본문 바로가기

Technology

PDF, 유튜브, SSL 미설치 관련 지원 중단 서비스 필수 체크리스트

어도비, 마이크로소프트, 구글의 정책 변화와 대응책

온라인에 많은 정보가 쌓이고 전송됨에 따라 온라인상의 보안이 점점 더 중요해지고 있습니다. 온라인 연결이 증가한다는 것은 그만큼 사이버 공격의 범위가 넓어질 수 있다는 의미입니다. IT 기업들은 이러한 환경 변화에 발맞춰 보안 정책을 강화해나가고 있습니다. 

특히 어도비, 구글, 마이크로소프트가 정책 변화에 따른 서비스 지원 중단 일정을 잇따라 발표했습니다. 정책 변화에 따라 기존에 웹에서 사용하던 서비스들이 동작하지 않는 경우가 발생하고 있는데요. 이는 기존에 제작한 웹사이트에도, 새로 제작할 웹사이트에도 영향을 미칠 수 있습니다. 

이러한 상황에서 우리가 무엇을 대비할 수 있을지 체크해보려고 합니다. 

1. PDF가 보이지 않아요

2020년 말 어도비 플래시 플레이어 지원 중단

어도비가 지난 2017년 7월 플래시 플레이어(Adobe Flash Player)의 기존 버전을 업데이트하지 않을 것이며 새로운 버전도 개발하지 않겠다고 발표했습니다. 이에 따라 브라우저들도 플래시 플레이어에 대한 지원을 중단하게 되었습니다. 이미 크롬, 파이어폭스, 엣지 브라우저와 인터넷 익스플로러에서는 디폴트 지원을 중단했습니다. 아직은 플래시를 사용하고 싶다면 환경설정을 통해 지원 옵션을 켜면 되지만 2020년 말이 되면 플래시 지원이 완전히 중단될 것으로 예상합니다. 

플래시 플레이어가 중단될 때 예상 가능한 이슈는 플래시를 활용한 PDF보기나 홈페이지 글을 작성할 시 임베드 했던 PDF 파일을 확인할 수 없게 된다는 것입니다. 

이미지 출처: 어도비
이미지 출처: 어도비

이를 해결하기 위해서는 HTML5 웹표준으로 전환하면 됩니다. 워드프레스로 개발한 경우 HTML5를 지원하는 뷰어 플러그인을 활용하거나 PDF.js 등의 스크립트를 활용하여 플래시 플레이어를 사용하지 않고 PDF를 볼 수 있는 기능을 구현해야 합니다. 

2.  익스플로러에서 유튜브를 볼 수가 없어요

최신 UI에 호환되지 않는 익스플로러에서 유튜브 지원 중단

유튜브는 사용자의 편의성을 높이기 위해서 화면 구성과 유튜브 작동방식 등 '사용자 인터페이스(UI)'를 꾸준히 개선하고 있습니다.

그동안은 최신 버전의 사용자 인터페이스를 내놓아도 기존 버전에 대한 접근 권한을 열어두어 최신 버전의 인터페이스가 호환되지 않는 인터넷 익스플로러에서도 유튜브를 볼 수 있었는데요. 3월부터는 '최적의 시청 환경을 위해' 익스플로러에서 유튜브 지원을 중단한다고 발표했습니다. 보안 측면에서 익스플로러 사용자는 유튜브에 아예 접근할 수 없게 된다는 의미입니다. 

이미지 출처: 유튜브
이미지 출처: 유튜브

이에 대한 해결책으로 유튜브가 아닌 다른 동영상 솔루션을 사용하여 영상을 등록하는 방법이 있습니다. 만약 유튜브를 유지해야 한다면 다른 브라우저를 설치하라고 가이드하는 알림 메시지 또는 게시글을 노출하는 방법 또한 사용자들에게 도움이 되겠습니다.

3. 파일 다운로드가 안 돼요

구글, 크롬 브라우저-SSL 미설치 사이트의 파일 다운로드 점진적 차단

구글이 브라우저를 통한 보안을 강화합니다. HTTPS 페이지에서 파일을 다운로드받을 때 안전하지 않다고 파악되면 해당 시도를 차단할 것이라고 발표했습니다. 2020년 가을에 업데이트될 크롬 86 버전부터 정식으로 도입할 것이라고 합니다.

구글은 점진적으로 해당 정책을 도입합니다. 크롬 81 버전부터 이미지 파일에 제재를 추가합니다. 82 버전에서는 실행 파일을 다운로드받을 때 경고 메시지를 띄울 것이고 83 버전부터는 차단할 것이라고 밝혔습니다. 84 버전에서는 PDF, 워드 문서에 경고 메시지를 띄우고, 85 버전부터는 차단할 것이라고도 명시했어요. 

