Inquirer
정확히 어떤 문제고, 언제부터 일어난 일인지부터 알고 가야겠죠.
정확히 어떤 문제고, 언제부터 일어난 일인지부터 알고 가야겠죠.
Respondent
네, 구글 드라이브는 무료 계정도 16기가를 제공하기 때문에 트래픽 분산이나 파일 공유를 위해 많이 사용하는 서비스입니다. 영상이나 이미지 파일등은 구글 드라이브에 업로드한 후, 다운로드 방식으로 웹서비스를 하는 분들도 많으나, 대부분 HTML에서 링크로 이미지와 URL를 표시해왔죠.
그런데 2024년 1월 초순부터 이미지들이 엑박으로 표시되고 403에러를 내보내며 영상이나 음악파일 역시 차단당하는 일이 생긴 겁니다.
Inquirer
현재 차단되는 그 링크방식은 어떤 형식입니까?
Respondent
지금까지 공식적으로 구글 드라이브에서 제공했던 다음과 같은 링크형식이 403차단을 일으킵니다.
https://drive.google.com/uc?id=[파일 ID]&export=download
Inquirer
403차단이라는 게 정확히 무엇인가요?
Respondent
개념적으로 말하자면, 403 차단은 서버에서 클라이언트로의 액세스를 거부하는 HTTP 상태 코드이며, 보안 상의 이유로 리소스에 대한 접근이 금지되었음을 나타냅니다. 즉, 보려는 페이지나 이미지 요소 같은 데에 접근할 수 없다는 뜻이죠.
그 이유는 보통 두가지 경우인데. 사용자가 그 페이지를 볼 권한이 없는 경우. 그리고 그 페이지나 요소를 보안적 이유로 차단한 경우입니다. 이번 구글드라이브 이슈는 후자에 속합니다.
Inquirer
구글 드라이브 사용자들이 떠들썩할 것 같은데, 반응들은 어떤가요? 이것이 구글만의 문제입니까?
Respondent
여러 포럼에서 이 이슈를 다루고 있고, 많은 사용자들이 구글이 해결해주기를 바라고 있지만, 이번 이슈의 원인은 구글 드라이브가 아니라 브라우저들의 '서드파티 쿠키차단' 보안정책에 의한 것입니다.
Inquirer
'서드파티 쿠키차단 이슈'는 추후 다루기로 하고, 현실적으로 불편을 겪고 있는 웹서비스 업체와 사용자들에게 뭔가
해결책이 먼저 필요할 것 같습니다. 갑작스러운 정책 변화로 '사용자 경험'이 혼란과 불편을 겪고 있는데,이 사용자 경험이라는 것이 보안성 보다 아래에 있는 것입니까?
그리고 구글은 이런 변화에 대해 사전예고나 통보를 확실히 했나요?
Respondent
네, 일단, 사용자 경험과 보안성의 우선순위 문제는 다른 참여자에게 토스하고요, 구글 드라이브에서 2023년 10월 16일에 '서드파티 쿠키 요구사항에 대한 변경 내용'을 고지하긴 했습니다. 2024년 1월 2일까지 드라이브 사용에 대한 방향을 바꾸라는 메시지도 있었습니다. 다음은 링크와 요약문입니다.
Upcoming changes to third-party cookie requirements in Google Drive
"구글 크롬 및 기타 브라우저는 사용자 개인 정보 보호를 더욱 강화하기 위해 서드파티 쿠키를 단계적으로 제거하기 시작했습니다. 2024년 1월 2일부터는 드라이브가 서드파티 웹사이트에 포함된 서드파티 쿠키를 요구하지 않고 다운로드를 제공할 예정입니다.
이는 드라이브에서 파일을 다운로드하는 것과는 별개입니다.만약 드라이브의 다운로드 URL에 의존하는 특정 워크플로우가 있거나 드라이브의 다운로드 URL에 의존하는 앱을 사용 중이라면, 2024년 1월 2일까지 드라이브 및 문서 게시 플로우로 전환해야 합니다."
Inquirer
그렇다면, 구글드라이브에 저장된 이미지, 영상, 음악파일등의 HTML5 표시 부분에 대해 구글 드라이브측에서 제시한 대안과 방법이 있나요?
