크롬 브라우저의 로컬 네트워크 액세스(Private Network Access) 차단

1. 원인: 로컬 네트워크 액세스(Private Network Access) 차단

국내 인터넷뱅킹 보안 프로그램(키보드 보안, 공인인증서 등)은 대부분 사용자의 PC에 설치된 후, 웹 브라우저와 '로컬 통신(localhost)'을 주고받으며 작동합니다.

- 기존 방식: 웹사이트(외부)가 내 컴퓨터에 설치된 보안 프로그램(내부)에 자유롭게 연결하여 명령을 주고받았습니다.
- 크롬의 변화: 보안 강화를 위해 외부 사이트가 사용자의 내부 네트워크(로컬 환경)에 직접 접근하는 것을 엄격히 제한하기 시작했습니다.

2. 왜 크롬 146 버전인가?
크롬은 몇 년 전부터 이 정책을 단계적으로 도입해 왔습니다. 초기에는 경고만 띄우거나 개발자가 예외 신청을 하면 허용해 주었으나, 146 버전에 이르러서는 임시 허용 정책(Temporary Opt-out)이 완전히 종료되거나, WebRTC 등 더 넓은 범위의 로컬 통신까지 차단이 확대되었기 때문입니다.

즉, 기존에 "잠시만 허용해 줄게"라고 열어두었던 뒷문이 보안 업데이트로 인해 완전히 닫히면서, 해당 기술을 사용하던 구형 보안 프로그램들이 크롬에서 작동하지 않게 된 것입니다.

3. 주요 증상
- 보안 프로그램을 분명히 설치했는데도 계속 '미설치'로 나오거나 무한 설치 루프에 빠집니다.
- 로그인 버튼을 눌러도 반응이 없거나, 보안 프로그램 연동 오류 메시지가 뜹니다.

 

 

4. 보안업계의 '안일함'에 대한 직격탄
그동안 국내 보안 업체들은 브라우저의 보안 기능에 의존하기보다, 사용자 PC에 별도의 프로그램을 깔아 권한을 장악하는 방식에 안주해 왔습니다.

- 문제점: 브라우저가 업데이트될 때마다 호환성 문제가 터지고, PC 리소스를 잡아먹으며, 정작 해킹 방어에는 효율적이지 못한 경우가 많았습니다.
- 크롬의 메시지: "사용자 PC 내부(Local)로 함부로 들어오지 마라. 웹 표준 가이드라인 안에서 해결하라"는 강력한 경고입니다.

5. 엣지(Edge)도 결국 같은 길을 갈 것!!
아직까지 문제가 없는 Microsoft Edge 역시 크롬과 같은 '크로미움(Chromium)' 엔진을 공유합니다.
구글이 크로미움 오픈소스 프로젝트에서 이 정책을 강화하면, 시간차만 있을 뿐 엣지에도 그대로 적용됩니다.
MS 역시 보안 강화를 최우선으로 하기 때문에, 한국 금융권만을 위해 이 보안 장벽을 낮춰줄 명분이 없습니다.

6. '무설치' 시대로의 강제 전환
결국 이러한 브라우저들의 강경한 정책은 국내 금융권과 보안 업체들이 'ActiveX'의 변종인 'EXE 설치형'을 버리게 만드는 강력한 촉매제가 될 것입니다.

- 진정한 웹 표준: 별도의 프로그램 설치 없이 브라우저 자체 보안 기능(TLS, WebCrypto API 등)만으로 안전한 금융 거래가 가능한 환경으로 가야 합니다.
- 변화의 조짐: 이미 일부 선진적인 금융 서비스들은 설치형 보안 프로그램 없이도 운영되고 있으며, 이번 사태로 인해 그 속도가 더 빨라질 것입니다.

 

크롬의 이번 업데이트 조치에 대해서 환영과 박수를 보냅니다!