2020.08.21

구글 크롬, ‘피싱’ 막고자 ‘도메인 이름’만 보여주는 기능 실험 중

Gregg Keizer | Computerworld
구글이 오는 10월 정식 공개할 크롬 86(Chrome 86) 버전에서 사이트 URL을 전부 보여주지 않고 도메인 이름만 표시하는 실험을 진행한다. 피싱 공격 방지가 목적이다.  

지난 12일(현지 시각) 크롬 보안팀의 에밀리 스타크, 에릭 밀, 슈웨타 판디트라오는 공식 블로그를 통해 “데스크톱 플랫폼 주소창에 URL을 표시하는 방법을 실험할 것”이라며, “목표는 다음과 같다. 이렇게 URL을 보여주는 방식이 효과적인지 실제 사용을 통해 확인하고자 하는 것이다. 특히, 사용자가 이를 통해 악의적인 사이트를 알아챌 수 있는지에 관해서다. 피싱 및 소셜 엔지니어링 공격으로부터 사용자를 보호하는 것 또한 목표다”라고 말했다. 
 
ⓒGetty Images

크롬 보안팀의 ‘실험’은 10월 6일 출시 예정인 크롬 86 버전에서 진행된다. 참가자는 무작위로 선정될 계획이다. 스타크, 밀, 판디트라오는 이 파일럿에 참여하게 될 크롬 사용자 수 또는 브라우저 비율은 구체적으로 밝히지 않았다. 단, 기업용으로 등록된 기기는 이번 실험에서 제외된다고 그들은 덧붙였다. 

크롬 주소창에 ‘전체 URL’을 표시하는 대신, 실험에서는 ‘도메인 이름’만 보이도록 URL이 압축된다. 구글은 이를 ‘가장 중요한 부분’이라고 설명했다. 예를 들어 컴퓨터월드(Computerworld) 기사의 전체 URL이 ‘https://www.computerworld.com/article/3571442/microsoft-sets-new-support-deadlines-for-ie11-and-edge.html’이라면, 실험에서는 ‘computerworld.com’로만 표시되는 것이다. 
 
기본적으로 도메인 이름만 표시하고 커서를 가져가면 전체 URL을 표시한다. ⓒGoogle 

세 명의 구글 엔지니어는 이를 통해 사용자가 올바른 사이트에 접속하는지 스스로 쉽게 확인할 수 있다고 주장했다. 즉 사용자가 악의적인 사이트에 접속해 있는지 아닌지를 바로 파악할 수 있다는 게 그들의 설명이다. 

이어서 스타크, 밀, 판디트라오는 “공격자가 URL을 조작할 방법은 무수히 많다. 그리고 그것이 피싱, 소셜 엔지니어링, 스캠으로 이어진다”라고 덧붙였다. (그들은 2020년 발간된 논문 ‘Measuring Identity Confusion with Uniform Resource Locators’를 인용했다. 이 논문은 구글, 일리노이 대학교가 공동 저자로 참여했다.)

전체 URL을 확인하고 싶다면 마우스 커서를 주소창에 가져다 대면 된다. 이때 크롬은 URL을 전체 형태로 재구성해준다. 또는, 마우스 우클릭 후 ‘항상 전체 URL 보여주기(Always show full URLs)’를 선택해 모든 사이트의 전체 URL이 표시되도록 설정을 바꿀 수도 있다. 

아직 크롬 86은 온전한 기능과 안정성을 갖춘 최종 버전이 아니다. 하지만 크롬 86의 카나리(Canary) 혹은 데브(Dev) 채널에서 이 실험에 참여해볼 수 있다. 해당 채널에서 주소창에 ‘chrome://flags’를 입력한 다음, 아래 설정을 활성화하고 브라우저를 재실행하면 된다. 

