구글 크롬의 주소창 낙인, 어떻게 봐야 할까

[기자수첩] '안전하지 않음'이 불러올 오해 우려

기자수첩입력 :2018/06/05 11:16    수정: 2018/06/05 14:32

브라우저 시장점유율 1위 크롬이 다음달 68버전부터 일부 웹사이트 방문자에게 경고를 표시한다. 웹사이트 주소창 왼쪽에 '안전하지 않음(Not Secure)'이라는 문구다. 웹사이트가 'HTTPS 통신을 적용하지 않았다'는, 다시말해 'HTTP 통신을 한다'는 점이 이런 경고의 이유가 된다. 주류 인터넷 환경이 HTTPS 방식으로 바뀌는 건 긍정적이지만, HTTP 웹사이트에 대뜸 안전하지 않다는 '낙인'을 찍는 게 적절한지 의문이다.

구글 크롬 브라우저가 HTTPS를 적용하지 않은 HTTP 웹사이트 방문시 주소창에 '안전하지 않음' 표시를 띄울 예정이다. 2018년 7월 정식 배포될 크롬68 버전부터 적용된다.

HTTP는 웹서버를 통해 브라우저에 콘텐츠를 전달하는 표준이다. 인터넷 서핑의 근간이다. 방문자가 브라우저로 어느 사이트를 들르든 이 통신규격으로 정보를 주고받는다. HTTP로 오가는 정보를 암호화하면 중간에 가로채여도 내용을 보호할 수 있다. 로그인할 때 이용자와 웹사이트 사이의 누군가가 계정명과 패스워드를 훔칠까, 진짜 정보를 망가뜨리거나 조작해 엉뚱한 정보를 받게될까 싶은 걱정을 덜어 준다.

그럼 HTTPS는 뭔가. HTTP로 통신하는 정보를 암호화해 주고받는 표준 기술이다. 브라우저와 웹사이트가 지원하면 쓸 수 있다. 요즘은 HTTPS를 지원하지 않는 브라우저를 찾기가 더 어렵다. 크롬뿐아니라 인터넷익스플로러(IE), 엣지, 사파리, 파이어폭스, 오페라, 네이버 웨일, 삼성 인터넷 등 널리 쓰이는 모든 브라우저가 HTTPS를 지원한다. 대형 인터넷 서비스, 금융서비스 웹사이트에도 HTTPS가 적용돼 있다.

국내 일부 중앙정부부처, 산하기관, 대학, 병원, 많은 민간기업도 이런 IT트렌드에 부지런히 대응했다. 하지만 HTTPS를 지원하지 않는 곳도 상당수다. 제한된 예산으로 운영되는 대국민 공공사이트와 지방자치단체 홈페이지가 대표적이다. 국공립 기관, 단체, 학교, 협회 홈페이지도 마찬가지다. 모두 다음달 크롬 브라우저 68버전을 설치한 이용자가 방문한다면 안전하지 않음 표시를 볼 수 있을 곳들이다.

국내 언론사 인터넷 웹사이트의 사정도 다르지 않다. 네이버 뉴스서비스와 제휴한 일간언론사 가운데 메인 페이지를 HTTPS 방식으로 제공할 수 있는 곳이 두 손에 꼽힌다. 네이버와 다음 포털 뉴스조차 당장은 HTTPS로 서비스되지 않고 있다. 다음달 출시될 크롬 브라우저 이용자가 국내 인터넷 환경에서 뉴스를 소비하는 동안 주소창 옆에 '안전하지 않음' 표시를 접하게 될 확률이 높다.

이런 문제를 예상한다. 구글은 크롬 브라우저 주소창에 '안전하지 않음' 이전에 '안전함(Secure)'이라는 표시를 써 왔다. 어떤 사람들은 이런 표시가 붙은 웹사이트로부터 불특정한 인터넷 보안 관련 위험으로부터 '안전하다'는 인상을 받겠지만, 그런 뜻은 없다. 그 의미는 'HTTPS 통신을 한다'는 것뿐이다. 방문자가 웹서버와 주고받는 내용을 암호화하니까 그에 따른 보안 효과를 얻는다는 얘길 단순화한 표시다.

조만간 여러 웹사이트 주소창 왼쪽에 나타날 안전하지 않음 표시도 동일한 맥락의 오해를 불러일으킬 수 있다. 그 실제 의미는 해당 웹사이트가 'HTTPS 통신을 하지 않는다', 또는 'HTTP 통신을 한다'일 뿐이다. 방문자가 웹서버와 주고받는 내용을 암호화하지 않는다, 그에 따른 보안 효과를 얻을 수 없다는 뜻이다. 하지만 많은 사람들은 불특정한 인터넷 보안 관련 위험으로부터 안전하지 않다는 인상을 얻을지 모른다.

당장 상반된 2가지 생각이 든다. 일단 모든 인터넷 이용자가 HTTPS 기술의 개념과 효력을 이해하지 못하는 마당에 수많은 웹사이트가 크롬 주소창을 통해 '안전하지 않음' 표시를 달고 불필요한 오해를 받는 건 부당한 일이다. 기우이길 바라지만, 언론사나 포털 뉴스의 콘텐츠 신뢰도에 영향을 줄 수도 있다. 이런저런 사정으로 한동안 HTTP 웹사이트를 유지해야 할 조직에서는 크롬의 이런 변화를 반길 수 없을 듯하다.

관련기사

하지만 HTTP에서 HTTPS로의 전환 자체는 대세로 자리잡았다. HTTPS를 HTTP와 구별하는 것은 구글뿐아니라 모든 브라우저 개발업체의 공통적인 조치다. 현재 개발 단계인 차세대 주요 웹기술은 HTTPS 환경에서만 동작할 가능성이 높다. 흐름은 올바르다고 합의된 방향이란 뜻이다. 이를 촉진하려는 구글의 방식이 마음에 들지 않더라도 언젠가 대응해야 할 일을 지금 시작하는 걸로 받아들이는 게 적절하다.

구글이 3년전 크롬 브라우저에서 NPAPI 지원을 중단하기로 했을 때 국내서 벌어진 촌극의 교훈을 떠올려 본다. 이용자 불만을 우려한 은행 측은 대체기술 확보와 도입 일정의 촉박함을 토로했고, 정부 공무원까지 나서 구글에 NPAPI 지원 중단 유예를 요청했다. 구글은 불가 입장을 피력했고, 이 상황을 지켜본 수많은 이용자들은 정부와 금융사를 매섭게 성토했다. 지금은 정부가 나서서 '노플러그인'을 외친다.