구글이 예고한대로 최신 크롬 정식판이 HTTP 사이트 방문시 경고 문구를 띄우기 시작했다. 그런데 주소창에 나타나는 경고 표현이 기존 '안전하지 않음'이 아니라 '주의 요함'으로 바뀌어 눈길을 끈다.
25일 현재 구글은 일반 이용자에게 크롬68 공식 빌드(68.0.3440.75)를 배포 중이다. 이 버전의 크롬 브라우저 이용자들은 HTTP 기반 웹사이트 방문시 주소창 왼쪽에서 전에 볼 수 없었던 보안 경고 문구를 볼 수 있다.
크롬 이용자는 한국어 환경에서 주소창 경고 문구로 '주의 요함'이라는 표시를 볼 수 있다. 무슨 의미일까. 표시를 클릭하면 "이 사이트는 보안 연결(HTTPS)이 사용되지 않았다"며 "입력하는 비밀번호나 신용카드 번호 등의 정보는 도난당할 수 있다"는 설명을 볼 수 있다.
HTTPS는 브라우저와 웹서버간 주고받는 정보를 암호화해, HTTP보다 이용자 프라이버시와 데이터 보안을 강화하는 기술이다. 구글, 모질라 등 브라우저 개발업체는 운영자들이 HTTPS 기반으로 웹사이트를 운영하도록 유도해 왔고, 그 일환으로 주소창 경고 표시를 활용하고 있다.
■ 주소창 Not Secure 경고 '안전하지 않음'→'주의 요함'으로 변경
앞서 배포된 크롬68 버전 시험판에서도 HTTP 사이트 접속시 보안 경고를 확인할 수 있었다. 기존 시험판의 보안 경고는 'Not Secure'라는 영어를 그대로 한국어로 옮긴 '안전하지 않음'이었는데 정식판에선 '주의 요함'이 됐다는 게 차이점이다.
크롬 브라우저의 기본 인터페이스 언어는 영어다. 보안 경고의 원문인 Not Secure 표기는 크롬68 시험판에서와 정식판에서 동일하게 유지됐다. 정식판의 표현이 시험판에서와 달라진 것은 크롬68 한국어 환경에 한해서라는 얘기다.
구글은 왜 크롬68 한국어 환경에 한해 '안전하지 않음' 표시를 '주의 요함'으로 바꿨을까.
지난 24일 문의 결과 구글코리아 측은 영어 원문 표현인 "not secure의 의미를 보다 분명히 전달하기 위해" 한국어 표기를 변경했고, 이를 위해 구글의 한국 담당자가 한국어 표기 변경을 위해 본사 담당자와 논의를 진행했다고 답했다.
이 설명에 따르면 구글의 한국 담당자는 크롬68 버전에서 '안전하지 않음'이라 번역된 표현이 회사측에서 의도한 의미를 이용자에게 분명하게 전달하지 못한다고 판단했다. 안전하지 않음이라는 표현에 오해 소지가 있음을 인정한 것으로 이해된다.
■ 주소창 문구, 방문 사이트 신뢰에 영향 줄 수도
원래 브라우저 주소창의 표현은 방문 사이트 웹서버와의 통신이 HTTP냐 HTTPS냐, 그 기술의 보안 수준이 어떠냐를 보여 주는 역할을 한다. 보안 지식을 갖춘 이용자와 전문가 및 사이트 운영자에게 현재 통신기술로 어떤 수준의 보안 효과를 기대할 수 있는지를 나타낸다.
그런데 보안 지식이 불충분한 이용자에게는 다른 의미를 줄 수도 있다. 예를 들어 HTTP 사이트 접속시 '안전하지 않음'같은 표시가 뜨면 방문자는 해당 사이트가 명시적으로 불순한 의도나 정보를 제공하고 있다는 오해를 불러일으킬 소지가 있다. 선의의 운영자에겐 억울할 수 있다.
구글 본사는 수년전부터 HTTPS 확산에 팔을 걷어부친 상태고, 인터넷 트래픽 상당 규모가 이미 암호화돼 있다는 소식도 들려 오고 있다.
