된 상태라는 것을 따로 강조해주지는 않게 된다. 크롬 브라우저를 개발하고 있는 구글은 왜 이런 식의 변화를 추구하는 걸까. 최근 그 의도가 공개됐다.
지난 8일 미국 씨넷은 구글 보안전문가 파리사 태브리즈 엔지니어링 디렉터가 인터뷰를 통해 일상적으로 웹서핑을 하는 모든 인터넷 이용자를 IT업체들이 보호해야 한다는 관점을 제시했다고 보도했다. 그 연장에서 구글이 크롬의 주소창 표시 문구도 바꿔 왔다는 설명이다.
태브리즈 디렉터는 구글에서 그의 궁극 목표가 보안(security)을 자연적으로 주어진 요소처럼 만드는 것이라고 밝혔다. 인터넷 이용자들이 보안성을 확보하려고 적극적으로 생각하지 않아도 되게끔 하겠다는 의미다. 그렇게 만드는 게 인터넷의 아티텍트들에게 달린 과업이라고 봤다.
그는 "웹에서 콘텐츠를 만드는 게 종착점인 대다수 사람들은 그것(보안성)을 신경써야 할 게 아니다"라며 "그건 그냥 기본적으로 돼야하는 것"이라고 말했다. 또 "언제쯤 그렇게 될지는 모르지만 상황은 옳은 방향으로 나아가고 있다고 생각한다"고 덧붙였다.
구글은 지난 4년간 그에 관련된 조치를 취해 왔다. 태브리즈 디렉터는 새로운 보안 기능을 점증적으로 내놓는 게 구글 방식이라고 설명했다. 이 방식을 취하는 배경엔 사람들이 혼란을 겪지 않게 하겠다는 계산과, 빈번한 보안 경고로 피로감을 느끼게 하지 않겠다는 판단이 깔렸다.
크롬이 과거 없었던 주소창의 HTTP 보안 경고를 먼저 로그인 페이지에 추가하고, 이어 모든 페이지로 확대한 것도 마찬가지 사례다. 크롬은 한동안 HTTPS 웹페이지 방문시 주소창에 녹색 바탕의 'Secure' 문구를 띄웠지만, 이제 그 반대 상황에 보안경고를 띄우는 변화를 준비 중이다.
태브리즈 디렉터는 "HTTPS와 관련된 수많은 보안 표지(indicators)가 '오류, 암호화를 아십니까? 계속 아무데나 들어갈 건가요?' 묻고, 사람들은 그걸 그냥 봐 넘긴다"며 "우린 더 알기 쉬운 경고 메시지를 만들고 뭐가 이용자에게 보탬이 되는지 이해하려고 무던히 애썼다"고 강조했다.
크롬은 지난 7월부터 Secure의 반대인 'Not Secure' 문구를 표시하기 시작했다. HTTPS 암호화통신의 송수신 데이터 보호 효과를 제공하지 않아 보안상 불리하다는 의미다. 지금은 이게 HTTPS 페이지의 Secure 표시와 함께 나오고 있지만, Secure 표시는 다음달 크롬69부터 사라진다.
태브리즈 디렉터에 따르면 크롬은 HTTPS 암호화통신을 지원하는 웹서버의 '안전한' 페이지에 있다는 걸 보여주는 Secure 문구와 녹색 자물쇠 기호를 한동안 보여줬다. 구글은 보안이 일종의 기본 전제(default assumption)로 자리잡길 바라기에, 그런 표시를 제거하기로 했다.
태브리즈 디렉터는 또 구글 혼자 전체 인터넷에서 보안을 기본으로 만들 순 없다고 말했다. 그는 IT업계 거인들이 함께 도와야 한다고 언급했다. 그래서 구글은 HTTPS 확산을 위해 파이어폭스를 만드는 모질라, 무료 인증서를 발급하는 렛츠인크립트와 손잡았다고 설명했다.
관련기사
- 패스워드 없는 웹, 실리콘밸리에서 시동2018.08.10
- 크롬, HTTP 경고 문구 '주의 요함'으로 바뀌었다2018.08.10
- 구글 크롬 '주소창 HTTP 보안 경고' 곧 적용2018.08.10
- 구글 크롬, HTTPS 사이트 '안전함' 표시 없앤다2018.08.10
그는 "페이스북과 구글만 HTTPS 기반으로 서비스되는 걸로 괜찮은 게 아니다"라며 "블로그를 운영하는 개인들이 여전히 거기 들르는 사람들에게 활발히 읽히는 콘텐츠가 진짜라는 것과 통신사(ISP)에게 간섭당하지 않은 것이라는 믿음을 주고자 할 테니까"라고 덧붙였다.
태브리즈 디렉터는 구글의 보안 프린세스(Google's Security Princess)라는 별명으로도 불리는 보안전문가다. 그는 지난 8일 미국 라스베이거스에서 열린 연례 사이버보안 컨퍼런스 블랙햇에 기조연설자로 참석해 사이버보안 세계의 현황을 논의하기도 했다.
