뉴스로 돌아가기
연구낮음

2026년부터 크롬, HTTPS 기본 적용: 보안팀이 알아야 할 핵심 사항

3분 읽기출처: Google Security Blog
Chrome security settings showing 'Always Use Secure Connections' toggle for HTTPS enforcement

구글이 2026년 10월 크롬 154부터 HTTPS 기본 적용을 발표했습니다. 보안팀과 개발자는 어떤 준비를 해야 할지 알아보세요.

크롬, 2026년 10월부터 HTTPS 기본 적용 시작

구글은 **크롬 154(2026년 10월)**부터 "항상 보안 연결 사용" 기능을 기본적으로 활성화한다고 발표했습니다. 이 변경으로 인해 사용자는 HTTPS가 적용되지 않은 공용 사이트에 접근하기 전에 별도의 권한을 요청받게 되며, 이는 브라우저 보안 정책의 중요한 전환점을 의미합니다.

주요 내용

  • 타임라인: 이 설정은 **크롬 147(2026년 4월)**부터 향상된 안전 브라우징(Enhanced Safe Browsing) 사용자에게 먼저 적용된 후, **크롬 154(2026년 10월)**부터 모든 사용자에게 기본값으로 적용됩니다.
  • 적용 범위: 이 기능은 공용 사이트에만 적용되며, 사설/로컬 네트워크 주소(예: 192.168.0.1, intranet/)는 제외됩니다.
  • 사용자 영향: 크롬은 비HTTPS 사이트에 대해 우회 가능한 경고를 표시하며, 자주 방문하지 않는 도메인에 한해 빈도를 제한해 혼란을 최소화합니다.

기술적 근거

구글의 결정은 HTTP와 관련된 지속적인 보안 위험에서 비롯되었습니다:

  • 중간자 공격(Man-in-the-Middle, MITM): 공격자는 HTTP 연결을 가로채 악성코드를 삽입하거나, 취약점을 악용하거나, 피싱 공격을 수행할 수 있습니다. 구글의 Threat Analysis Group은 실제 공격에서 HTTP를 악용한 사례를 문서화했습니다.
  • 투명한 리디렉션: 많은 HTTP 사이트가 즉시 HTTPS로 리디렉션되지만, 초기 불안전한 연결은 사용자와 크롬의 "안전하지 않음" 경고에서 숨겨집니다.
  • HTTPS 채택 지연: 구글의 투명성 보고서에 따르면, 공용 사이트 탐색의 **95~99%**가 HTTPS를 사용하지만, 나머지 5%의 HTTP 트래픽은 여전히 심각한 위험을 초래합니다. 사설/로컬 사이트의 HTTPS 채택률은 **리눅스 기준 84%**로 더 낮습니다.

영향 분석

보안 이점

  • 공격 표면 감소: HTTPS 기본 적용은 공용 사이트에 대한 MITM 공격 위험을 완화하며, 이는 주요 공격 대상이 됩니다.
  • HTTPS 마이그레이션 촉진: HTTP-to-HTTPS 리디렉션을 사용하는 등 간과된 HTTP 사이트를 보유한 조직은 HTTPS를 완전히 채택하도록 유도됩니다.
  • 로컬 네트워크 개선: 구글의 Local Network Access 권한은 승인된 로컬 기기에 대해 HTTPS 사이트가 혼합 콘텐츠 차단을 우회할 수 있도록 허용해 안전한 구성을 가능하게 합니다.

잠재적 문제점

  • 기업/로컬 네트워크 마찰: 라우터나 IoT 기기 등 사설 사이트는 고유한 이름이 아닌 경우(예: 192.168.0.1) HTTPS 인증서를 갖추지 못할 수 있으나, 공용 사이트에 비해 위험도는 낮습니다.
  • 사용자 피로도: 경고는 새롭거나 자주 방문하지 않는 사이트에 한해 표시되지만, 일부 사용자는 여전히 불편을 느낄 수 있습니다. 이 설정은 옵트아웃(opt-out) 방식으로 유지됩니다.

권장 사항

  1. 보안팀을 위한 조치

    • HTTP 사용 감사: 크롬에서 오늘 바로 "항상 보안 연결 사용"(chrome://settings/security)을 활성화해 HTTPS 마이그레이션이 필요한 사이트를 식별하세요.
    • 공용 사이트 우선 처리: HTTP 리디렉션이나 혼합 콘텐츠가 있는 도메인을 집중적으로 확인하세요. 이러한 사이트가 경고를 유발할 가능성이 높습니다.
    • 로컬 네트워크 권한 활용: 크롬의 Local Network Access API를 사용해 로컬 기기와의 HTTPS 상호작용을 보안하세요.

  2. 개발자/IT 관리자를 위한 조치

    • 구글 가이드라인 검토: 기업용 완화 전략은 채택 가이드를 참고하세요.
    • 사전 테스트: 크롬 147(2026년 4월)을 배포해 내부 도구 및 사설 사이트와의 호환성을 검증하세요.

  3. 웹사이트 소유자를 위한 조치

    • HTTP 리디렉션 제거: 모든 공용 도메인이 직접 HTTPS로 로드되도록 설정해 경고를 방지하세요.
    • 사설 사이트 인증서 확보: Let’s Encrypt나 내부 CA를 활용해 로컬 네트워크용 인증서를 발급하세요.

향후 계획

구글은 특히 로컬 네트워크 사이트의 HTTPS 채택 장벽을 낮추기 위한 추가 계획을 가지고 있습니다. 향후 업데이트에서는 사설 도메인에도 보호를 확장할 수 있으나, 구체적인 일정은 아직 발표되지 않았습니다.

현재로서는 보안팀이 이 변경을 잔여 HTTP 의존성을 제거하고 웹 인프라를 MITM 위협으로부터 강화하는 계기로 삼아야 합니다.

크롬 보안팀(Chris Thompson, Mustafa Emre Acer, Serena Chen, Joe DeBlasio, Emily Stark, David Adrian) 발표.

공유

TwitterLinkedIn