한국정보기술진흥원
한국정보기술신문
thumbnail

정보기술 · 정보보안 ·

구글 크롬, 2026년 10월부터 HTTPS 기본 설정 전환...안전한 웹 환경 구축 박차

발행일
읽는 시간2분 31초

크롬 154 버전부터 모든 사용자에게 보안 연결 설정 기본 적용, HTTP 사이트 접속 시 경고 표시

[한국정보기술신문] 구글이 2026년 10월 크롬 154 버전 출시와 함께 모든 사용자를 대상으로 항상 보안 연결 사용 설정을 기본으로 전환한다고 밝혔다. 이에 따라 사용자가 HTTPS를 지원하지 않는 공개 사이트에 처음 접속할 때 브라우저가 권한을 요청하게 된다.

구글 크롬 보안팀은 사용자가 링크를 클릭했을 때 안전하게 의도한 페이지로 이동하도록 하는 것을 핵심 임무로 삼고 있다. HTTPS를 사용하지 않는 링크는 공격자가 탐색을 가로채 사용자를 임의의 악성 리소스로 유도할 수 있으며, 이를 통해 멀웨어 배포나 표적 공격, 사회공학적 공격에 노출될 위험이 있다.

구글은 2022년 항상 보안 연결 사용 설정을 선택 옵션으로 처음 도입했다. 이 모드에서는 크롬이 모든 연결을 HTTPS로 시도하며, HTTPS를 사용할 수 없는 경우 사용자에게 우회 가능한 경고를 표시한다.

HTTPS 채택률 정체, 새로운 접근 필요

구글이 10년 이상 발표해온 HTTPS 투명성 보고서에 따르면, 크롬 내 HTTPS 탐색 비율은 2015년 30~45%에서 2020년경 95~99% 범위로 급격히 증가했다. 그러나 이후 성장세는 정체 상태에 머물러 있다.

95%의 HTTPS 채택률은 높아 보이지만, 나머지 5%의 HTTP 탐색도 여전히 상당한 수준이다. 대부분의 크롬 사용자에게 HTTP 탐색은 여전히 정기적으로 발생하고 있어, 모든 HTTP 탐색에 경고를 표시하면 사용자 경험에 상당한 지장을 줄 수 있다.

구글은 이러한 위험의 균형을 맞추기 위해 여러 조치를 취했다. 사용자가 정기적으로 방문하는 안전하지 않은 사이트에 대해서는 반복적으로 경고하지 않도록 설정했다. 이를 통해 50회 탐색 중 1회가 아닌, 새로운 사이트나 최근 방문하지 않은 사이트를 방문할 때만 경고를 표시한다.

개인 사이트 제외한 공개 사이트 우선 적용

현재 HTTP를 사용하는 트래픽의 가장 큰 비중은 개인 사이트로의 안전하지 않은 탐색이다. 192.168.0.1과 같은 로컬 IP 주소나 인트라넷과 같은 단일 레이블 호스트명은 공개 사이트와 달리 신뢰할 수 있는 HTTPS 인증서를 획득하기 어렵다.

개인 사이트로의 HTTP 탐색은 여전히 위험할 수 있지만, 공개 사이트에 비해 일반적으로 덜 위험하다. 로컬 네트워크에 있는 공격자만이 이러한 HTTP 탐색을 악용할 수 있기 때문이다.

이러한 위험 차이를 인식해 구글은 작년 공개 사이트 전용 항상 보안 연결 사용 변형을 도입했다. 개인 사이트를 제외하면 플랫폼 간 분포가 훨씬 일관되게 나타난다. 리눅스의 경우 HTTPS 비율이 84%에서 97%로, 윈도우는 95%에서 98%로, 안드로이드와 맥은 99% 이상으로 증가한다.

단계적 적용으로 사용자 불편 최소화

크롬 141 버전에서 구글은 소수의 사용자를 대상으로 공개 사이트에 대한 항상 보안 연결 사용 설정을 기본으로 활성화하는 실험을 진행했다. 실험 데이터를 분석한 결과, 사용자가 보는 경고 수는 탐색의 3%보다 훨씬 적었다. 중간값 사용자는 주당 경고를 1회 미만으로 보았고, 95번째 백분위수 사용자도 주당 3회 미만의 경고를 봤다.

구글은 항상 보안 연결 사용 설정이 기본이 되고 추가 사이트가 HTTP에서 마이그레이션하면 실제 경고 양이 지금보다 더 낮아질 것으로 예상하고 있다. 실험과 병행해 가장 많은 HTTP 탐색을 담당하는 여러 기업에 연락해 크롬 154 출시 전에 HTTP에서 마이그레이션할 수 있을 것으로 기대하고 있다.

구글은 2026년 4월 출시되는 크롬 147 버전부터 강화된 세이프 브라우징 보호를 선택한 10억 명 이상의 사용자에게 먼저 공개 사이트 변형의 항상 보안 연결 사용을 활성화할 예정이다. 이후 2026년 10월 크롬 154 출시와 함께 모든 사용자에게 기본으로 설정된다.

웹사이트 개발자나 IT 전문가는 영향을 받을 수 있는 사용자가 있다면 오늘부터 항상 보안 연결 사용 설정을 활성화해 마이그레이션이 필요한 사이트를 식별할 것을 구글은 권장했다. 사용자는 원하는 경우 항상 보안 연결 사용 설정을 비활성화해 경고를 해제할 수 있다.

한국정보기술신문 정보보안분과 안서진 기자 news@kitpa.org