크롬 85 버전에서는 이미지, 오디오, 비디오, 텍스트 등이 섞여 있는 안전하지 않은 콘텐츠를 내려받을 때 경고를 내보낸 뒤 차단할 것이고요. 올해 10월쯤 출시할 크롬 86에서는 경고 메시지를 띄우지 않고, 안전하지 않은 콘텐츠를 다운로드받지 못하게 할 예정이라고 구글은 밝혔습니다. 

이미지 출처: 구글 크롬

그럼 사용자들이 경고 메시지나 차단 메시지를 보지 않도록 하려면 어떻게 해야 할까요? 

보안인증서(SSL)를 설치하여 모든 파일이 HTTPS로만 제공되도록 만들면 됩니다. SSL을 적용한 웹페이지의 경우 URI(통합 자원 식별자)가 'http://' 대신 'https://'로 시작되며, 사용자 페이지를 요청하는 데이터가 암호화, 복호화 및 인증 처리 되기 때문에 안전합니다. 또한 HTTPS는 소켓 통신에서 일반 텍스트를 이용하는 대신에, SSL이나 TLS 프로토콜을 통해 세션 데이터를 암호화하기 때문에 데이터를 적절히 보호할 수 있습니다. 

이미지 출처: Sectigo

페이스북은 2018년 10월 6일부터 이미 SSL 설치를 하지 않은 사이트는 페이스북에 로그인하지 못하도록 제한하고 있습니다. 구글은 SSL이 설치된 사이트일 경우 검색에서 상위를 차지할 수 있도록 지원한다고 합니다.

4. 기타

보안 정책에 따른 이슈는 아니지만 웹사이트 개발 시 참고해야 하는 중요한 변화가 있어 추가합니다.

공익법인세제 변화의 법인세법령 개정안에 따라 공익법인인 경우 홈페이지에 공익제보가 가능하도록 주무관청, 국민신문고, 국세청 등 1개 이상의 홈페이지와 연결될 수 있는 버튼을 제공해야 한다고 합니다. 

2021년 1월부터 적용될 예정이라고 하니 홈페이지를 개발하고자 하는 공익법인들은 홈페이지 개발 및 개편 시 참고해야 하겠습니다.

이미지 출처: 기획재정부

 

*용어정리

HTML5
HTML의 새로운 버전으로 HTML5를 통해 외부 plug-in을 통해서만 지원되었던 부분(플래시, Active-X 등)을 브라우저 자체의 기능을 이용해 구현할 수 있게 되었습니다. 

HTTP
HyperText Transfer Protocol의 약자로 웹상에서 정보를 주고받을 수 있도록 해주는 프로토콜이며, 주로 HTML 문서를 주고받는 데 사용됩니다.

HTTPS (HyperText Transfer Protocol over Secure Sockets Layer, HTTP over SSL)
HTTP에 암호화나 인증 등의 구조를 더한 것을 HTTPS(HTTP Secure)라고 부르며, HTTP 통신하는 소켓 부분을 SSL(Secure Socket Layer) 또는 TLS(Transport Layer Security) 프로토콜로 대체하여 전송합니다.
하이퍼텍스트 전송 규약(HTTP) 계층 아래의 SSL 서브 계층에서 사용자 페이지 요청을 암호화, 복호화하는 브라우저에 설치된 넷스케이프 웹 프로토콜. TCP/IP에서 HTTP 포트 80 대신에 포트 443을 사용하고, SSL은 RC4 스트림 암호 알고리듬용으로 40비트 키 크기를 사용합니다. 브라우저에서 https://URL로 페이지를 지정하면 HTTPS는 그것을 암호화하고, 도착된 https://URL은 HTTPS 서브 계층에서 복호화됩니다. HTTPS와 SSL은 사용자의 송신자 인증을 위해 서버로부터 X.509 디지털 인증서 사용을 지원합니다. 

SSL (Secure Sockets Layer)
네트워크 보안기술로 웹 브라우저와 웹 서버 간에 데이터를 안전하게 주고받기 위한 업계 표준 프로토콜입니다. 미국 넷스케이프 커뮤니케이션스가 개발했고, 마이크로소프트 등 주요 웹 제품 업체가 채택하고 있습니다. SSL은 웹 제품뿐만 아니라 파일 전송 규약(FTP) 등 다른 TCP/IP 애플리케이션에 적용할 수 있으며, 인증 암호화 기능이 있습니다. 인증은 웹 브라우저와 웹 서버 간에 서로 상대의 신원을 확인하는 기능입니다. 

*참고 자료

-어도비, "2020년 플래시 지원 중단"
-3월부터 인터넷 익스플로러로 유튜브 못 본다
-유튜브, 최신 UI 호환 위한 브라우저 업데이트 안내
-구글, 크롬에서 HTTPS 아닌 다운로드 점진적으로 차단한다



글 | 슬로워크 CDO 쭈 

이미지 | 슬로워크 디자이너 길우
편집 | 슬로워크 테크니컬 라이터 메이