.gif)
보안 업체에서 발견... 구글 측에선 아직 입장 표명 안 해
오래된 사이트들에는 시간 더 주는 듯 보여
[보안뉴스 문가용 기자] HTTPS 전도사를 자처하고 있는 구글이 또 한 번 움직였다. 이번엔 로그인 페이지 등 비밀번호 입력을 필요로 하는 웹사이트 중 HTTP로만 되어 있는 곳은 전부 블랙리스트에 등록시켰다. 아무리 깨끗한 웹사이트라고 하더라도 사용자의 비밀번호를 요구하려면 HTTPS를 도입시키는 것이 유리할 것이다. 안 그러면 방문자가 전부 경고 메시지부터 읽게 될 것이기 때문이다.
.jpg)
▲ HTTPS 비밀 장부, 존재하나?[ⓒ iclickart]
이런 구글의 움직임은 별 다른 발표 없이 은밀히 진행되고 있었다. 이를 발견한 건 보안 업체인 수쿠리(Sucuri)로, “SSL/TLS 인증서만 설치되면 구글은 블랙리스트 명단에서 이름을 삭제해준다”고 한다. 결국 암호화 처리가 되지 않은 연결들에 대해서 구글은 “트래픽 감소를 유발하겠다”는 의도를 가진 것이다. 실제 구글의 블랙리스트에 오르면 심하게는 트래픽이 95%나 감소하기도 한다.
구글은 안전한 인터넷 세상을 만들겠다는 목표 아래 지난 몇 년 동안 HTTPS를 직간접적으로 전파해왔다. 워드프레스 등 다양한 온라인 서비스들도 이에 수긍하고 따라왔다. 그리고 사이버 범죄자들도 따라왔다. HTTPS로 된 피싱 사이트들도 제법 발견되기 시작했으며, 그 수는 점점 더 늘어나고 있다. HTTPS가 안전하다는 건 빠르게 옛말이 되어가고 있다.
그럼에도 HTTPS가 HTTP 보다 안전하다는 사실에는 변함이 없다고 수쿠리는 설명한다. 다만 완벽하지 않을 뿐이고, 구글의 행태가 마냥 곱게 보이지 않기 때문에 HTTPS도 안전하지 않다는 주장이 볼멘 소리처럼 나오는 것이다. “구글의 이런 은밀한 블랙리스팅 행위는 세계 모든 웹 마스터들에게 전달하는 강력한 메시지와 같은 것이죠. 서비스 이용자들의 정보를 원한다면 HTTPS를 도입하라는.”
수쿠리에 의하면 최근 구글이 블랙리스트에 포함시킨 HTTP 사이트들은 최근 도메인을 등록한 곳이라고 한다. 아직 구글의 온전한 신뢰를 받을 시간이 없었던 곳이라는 뜻이다. 하지만 수쿠리가 조사해본 바에 의하면 이 웹사이트들에는 멀웨어나 악성 코드를 포함하고 있지는 않았다. 또한 대부분은 SSL을 활성화시켜 구글의 블랙리스트에서 벗어났다.
이 사실을 봤을 때 구글이 웹사이트를 블랙리스트에 올리기 전에 ‘웹사이트의 연수’도 고려한다는 걸 알 수 있다. “피싱 공격자들은 대부분 새롭게 도메인을 등록해서 공격에 활용하죠. 도메인을 새롭게 파서 잠깐 쓰고 버린다는 게 그들의 일반적인 시나리오입니다. 즉, HTTPS를 도입하지 않았더라도 오래된 웹사이트라면 구글이 어느 정도 시간을 더 준다는 것이죠.”
하지만 수쿠리나 해외 매체 일부에서 이 사실을 확인하기 위해 구글에 연락을 취했으나 구글은 묵묵부답이라고 한다.
[국제부 문가용 기자(globoan@boannews.com)]
오래된 사이트들에는 시간 더 주는 듯 보여
[보안뉴스 문가용 기자] HTTPS 전도사를 자처하고 있는 구글이 또 한 번 움직였다. 이번엔 로그인 페이지 등 비밀번호 입력을 필요로 하는 웹사이트 중 HTTP로만 되어 있는 곳은 전부 블랙리스트에 등록시켰다. 아무리 깨끗한 웹사이트라고 하더라도 사용자의 비밀번호를 요구하려면 HTTPS를 도입시키는 것이 유리할 것이다. 안 그러면 방문자가 전부 경고 메시지부터 읽게 될 것이기 때문이다.
▲ HTTPS 비밀 장부, 존재하나?[ⓒ iclickart]
이런 구글의 움직임은 별 다른 발표 없이 은밀히 진행되고 있었다. 이를 발견한 건 보안 업체인 수쿠리(Sucuri)로, “SSL/TLS 인증서만 설치되면 구글은 블랙리스트 명단에서 이름을 삭제해준다”고 한다. 결국 암호화 처리가 되지 않은 연결들에 대해서 구글은 “트래픽 감소를 유발하겠다”는 의도를 가진 것이다. 실제 구글의 블랙리스트에 오르면 심하게는 트래픽이 95%나 감소하기도 한다.
구글은 안전한 인터넷 세상을 만들겠다는 목표 아래 지난 몇 년 동안 HTTPS를 직간접적으로 전파해왔다. 워드프레스 등 다양한 온라인 서비스들도 이에 수긍하고 따라왔다. 그리고 사이버 범죄자들도 따라왔다. HTTPS로 된 피싱 사이트들도 제법 발견되기 시작했으며, 그 수는 점점 더 늘어나고 있다. HTTPS가 안전하다는 건 빠르게 옛말이 되어가고 있다.
그럼에도 HTTPS가 HTTP 보다 안전하다는 사실에는 변함이 없다고 수쿠리는 설명한다. 다만 완벽하지 않을 뿐이고, 구글의 행태가 마냥 곱게 보이지 않기 때문에 HTTPS도 안전하지 않다는 주장이 볼멘 소리처럼 나오는 것이다. “구글의 이런 은밀한 블랙리스팅 행위는 세계 모든 웹 마스터들에게 전달하는 강력한 메시지와 같은 것이죠. 서비스 이용자들의 정보를 원한다면 HTTPS를 도입하라는.”
수쿠리에 의하면 최근 구글이 블랙리스트에 포함시킨 HTTP 사이트들은 최근 도메인을 등록한 곳이라고 한다. 아직 구글의 온전한 신뢰를 받을 시간이 없었던 곳이라는 뜻이다. 하지만 수쿠리가 조사해본 바에 의하면 이 웹사이트들에는 멀웨어나 악성 코드를 포함하고 있지는 않았다. 또한 대부분은 SSL을 활성화시켜 구글의 블랙리스트에서 벗어났다.
이 사실을 봤을 때 구글이 웹사이트를 블랙리스트에 올리기 전에 ‘웹사이트의 연수’도 고려한다는 걸 알 수 있다. “피싱 공격자들은 대부분 새롭게 도메인을 등록해서 공격에 활용하죠. 도메인을 새롭게 파서 잠깐 쓰고 버린다는 게 그들의 일반적인 시나리오입니다. 즉, HTTPS를 도입하지 않았더라도 오래된 웹사이트라면 구글이 어느 정도 시간을 더 준다는 것이죠.”
하지만 수쿠리나 해외 매체 일부에서 이 사실을 확인하기 위해 구글에 연락을 취했으나 구글은 묵묵부답이라고 한다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 TH.jpg)
 th.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
