WinCERT.COM

안녕하세요 윈서트입니다.

2020년 중반부터 Chrome에서 특정 파일을 다운로드 할 수 없습니다. 그 이유는 다음과 같습니다.

우리는 보다 더 안전한 웹 환경으로 이동하면서, End-User에게 중요한 영향을 미치는 보안관련 큰 결정을 내리는 브라우저 제조사를 본적이 있습니다. 이번에는 구글의 브라우저인 크롬이 HTTP 에서는 다운로드를 막겠다는 계획을 발표했습니다.

구글 크롬은 전세계 60%에 가까운 사용자들이 이용하고 있는 최고의 브라우저입니다.

왜 HTTP 다운로드 차단하나요?

구글 크롬과 주요 브라우저들은 HTTP로 웹사이트로 접속할 경우 “Not Secure”, “보안되지않음”, “주의요함” 경고를 노출합니다.

일상적인 사용자들에게 안전하지 않은 접속을 알려줘서 중요한 (개인)정보 등을 웹사이트에 입력하여 서버로 전송하지 않기를 바라기 때문입니다. 이것은 사용자 인지와 HTTPS 사용을 촉진하는 중추적인 역할을 해왔다

하지만, 그것만으로는 충분하지 않았다.

SSL인증서가 설치된 웹사이트이지만, 일부라도 HTTP통해서 파일 다운로드가 되고 있다면 어떤가요? 해커가 이것을 사용하여 당신의 시스템에 멜웨어를 주입하면 어떤가요?  이럴 가능성이 충분히 있습니다.

HTTPS로 접속된 웹사이트에 HTTP 콘텐츠가 있는 것을 기술적용어로 “혼합콘텐츠”라고 합니다. 그리고 “혼합다운로드”도 포함되어 있다면 다운로드 링크가 HTTP일때 사용자들에게 통지할 표시가 없기 때문에 대부분 쉽게 속아 넘어갈 수 있습니다. 이것은 분명 HTTPS 보안의 취약점이며, 구글 크롬은 HTTPS 웹사이트로부터 HTTP 다운로드를 차단하여 그 취약점을 없애기로 결정했습니다.

그렇다면 무엇이 차단될 것인가?

구글발표계획에 따르면, 크롬83(2020년6월 배포예정)은 “사용자에게 위협이 높은 파일형식”을 차단하기 시작할 것입니다. 이러한 파일형식에는 “.exe”, “.apk”와 같은 실행파일이 포함됩니다. 이후 크롬 배포에서는 구글은 다른 파일형식도 포함시키고, 2020년10월에 배포될 크롬 86은 모든 파일형식을 차단할 것입니다. 따라서 2020년 10월이후(크롬 업데이트를 사용하면) HTTPS URL에서만 파일은 다운로드할 수 있습니다. 즉 HTTP 링크로는 다운로드 할 수 없게 됩니다.

구글의 6단계 차단 접근법

차단 프로세스는 크롬83(2020년6월배포예정) 출시로 시작되지만 Google은 먼저 사용자를 교육하고 웹사이트 내에 혼합된 콘텐츠를 제거할 시간을 주기로 원합니다. 그렇기 때문에 크롬81(2020년 3월 배포예정)은 모든 혼합 콘텐츠 다운로드에 대한 콘솔 경고 메시지를 제공합니다.

(https://blog.chromium.org/2020/02/protecting-users-from-insecure.html)

구글은 3월에 시작되는 이 절차를 6단계로 나눴습니다.  구글이 데스크탑플랫폼(윈도우, 맥, 크롬OS, 리눅스)에 대해 제공하는 개요는

출처 - (https://blog.chromium.org/2020/02/protecting-users-from-insecure.html)

참고, 모바일환경(안드로이드, iOS)의 경우 크롬에서 출시버전을 1 롤아웃을 지연시킵니다. 즉, 크롬82에신 크롬83에서 경고가 표시되기 시작합니다.

윈서트 생각 - 구글 참 고맙고, 대단하다. 2020년 개발자는 일이 참~~~ 많겠다.