구글, 크롬에서 HTTPS 아닌 다운로드 점진적으로 차단한다

 

구글, 크롬에서 HTTPS 아닌 다운로드 점진적으로 차단한다

 

- 본문 기사 : https://www.boannews.com/media/view.asp?idx=86250

구글, 크롬에서 HTTPS 아닌 다운로드 점진적으로 차단한다

 

- 기사 요약

사용자들의 보안을 강화하기 위한 노력으로 구글은 크롬 브라우저 사용 시 HTTPS 페이지들에서의 불안전한 다운로드 시도를 차단할 것이라고 발표했다. 이 정책은 올해 가을에 나올 크롬 86 버전부터 정식 도입될 예정이라고 한다.

 

이는 구글이 크롬 80을 발표하면서 같이 공개된 내용이다. 크롬 80을 통해 구글은 HTTPS로 자동 업그레이드 되지 않는 오디오 및 비디오가 섞인 리소스들을 차단하기 시작한다. 디폴트 설정이 이렇게 되어 있어, 사용자들이 관련 리소스를 활용하려면 옵션을 활용해야만 한다. 크롬 81부터는 이미지 파일들에도 이러한 제재가 들어갈 예정이다.

결국 구글의 최종 목적은 “안전하지 않은 부자원(subresource)을, 안전한 페이지들에서 전면 차단한다”는 것이다. 아무리 페이지가 안전하다 하더라도 불안전한 부자원을 통해 안전하지 못한 상황이 연출될 수 있기 때문이다. “불안전한 방법으로 다운로드 되는 파일들을 멀웨어로 바꿔치기 하는 건 공격자들에게 간단한 일입니다. 그래서 불안전한 다운로드를 허용하지 않는 방향으로 갈 겁니다.”

이런 작업은 점진적으로 진행될 예정이다. 크롬 82에서는 실행 파일을 다운로드 받을 때 경고가 나가도록 하고, 83부터는 차단을 시작한다. 그 다음은 디스크 이미지 파일들이다. 역시 83부터 경고가 나가고, 84부터 차단이 되는 순서다. 84에 경고가 나가는 건 PDF나 워드 문서들이고, 이는 85 버전부터 차단으로 바뀔 것이다.

크롬 85에서는 이미지, 오디오, 비디오, 텍스트 등이 섞여 있는 콘텐츠 다운로드 발생 시 경고를 내보낸 후 차단 할 것이라고 한다. 올해 10월 즈음 출시될 크롬 86에서는 경고 없이, 여러 가지가 뒤섞인 콘텐츠를 다운로드 할 수 없도록 할 예정이다.

 

 

- 개인 의견

HTTP로 진행되는 다운로드를 단계적으로 차단하는 것은 사용자 입장에서 속도적인 측면이 조금 느려질 수도 있지만, 보안측면에서는 좋은 방향으로 가는 것 같다.

그리고 크롬 브라우저 외에 타 브라우저(인터넷 익스플로러, 파이어폭스 등)도 이러한 정책을 적용해서 보안수준을 높혀야되지 않을까 생각이 든다.

결국에는 사용하는 브라우저를 선택하는 것은 사용자이지만, 보안이 적용되어 있지 않는 브라우저라면 고객에세 신뢰도를 주기 어렵기 때문이다. 물론 사용자도 일정 수준 이상의 보안 수준이 있어야 되지만 말이다.

---