비보안 비밀번호 모음으로 인해 Chrome 56

아침부터 구글에서 아래와 같은 메일을 받았어요.

제목만 보고 놀란 가슴에 사이트에 문제가 있나 하는 생각이 들었습니다. 내용을 크게 읽진 않았었죠.

비보안 비밀번호 모음이 어떤 말인지 도통 모르겠는데 내용을 잠시 보고 있자니 비밀번호나 신용카드 세부정보를 수집하는 어쩌고 저쩌고 하는 내용이 있네요. 순간 내 사이트에는 글밖에 없는데 무슨 소린가 했습니다.  그 상태에서 그대로 출근을 했죠.

출근해서 다시 메일을 확인을 했네요.

다시 읽어 보니 큰 문제는 아닌것 같다는 생각이 드는게 크롬의 56버전에서부터 HTTPS로 제공되지 않는 사이트의 경우 안전하지 않다라고 표시한다라는 말이더군요. 자기네 정책에 맞지 않다라는 경고성 메세지네요. 

그나마 다행이네요 

메일 중간에 적혀있는 링크의 글은 RTE라는 제목의 글입니다. 

IT용어를 정리한 글이기에 비밀번호 수집과는 무관합니다. 

메일 내용을 정리 하자면 사이트에 SSL 보안을 적용해라라는 내용입니다. 

SSL(Secure Sockets Layer)은 보안 통신 규약입니다. TCP/IP 통신 상에 전송되는 데이터를 암호화 처리를 하여 무경설을 확보하는 규약을 얘기하죠. 웹이나 메일 등 다양한 곳에서 응용되고 있습니다.

위키페디아에 보면 전송계층보안(TLS - Transport Layer Security), 보안소켓레이어(SSL - Secure Sockets Layer)는 암호 규약이다. 그리고 '트랜스포트 레이어 보안'이라는 이름은 '보안 소켓 레이어'가 표준화 되면서 바뀐 이름이다. 이 규약은 인터넷 같이 TCP/IP 네트워크를 사용하는 통신에 적용하며, 통신 과정에서 전송 계층 종단간 보안과 데이터 무경설을 확보해준다. 이규약은 웹 브라우징, 전자 메일, 인스턴트 메신저, VoIP 같은 응용부분에 적용되고 있다. TLS는 IETF 표준규약이다. TLS는 C/S 응용 프로그램이 네트워크로 통신을 하는 과정에서 도청, 간섭, 위조를 방지하기 위해 설계되었다. 그리고 암호화를 해서 최종단의 인증, 통신 기밀성을 유지시켜준다. 라고 나와있습니다. 많이 어렵네요. 

풀어보자면 통신상에 데이터를 주고 받는 과정에서 해당 데이터가 해킹될 수 있는 서버와 클라이언트간에 암호화 키를 부여하여 해당 내용을 암호화하여 주고 받겠다라는 내용입니다. 즉, 암호화 키를 가지고 있는 사람만 볼 수 있도록 한다는 얘기입니다.

좀더 간단히 설명드리면 우리가 보통 웹사이트에 접속할 때 URL을 입력하게 되는데 현재는 많은 사이트들이 http://~ 으로 접속을 하게 됩니다. SSL이 적용이 되면 https://~로 접속을 하게 됩니다. s의 차이가 크죠.

다음 사이트를 얘로 들어보죠. 메인페이지에 접근시는 http://www.daum.net로 접근을 하게 됩니다. 로그인시에는 https://logins.daum.net/~~로 표시가 됩니다. 프로토콜 형태가 보안 프로토콜로 변경이 되게 됩니다.  네이버는 좀 다르군요. 메인은 SSL이 적용이 되어 있군요.

현재 우리나라의 대부분의 사이트는 중요정보가 표시되는 부분에만 SSL을 적용시키고 있는 실정인데요.

구글에서 요청하는 내용은 사이트 전체에 SSL보안을 적용하길 윈하나 봅니다. 

그럼, 궁금하죠. 왜 안전한 SSL을 사이트 전체에 적용하지 않을까요? 속도 문제가 가장 크다고 봅니다. http가 속도가 좀 더 잘 나온다고 합니다. 언듯 보아도 사이트 전체를 암호화처리하여 전송하는 것보다 빨라 보이기는 합니다. 사실 빠릅니다. 그러다 보니 많은 사이트들이 아직 http를 고수하고 있죠.

그래도 보안상 위험하다고 하니 빠른 시일내에 https로 전환되는게 좋아 보이네요.