추천 글: 정말 간단한 피싱사이트 판별법
크롬 56 버전부터 비밀번호나 카드 번호 같은 개인정보를 수집하는 페이지인데 HTTPS(보안 접속)를 사용하지 않을 경우 위처럼 안전하지 않다고 표시되도록 업데이트되었다.
덕분에 네이버와 다음등의 국내 대형 사이트 홈에도 안전하지 않다는 표시가 표출되고 있다. (심지어 이 블로그까지 표출된다. 댓글 입력 창에 비밀번호 때문인 듯 하다.) 네이버는 조치를 취하기는 했는데, 조치 내용이 메인에서 로그인창 없애기이다. (...)
이미 네이버 모바일 홈은 HTTPS가 적용되어 있는데 PC만 적용을 안 시키고 있다니.. PC 홈 화면에 HTTPS를 적용시키지 않는 이유에 대해서 네이버 측 입장은 이렇다.
메인화면은 이미 공개된 정보고 HTTPS를 적용할 경우 접속 속도가 느려질 가능성도 있어 메인에는 HTTPS를 적용하지 않았다.
정보를 입력하는 단계에서는 바로 HTTPS 접속으로 바뀌기 때문에 보안상 문제는 없다.— 디지털타임즈
공개된 정보고 느려지고 개인정보를 입력할 떄에는 HTTPS를 사용하므로 문제가 없다는 입장이다.
그러나 과연 그럴까? 생각해보자. 요즘 피싱 사이트들은 로그인 페이지가 아닌, 홈 페이지를 해킹 대상으로 삼는다.
출처: http://withcom.kr/symptom_solution/4748
위 사진처럼 네이버 홈 페이지를 대상으로 납치가 이뤄진다. 네이버 홈 페이지는 HTTPS도 아닐뿐더러, 구글처럼 HSTS를 적용한 것도 아니기 때문에 이러한 공격이 가능하다. 사용자가 속아 넘어간다면, 보안카드 번호나 인증서를 해커에게 넘겨버리는 일도 충분히 일어날 수 있다. (아니, 이미 많이 일어나고 있다)
납치되지 못한 구글
동일한 수법은 구글 홈페이지에서는 통하지 않는다. 아예 무시하고 진행하려고 해도 HSTS라는 기술이 접속을 못하도록 막아버린다. 이 또한 HTTPS의 기능이다.
이처럼 메인 페이지에 보안을 적용시키는것 또한 로그인 페이지만큼 중요한데, 네이버는 접속 속도를 핑계로 HTTPS를 사용하고 있지 않다.
그러나 요즘 CPU들은 암호화 수준이 매우 빨라져서 HTTPS로 사용해도 아무 문제가 없다고 한다. (https://www.imperialviolet.org/2010/06/25/overclocking-ssl.html) 암호화된 만큼 트래픽도 약간 더 나올수 있긴 하겠다만 이 정도 투자도 못하겠는가 설마 대기업들이. 이미 구글은 하고 있는데?
그러나 기억하자. 이 문제들은 모두 소비자의 문제가 아닌, 이윤을 추구하는 기업이 해결해야 할 문제라는 사실을.
마침 이 글 번호가 443이군요. HTTPS의 포트 번호는 443번입니다. 엄청난 우연인듯...