구글, 크롬에서 HTTPS 아닌 다운로드 점진적으로 차단한다

2020-02-10 10:13
  • 카카오톡
  • url
HTTPS 기반 페이지가 안전하더라도 HTTP 부자원 있으면 불안전
올 한 해 각종 불안전 콘텐츠 다운로드 시 경고하고 차단할 예정


[보안뉴스 문가용 기자] 사용자들의 보안을 강화하기 위한 노력으로 구글은 크롬 브라우저 사용 시 HTTPS 페이지들에서의 불안전한 다운로드 시도를 차단할 것이라고 발표했다. 이 정책은 올해 가을에 나올 크롬 86 버전부터 정식 도입될 예정이라고 한다.


[이미지 = iclickart]

이는 구글이 크롬 80을 발표하면서 같이 공개된 내용이다. 크롬 80을 통해 구글은 HTTPS로 자동 업그레이드 되지 않는 오디오 및 비디오가 섞인 리소스들을 차단하기 시작한다. 디폴트 설정이 이렇게 되어 있어, 사용자들이 관련 리소스를 활용하려면 옵션을 활용해야만 한다. 크롬 81부터는 이미지 파일들에도 이러한 제재가 들어갈 예정이다.

결국 구글의 최종 목적은 “안전하지 않은 부자원(subresource)을, 안전한 페이지들에서 전면 차단한다”는 것이다. 아무리 페이지가 안전하다 하더라도 불안전한 부자원을 통해 안전하지 못한 상황이 연출될 수 있기 때문이다. “불안전한 방법으로 다운로드 되는 파일들을 멀웨어로 바꿔치기 하는 건 공격자들에게 간단한 일입니다. 그래서 불안전한 다운로드를 허용하지 않는 방향으로 갈 겁니다.”

이런 작업은 점진적으로 진행될 예정이다. 크롬 82에서는 실행 파일을 다운로드 받을 때 경고가 나가도록 하고, 83부터는 차단을 시작한다. 그 다음은 디스크 이미지 파일들이다. 역시 83부터 경고가 나가고, 84부터 차단이 되는 순서다. 84에 경고가 나가는 건 PDF나 워드 문서들이고, 이는 85 버전부터 차단으로 바뀔 것이다.

크롬 85에서는 이미지, 오디오, 비디오, 텍스트 등이 섞여 있는 콘텐츠 다운로드 발생 시 경고를 내보낸 후 차단 할 것이라고 한다. 올해 10월 즈음 출시될 크롬 86에서는 경고 없이, 여러 가지가 뒤섞인 콘텐츠를 다운로드 할 수 없도록 할 예정이다.

이런 식의 전개는 안드로이드와 iOS 버전 크롬에서는 하나씩 늦춰질 예정이다. 즉, 경고가 83버전에서 나가고, 차단이 84 버전부터 시작된다는 것이다. “모바일 플랫폼들은 태생적으로 악성 파일이라는 위협으로부터 조금 더 안전합니다. 모바일 개발자들은 하나씩 먼저 나오는 PC 버전들을 통해 다음 모바일 버전을 미리 준비할 수 있을 겁니다.”

사용자들이 경고 메시지나 차단 메시지를 보게 하는 일이 없게 하려면 어떻게 해야 할까? 모든 파일들이 HTTPS로만 제공되도록 해야 한다. 기업이나 교육 기관 등의 경우 보다 원활한 다운로드를 위해 차단 기능을 해제할 수 있도록 구글은 옵션을 따로 마련하기도 했다. “다운로드를 허용할 사이트마다 InsecureContentAllowedForUrls이라는 정책을 지정할 수 있습니다.”

구글은 “앞으로 불안전한 다운로드를 계속해서 차단해 나갈 예정”이라며, “개발자들이 HTTPS 체제로 온전히 옮겨가기를 기대한다”고 밝히기도 했다. “그래야 고객들로부터 신뢰를 받을 수 있으며, 고객들을 지킬 수도 있게 됩니다.”

3줄 요약
1. 구글, HTTP로 진행되는 다운로드 점진적으로 차단할 계획.
2. 올해 나올 버전을 통해 ‘선 경고, 후 차단’ 순서로 보안 강화할 예정.
3. 개발자들은 모든 통신 요소를 HTTPS로 진행해야 경고 뜨는 거 방지할 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

이전 스크랩하기

과월호 eBook List 정기구독 신청하기

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

PC버전

닫기