• #omnibox-ui-reveal-steady-state-url-path-query-and-ref-on-hover
• #omnibox-ui-sometimes-elide-to-registrable-domain


컴퓨터월드가 직접 해본 바에 따르면 크롬 86 데브 채널의 맥OS 버전에서는 우클릭 시 ‘항상 전체 URL 보여주기’ 항목이 표시되지 않았다. ciokr@idg.co.kr



2020.08.21

구글 크롬, ‘피싱’ 막고자 ‘도메인 이름’만 보여주는 기능 실험 중

Gregg Keizer | Computerworld
구글이 오는 10월 정식 공개할 크롬 86(Chrome 86) 버전에서 사이트 URL을 전부 보여주지 않고 도메인 이름만 표시하는 실험을 진행한다. 피싱 공격 방지가 목적이다.  

지난 12일(현지 시각) 크롬 보안팀의 에밀리 스타크, 에릭 밀, 슈웨타 판디트라오는 공식 블로그를 통해 “데스크톱 플랫폼 주소창에 URL을 표시하는 방법을 실험할 것”이라며, “목표는 다음과 같다. 이렇게 URL을 보여주는 방식이 효과적인지 실제 사용을 통해 확인하고자 하는 것이다. 특히, 사용자가 이를 통해 악의적인 사이트를 알아챌 수 있는지에 관해서다. 피싱 및 소셜 엔지니어링 공격으로부터 사용자를 보호하는 것 또한 목표다”라고 말했다. 
 
ⓒGetty Images

크롬 보안팀의 ‘실험’은 10월 6일 출시 예정인 크롬 86 버전에서 진행된다. 참가자는 무작위로 선정될 계획이다. 스타크, 밀, 판디트라오는 이 파일럿에 참여하게 될 크롬 사용자 수 또는 브라우저 비율은 구체적으로 밝히지 않았다. 단, 기업용으로 등록된 기기는 이번 실험에서 제외된다고 그들은 덧붙였다. 

크롬 주소창에 ‘전체 URL’을 표시하는 대신, 실험에서는 ‘도메인 이름’만 보이도록 URL이 압축된다. 구글은 이를 ‘가장 중요한 부분’이라고 설명했다. 예를 들어 컴퓨터월드(Computerworld) 기사의 전체 URL이 ‘https://www.computerworld.com/article/3571442/microsoft-sets-new-support-deadlines-for-ie11-and-edge.html’이라면, 실험에서는 ‘computerworld.com’로만 표시되는 것이다. 
 
기본적으로 도메인 이름만 표시하고 커서를 가져가면 전체 URL을 표시한다. ⓒGoogle 

세 명의 구글 엔지니어는 이를 통해 사용자가 올바른 사이트에 접속하는지 스스로 쉽게 확인할 수 있다고 주장했다. 즉 사용자가 악의적인 사이트에 접속해 있는지 아닌지를 바로 파악할 수 있다는 게 그들의 설명이다. 

이어서 스타크, 밀, 판디트라오는 “공격자가 URL을 조작할 방법은 무수히 많다. 그리고 그것이 피싱, 소셜 엔지니어링, 스캠으로 이어진다”라고 덧붙였다. (그들은 2020년 발간된 논문 ‘Measuring Identity Confusion with Uniform Resource Locators’를 인용했다. 이 논문은 구글, 일리노이 대학교가 공동 저자로 참여했다.)

전체 URL을 확인하고 싶다면 마우스 커서를 주소창에 가져다 대면 된다. 이때 크롬은 URL을 전체 형태로 재구성해준다. 또는, 마우스 우클릭 후 ‘항상 전체 URL 보여주기(Always show full URLs)’를 선택해 모든 사이트의 전체 URL이 표시되도록 설정을 바꿀 수도 있다. 

아직 크롬 86은 온전한 기능과 안정성을 갖춘 최종 버전이 아니다. 하지만 크롬 86의 카나리(Canary) 혹은 데브(Dev) 채널에서 이 실험에 참여해볼 수 있다. 해당 채널에서 주소창에 ‘chrome://flags’를 입력한 다음, 아래 설정을 활성화하고 브라우저를 재실행하면 된다. 

• #omnibox-ui-reveal-steady-state-url-path-query-and-ref-on-hover
• #omnibox-ui-sometimes-elide-to-registrable-domain


컴퓨터월드가 직접 해본 바에 따르면 크롬 86 데브 채널의 맥OS 버전에서는 우클릭 시 ‘항상 전체 URL 보여주기’ 항목이 표시되지 않았다. ciokr@idg.co.kr

X