Respondent
네, 아이프레임 방식으로 웹 페이지에 인서트할 것을 권장했습니다. 사실, 논란의 핵심은 이 아이프레임 방식이라고 할 수 있습니다. 크롬 브라우저를 운영하는 구글 측에서 서드파티 쿠키 정책에 대해 사파리, 엣지, 파이어폭스등과 같은 방향을 가는 것은 브라우저들의 보안성 강화 면에는 환영할 부분이지만, 그 대안이 아이프레임이라는 것이 뭔가 앞 뒤가 안 맞는 것 같긴 하죠.
Inquirer
인텔리피아가 늘 그렇듯이 상식과 개념을 짚고가는 의미에서 아이프레임에 대한 설명을 해봅시다.
Respondent
아이프레임(Iframe)은 웹페이지 안에 다른 웹페이지를 내부적으로 표시하는 HTML 태그 중 하나로 한 때 인기가 굉장히 많았죠. 지금도 페이지 내 페이지 구현이 가능하다는 점, 아이프레임 안에 별도 독립적인 페이지를 연결할 수 있어서 컨텐츠를 보다 유연하게 관리할 수 있기에 쏠쏠하게 사용하는 개발 기법입니다.
그리고 보안적으로 활용할 수 있는 수단이 되기도 하는데, 이런 건 어디까지나 같은 도메인 안에서 사용될 때 보장받을 수 있는 장점들이죠. 서로 다른 출처의 컨텐츠를 쉽게 통합할 수 있다는 점, 다른 사이트의 페이지를 그대로 내 페이지에 추가할 수 있는 점 때문에 각광받은 적도 있었으나, 최근에는 타사 도메인을 아이프레임 형식으로 가져오는 기법을 차단하는 웹 사이트가 많습니다.
요약하면 보안성을 기초로 논했을 때, 서드파티 쿠키차단 보다 더 민감할 수 있는 게 아이프레임인데, 구글에서 내놓은 대안이 아이프레임 방식이기 때문에 정책과 변화의 본질이 명확해 보이지 않는 면이 논란을 일으킬 수 있다는 겁니다.
Inquirer
그렇다면, 구글이 제공한 아이프레임 방식의 형식은 어떤 것이고, 이에 대해 사용자들은 대체로 어떤 반응인가요?
Respondent
구글의 아이프레임 대안은 쉽게 말해 외부 링크가 포함된 블록을 하나 표시하는 것이고, 이 자체로 쿠키 등록을 하지 않는다는 겁니다. 클릭을 하면 구글 드라이브로 이동하게 되죠.
구글 드라이브에서 제공하는 디스플레이 페이지에서 이미지, 영상, 음악을 사용할 수 있고, 다운로드 할 수 있는 방식입니다.
구글 드라이브 사용자들의 반응이야 반감이 많을 수밖에 없습니다. 제공하는 형식이 답답하기도 하고, 링크를 통해 구글 드라이브 디스플레이에 접속하게 하는 것도 번거로워지는 일입니다.
무엇보다 내부적으로 연결된 구글 드라이브는 타사 도메인입니다. 아이프레임 방식의 타사 도메인 차단을 쓰는 웹페이지에서는 이 방식으로 링크를 제공할 수없습니다. 그러나, 사이트 개발자가 예외를 들 수 있고, 어쨌든 아이프레임 방식은 서드파티 쿠키 방식이 아니기 때문에, 구글 드라이브 측에서 아이프레임을 통해 뭔가 보안적인 이상을 일으키지 않는 이상 브라우저 입장에서는 안전하다고 판단할 수는 있습니다.
다음은 구글이 제시한 아이프레임 방식입니다.
| 엮인 포스트 |
| 크롬 서드파티 쿠키차단 전면시행 |
| 2.구글 드라이브 이슈 대안 |
| 3.PWA와 브라우저 보안이슈 |
| 브라우저의 변화와 바닐라 JS에 대한 전망 |
Notice
인텔리피아가 시대적으로 정의하는 지식의 개념은 '정해져 있지 않은 특성'에서 시작되는 것이며,이를 바탕으로 모든 컨텐츠는 유연성을 기반으로 편집됩니다. 인텔리피아는 고정된 정답을 추구하지 않고, '원리'를 바탕으로 즐겁게 대화하는 '지식 놀이터'를 지향합니다. 인텔리피아 컨텐츠를 활용하는 것의 책임은 사용자에게 있음을 강조합니다.
