비보안 비밀번호 모음으로 인해 Chrome 56에 경고가 표시됩니다

1월 8일 블로그를 시작한 병아리 블로거인 저는 구글로부터 무시무시한(?) 메일을 받게 됐습니다.
메일은 1월 28일에 ‘비보안 비밀번호 모음으로 인해 Chrome 56에 http://plusmoney.tis​tory.com/ 경고가 표시됩니다’라고 하는 제목으로 도착했습니다.

내용을 미처 보기도 전에 제목에 명시된 ‘비보안 비밀번호 모음’, ‘경고  표시’ 이런 문구 때문에 깜짝 놀라지 않을 수 없었는데요. 티스토리 블로그를 이용하시는 여러분들도 같은 경험을 하셨을 것 같아 내용을 정리해보겠습니다.

구글 애드센스를 승인받기 전이라 구글로부터 메일이 오면 긴장을 하곤 하는데 구글 서치 콘솔팀으로부터 메일이 오다보니 더 긴장하게 됐나봅니다.

메일의 내용을 요약하자면 이렇습니다.

-2017년 1월부터 Chrome(버전 56 이상)에서는 페이지가 HTTPS로 제공되지 않는 경우 비밀번호나 신용카드 세부정보를 수집하는 페이지를 '안전하지 않음'으로 표시합니다.

-저의 블로그에 비밀번호나 신용카드 세부정보를 수집하는 입력란이 포함되어 있으며, 이로 인해 새로운 Chrome 경고가 표시됩니다.

-이 경고가 어디에 표시되는지 확인하고 사용자의 데이터를 보호하기 위한 조치를 취하시기 바랍니다. 이 목록은 일부일 뿐 전체 목록이 아닙니다.

-새로운 경고는 암호화되지 않은 HTTP 프로토콜을 통해 제공되는 모든 페이지를 '안전하지 않음'으로 표시하기 위한 장기 계획의 첫 번째 단계입니다

메일에서는 또 문제해결 방법도 친절하게 안내하고 있습니다.

-Chrome 사용자가 사이트를 방문할 때 '안전하지 않음' 알림이 표시되지 않게 하려면 비밀번호 및 신용카드 입력란 모음을 HTTPS 프로토콜을 사용해 제공되는 페이지로 이동하시기 바랍니다. 

한 마디로 정리를 하자면, 티스토리로 운영되는 당신의 블로그에 댓글 입력할 시 비밀번호를 사용하도록 돼 있으므로 크롬 56에서 ‘안전하지 않음’으로 표시되지 않으려면 HTTPS 홈페이지로 변경해야 한다는 말이었습니다.

그렇다면 HTTP는 무엇이고, HTTPS는 무엇일까요?

저의 블로그의 경우 블로그 주소가 http로 시작하는 반면, 하나은행의 경우 https로 시작한다는 차이점을 발견하셨나요?

위키피디아를 통해 http와 https의 차이점을 설명해 보겠습니다.

HTTP(HyperText Transfer Protocol)는 www 상에서 정보를 주고받을 수 있는 프로토콜로, 주로 HTML 문서를 주고받는 데에 쓰입니다. TCP와 UDP를 사용하며, 80번 포트를 사용합니다.

HTTP는 클라이언트와 서버 사이에 이루어지는 요청/응답(request/response) 프로토콜로, 예를 들면, 클라이언트인 웹 브라우저가 HTTP를 통하여 서버로부터 웹페이지나 그림 정보를 요청하면, 서버는 이 요청에 응답하여 필요한 정보를 해당 사용자에게 전달하게 됩니다. 이 정보가 모니터와 같은 출력 장치를 통해 사용자에게 나타나는 것입니다.
HTTP를 통해 전달되는 자료는 http:로 시작하는 URL(인터넷 주소)로 조회할 수 있습니다.

다음으로 https에 대한 기술입니다.

HTTPS(Hypertext Transfer Protocol over Secure Socket Layer, HTTP over TLS, HTTP over SSL, HTTP Secure)는 월드 와이드 웹 통신 프로토콜인 HTTP의 보안이 강화된 버전입니다. HTTPS는 통신의 인증과 암호화를 위해 넷스케이프 커뮤니케이션즈 코퍼레이션이 개발했으며, 전자 상거래에서 널리 쓰입니다.
HTTPS는 소켓 통신에서 일반 텍스트를 이용하는 대신에, SSL이나 TLS 프로토콜을 통해 세션 데이터를 암호화하므로 데이터의 적절한 보호를 보장합니다.
보호의 수준은 웹 브라우저에서의 구현 정확도와 서버 소프트웨어, 지원하는 암호화 알고리즘에 달려있습니다. HTTPS를 사용하는 웹페이지의 URL은 'http://'대신 'https://'로 시작합니다.

한 마디로 보안이 적용되고 안되고의 차이에 따라 http와 https가 나뉘어지기 때문에 결제 및 인증 등과 같이 보안이 필요한 경우 https 프로토콜을 일반적으로 이용하고 있습니다.

결국 이 문제를 해결할 수 있는 키는 블로그를 https로 바꾸면 되는데요. 티스토리를 활용하는 저희같은 유저들이 이 문제를 어떻게 해결할 지 난감할 뿐입니다. 블로거들이 https사이트를 개인적인 지출을 통해 개설할 수도 없는 문제이구요. 티스토리 측에서 어서 빨리 이 문제를 해결해주기를 바랄 뿐입니다. 저희 유저들이 티스토리 측에 적극적으로 문제를 제기하고 해결해 주기를 부탁하는 것도 영향을 줄 수 있으리라 생각해봅니다. 티스토리의 입장도 궁금하기 때문에 조만간 내용을 정리하여 티스토리 고객센터에 문의를 할 계획입니다. 당분간 이 문제가 어떻게 해결될 지 지켜보도록 합시다. 혹시 다른 해결책이 있다면 공유 부탁드립니다.