구글은 25일 한국어 공식 블로그를 통해 "크롬의 '주의 요함' 경고로 사용자는 언제든지 접속한 사이트에 대한 연결이 안전하지 않은지를 확인할 수 있으며, 사이트 소유자에게는 사이트의 보안을 개선하도록 동기를 부여할 것"이라고 주장했다. 사측의 투명성 보고서를 인용해 "웹상의 상위 100개 사이트 중 83개가 기본적으로 HTTPS를 사용한다"고 강조했다.
하지만 HTTP 사이트는 국내에 여전히 많다. 특히 국내에선 크고 작은 중앙 정부부처와 산하기관 및 지방자치단체 홈페이지가 HTTP 기반이다. 군소 언론사, 쇼핑몰, 커뮤니티 등도 마찬가지다. 대다수 민간 이들이 제공하는 사이트의 구축 및 운영 수준은 업계 선도업체와 최신 동향에 민감한 이용자들의 기대에 미치지 못한다.
크롬은 이용량 기준 세계 및 국내 점유율 1위 브라우저로 국내에도 두터운 이용자층을 보유하고 있다. 일반 이용자들이 일상적으로 들르는 인터넷 커뮤니티, 카페, 쇼핑몰, 공공 웹사이트 등 크고 작은 HTTP 사이트에서 보안 경고 문구를 접했을 때 해당 사이트를 필요 이상으로 문제시하는 등 불이익을 초래할 수 있다.
■ 크롬68 'Secure' 표시도 '안전함'→'보안 연결'로 변경
구글 한국 담당자는 이 점을 염두에 두고, 수많은 이용자로부터 사이트가 안전하지 않다는 오해를 살 수도 있는 당초 보안 경고 문구의 표현 수위를 다소 신중하게 조정했을 것으로 보인다. 시험판 크롬69 버전 한국어 환경에선 여전히 기존 '안전하지 않음' 문구가 표시되고 있지만, 구글이 한국어 블로그를 통해 해당 문구를 직접 소개한만큼 앞으로도 한국어 환경에 변경된 문구가 적용될 전망이다.
같은 맥락에서 구글 한국 담당자는 크롬68 버전의 주소창 표시 문구 가운데 HTTP 보안 경고뿐아니라 HTTPS 접속 알림도 변경한 것으로 보인다. 이전까지 HTTPS 접속 알림 문구는 '안전함'이었다. 영어 표기 'Secure'를 그대로 옮긴 결과였다. 크롬68 버전에선 HTTPS 접속시 주소창 표시 문구가 '보안 연결'로 바뀌었다. 이 역시 해당 사이트의 보안을 과신하지 않는 효과를 줄 것으로 기대된다.
방문자에게 입력 정보의 유출과 열람하는 웹페이지 위변조를 방지해 줄 수 있다는 점에서 HTTPS 확산은 촉진돼야 한다. 그러자면 각 운영자가 HTTPS 도입을 못하고 있는 이유가 해소돼야 한다. 이용자에게 오해를 살만한 경고 문구 표시만으론 변화를 앞당기기에 불충분하다.
관련기사
- 구글 크롬 '주소창 HTTP 보안 경고' 곧 적용2018.07.25
- 구글 크롬의 주소창 낙인, 어떻게 봐야 할까2018.07.25
- 구글 크롬, HTTPS 사이트 '안전함' 표시 없앤다2018.07.25
- 구글 크롬, 7월 모든 HTTP에 보안경고 표시2018.07.25
파이어폭스, 엣지, 인터넷익스플로러 등은 이용자가 방문한 웹사이트 제공 환경이 HTTP이라 해도 주소창에 경고 문구를 띄우진 않는다. 대신 HTTPS일 경우 주소창에 '자물쇠' 아이콘이나 '보안 접속' 등 문자를 띄워, 암호화 통신으로 추가 보안 효과를 얻고 있다는 점을 드러낸다.
구글 계획에 따르면 오는 9월 나올 크롬69 버전부터는 HTTPS 사이트에 방문해도 주소창에서 '보안 연결'이 표시되지 않는다. 10월 나올 크롬70 버전부터는 HTTP 사이트의 로그인 페이지 접속시 '주의 요함' 경고 문자가 붉은색으로 강조되고, 이는 언젠가 더 나중에 모든 HTTP 페이지에 확대 적용된다.