Akamai Diversity

Akamai 블로그

2018년 7월부터 구글 크롬에서 HTTP 사이트는 '안전하지 않음'으로 표시

데이터 통신을 위한 최초의 웹 프로토콜이자 보안이 취약했던 HTTP의 시대가 저물고 있습니다. Google, 인터넷 아키텍처 이사회(Internet Architecture Board), Mozilla, Apple은 지난 몇 년 동안 개발자들이 웹사이트를 암호화하고 인증을 강화할 것을 장려해 왔습니다. TLS(Transport Layer Security) 위에 HTTP를 연결하면 HTTPS가 됩니다. Google은 HTTP 사이트를 검색 결과 순위에서 낮게 책정했고 geolocation이나 service worker 같은 고급 기능을 지원하지 않았습니다. HTTP 사이트의 일부를 'not secure(안전하지 않음)'이라고 표시하기도 했습니다. 이는 HTTPS 도입률을 크게 높이고 World Wide Web 보안을 강화하는 결과를 낳았습니다.

Google Chrome팀에서 최근에 발표한 내용은 HTTP 사용에 종지부를 찍게 될 것 같습니다. 2018년 7월에 출시되는 Chrome 68은 모든 HTTP 사이트를 'not secure'하다고 표시합니다.  KA1.png

이는 대단한 파급 효과를 미칠 것으로 전망됩니다. 지난 몇 달 동안 정보 유출 사고가 언론에 대대적으로 보도되면서 웹사이트를 브라우징할 때, 특히 개인식별정보(PII)를 공유할 때 보안에 대해 우려하는 사용자들이 점차 증가하고 있습니다. 이런 상황에서 웹사이트가 'not secure'하다고 뜨는 걸 반길 사람은 아무도 없습니다. 물론 HTTPS가 모든 종류의 공격을 다 차단할 수 있는 것은 아닙니다. 예를 들어, 호스트네임만 변경해서 정상 사이트처럼 보이게 만드는 피싱 공격은 차단하기 어렵습니다. 하지만 이른바 '커피숍' 공격(로컬 네트워크의 다른 누군가가 데이터를 가로채 수정하는 공격)이나 과도한 모니터링으로부터 사용자 데이터를 보호하는 것은 매우 중요합니다. 앞으로 HTTP 트래픽을 전송하게 되면 고객 신뢰가 하락하고 이탈률이 높아질 뿐만 아니라 매출과 브랜드 가치에도 영향을 미칠 것이 분명해 보입니다.

아카마이 플랫폼에서도 HTTPS 도입률이 크게 증가해 왔습니다. 2015년 8월에는 호스트네임의 38%(매일 1억건 이상의 요청)가 아카마이 HTTPS 플랫폼을 통해 고객사의HTTPS 인증서를 지원했지만 지금은 호스트네임의 57%가 HTTPS를 적용한 상태입니다. 2016년 7월부터 2017년 12월까지 HTTPS로 처리되는 사용자 요청 비율은 48%에서 75%로 크게 증가했습니다. Mozilla 역시 동일한 추세를 보이고 있고 FireFox 텔레메트리에 따르면 70%의 페이지 로딩이 HTTPS를 통해 이루어지고 있습니다.

KA2.png

HTTPS로 사이트 보안 강화하는 방법은?

아카마이의 클라우드 전송 플랫폼을 활용하면 웹 프로퍼티를 간편하게 HTTPS로 전송할 수 있습니다. 아카마이 전송 및 가속 제품에는 대부분 Standard TLS가 디폴트로 포함되어 있습니다. Standard TLS는 Domain Validated(DV) SAN SNI SSL 인증서를 제공하고 라스트 마일 구간의 사용자 접속을 안전하게 유지합니다. 금융 거래를 처리하는 디지털 프로퍼티에 대한 PCI 컴플라이언스처럼 보안 및 컴플라이언스에 대한 요구사항이 까다로운 경우에는 아카마이의 Enhanced TLS를 사용할 수 있습니다. 사용자에게 HTTPS로 전송하는 것처럼 오리진 서버도 TLS를 적용해야 합니다. 적절한 조치 없이 안전하지 않은 HTTP로 오리진에 접속할 경우 사용자가 보안 위협에 노출될 수 있습니다.

사이트의 리소스(이미지, CSS, javascript, 비디오 등) 역시 HTTPS로 전송이 가능해야 합니다. 그렇지 않을 경우 주소바에 'mixed content'라는 경고 메시지가 뜨게 됩니다. 사이트가 HTTPS로 원활하게 작동하는 것을 확인한 후에는 먼저 302(temporary), 그 다음에는 301(permanent) 리다이렉트를 HTTP에서 HTTPS로 변경해야 합니다. 그래야만 안전하지 않은 HTTP로 사이트를 방문한 사용자가 HTTPS로 업그레이드 될 수 있습니다. 아무런 문제 없이 원활하게 모든 것을 HTTPS로 리다이렉트할 때까지 상당한 시간이 소요됩니다. 이 과정이 끝난 후에 HSTS(point of no return)을 적용해 HTTPS로 전송하는 것이 웹사이트 보안과 안전한 브라우징 경험의 핵심 요소라는 것을 클라이언트에게 알려야 합니다. 위협 환경이 끊임 없이 변화하고 있고 보안은 디지털 경험의 핵심 요소가 부각되고 있습니다. 따라서, 결국에는 웹 애플리케이션 공격, DDoS 공격, 봇을 방어할 수 있는 보안 솔루션을 고려해야 합니다. 이는 별도의 포스팅에서 다루도록 하겠습니다. 먼저 Chrome에서 'not secure'으로 표시되는 것을 막으려면 2018년 7월 전에 HTTPS를 적용해야 합니다.

1 Comment

잘봤습니다~

Leave a comment (코멘트 남기기)