운영자는 아닙니다만 참조하시라 링크 올립니다.
https://searchengineland.com/effective-july-2018-googles-chrome-browser-will-mark-non-https-sites-as-not-secure-291623

지적 감사드리며 확인해 보겠습니다
참고로 운영팀에서는 별 문제 없이 사용하고 있는 상황입니다.

HTTPS가 적용이 안되어서 뜨는 것이고요. 사용상엔 문제없지만 보안상으로는 좋지 않죠

운영자님, CN드림 이용자 수가 수 천 명이 넘는 걸로 아는데 1년에 2-30달러 하는 SSL 인증서 하나 없다는 게 이해가 되지 않습니다. 데이터베이스 migration 작업도 계획 중인 것으로 아는데 사용자 데이터 암호화는 돼 있는 지도 궁금합니다. 로그인 ID에 전화번호, 이메일까지 연동돼 있어서 데이터베이스가 분실되면 CN드림 이용자 신상정보가 통째로 털리는 수가 있습니다.

요즘 저렴해진 해킹 비용으로 개인정보가 여기저기서 털리는 게 일상인데, 이번 기회에 운영자님께서도 사이트 이용자들 데이터 보안이 어떻게 유지되고 있는 지에 대해서도 알려주시면 좋겠습니다. 새 이용자가 게시물을 올릴 때 전화번호를 직접 확인하시는 만큼, 이용자들도 데이터 보안 수준이 어떤 지 알 권리가 있다고 생각합니다.

https://letsencrypt.org/
무료로 SSL 인증서 받을수있는 곳입니다
한번 적용해 보세요

사이트 이용에는 문제가 없지만 패스워드 같은 민감한 정보를 입력하는데 보안이 이렇게 취약하면 게시판에 포스팅을 하는 것이 꺼려집니다. 어떤 분이 이메일을 보내주셔서, 몇 년 전에도 CN드림 사이트에 SSL 인증서가 없는 것에 대해서 물어보셨는데 아무런 응답이 없었다는 다소 냉소적인 얘기도 했습니다.

운영자님이 웹사이트와 데이터베이스 보안에 대한 지식이나 경험이 부족하실 수 있지만, 많은 사람들이 이용하는 커뮤니티 사이트인 만큼 이용자들의 정보를 안전하게 지키는 것은 운영자의 책임이라고 생각합니다.

아래 웹사이트에서 CNdreams 사이트의 취약점들 스캔해 본 것인데요, clickjacking 에 대한 취약점은 예전에 운영자님께서도 경험하셨던 것 같습니다 (다른 사이트에서 CN드림 게시물을 통째로 훔쳐 썼던 적이 있었죠).

https://www.htbridge.com/websec/?id=hYadOQtL
https://asafaweb.com/Scan?Url=cndreams.com

SSL인증서에 대해 CN드림측에 문의 했는데 저희가 아무런 대답이 없었다는 내용은 사실 무근으로 생각됩니다. 저희는 어떠한 문의에 대해서도 성실히 답변하고 있어서요.. 여하튼 올려진 모든 내용 확인해서 조만간 답변 드리도록 하겠습니다. 감사합니다

저희가 모든 문의나 제안에 대해 항상 성실하게 답변해 왔다는 것은 지난해 9월에 쓴 창간 15주년 발행인 칼럼에도 잘 언급되어 있습니다.
http://www.cndreams.com/news/news_read.php?code1=2345&code2=1&code3=280&idx=20305&page=0

칼럼의 내용중 일부입니다.

지금까지 CN드림은 지면과 웹사이트를 통해 편집부로 들어오는 독자들의 의견들을 무시하거나 외면치 않았고 이에 모두 성실히 답변했다. 물론 편집부 답변이 모든 독자들을 만족시킬 수는 없었지만, 소통이라는 의미에서는 충분했다고 생각하며, 공개 대화의 최종 판단은 독자들의 몫이라고 생각한다.

답변은 하셨을 지 모르겠지만, 문제 해결은 아직도 이뤄지지 않은 것이 좀 실망스럽습니다.
제가 보기엔 사장님께서 사용자 데이터 보안의 중요성에 대한 인식이 부족해서 웹사이트에 인증서에 대한 필요성을 못 느끼시는 것 같습니다.

SSL 인증서는 아주 기초적인 웹사이트 보안 정책입니다. Username과 password 같은 민감한 정보를 포함해서 이용자와 서버 간에 왔다갔다하는 정보들을 암호화 해서, 운영자가 아닌 다른 사람이 서버 자료를 털어가더라도 보호할 수 있는 수단인데요, 현재 CN드림 서버의 보안 환경은 데이터가 전혀 암호화 돼 있지 않아 거의 홈네트워크 수준과 다를 바가 없습니다.

Login 페이지에 제 사용자 이름과 password를 입력하면 그 텍스트가 암호화 되지 않은 채 text로 그대로 전송되기 때문에, 만약 누가 CN드림의 도메인을 훔쳐 phishing site라도 만든다면 많은 이용자들의 username과 email, password가 노출될 위험이 있습니다. Email password와 CN드림 password를 동일하게 쓰는 이용자가 있다면, 해커가 이메일 접속 권한까지 가질 수 있는 것도 가능하고요, 그런 피해까지 발행하면 아주 심각한 personal data breach가 생길 수 있습니다.

문제는 여기서 그치지 않습니다. 아래 사장님께서 공시하신 게시물에 보면 CN드림 운영자가 이용자 패스워드가 뭔지 알아내서 email로 보내줄 수 있다고 말씀하셨습니다.

-------------
http://cndreams.com/cnboard/board_read.php?bIdx=16&idx=113

'아이디를 찾아주세요' 혹은 '비밀번호를 찾아주세요' 라고 해주시면 되며 24시간 안에 처리해 드리겠습니다. 둘다 분실한 경우는 두개 모두 찾아달라고 요청하셔야 해요 (운영팀 주소 : cndreams@gmail.com)
만약 가입당시 이메일 주소조차 기억나지 않을 경우, 당시 사용했을 만한 이메일 주소나 아이디,닉네임등을 기억나는대로 보내주시면 저희가 검색해서 찾아드리겠습니다. 감사합니다.
-------------

User password가 암호화되지 않은 text로 보관돼 있고, 언제든지 운영자가 접근해서 볼 수 있다는 상황이라는 것인데 요즘 어디서도 password를 이렇게 관리하는 곳은 없을 뿐 아니라 심각한 privacy breach로 간주될 수도 있습니다. 저는 CN드림에 로그인할 때 VPN을 써서 서버로 password를 전송하는 순간에는 암호화를 시키고 있지만, 사이트 관리자 권한이 있는 사람이라면 누구든지 제 password를 알아낼 수 있는 위험은 남아 있습니다. 결국 제가 김민식 사장님이 사용자 데이터를 안전하게 지켜 주시기를 개인적으로 신뢰를 해야 하는 상황입니다. 사용자들 email과 전화번호 인증을 요구하시면서 사용자 데이터 관리를 이렇게 하시면 절대 안되는 일입니다.

저를 비롯해 많은 교민들이 이용하는 CN드림 게시판과 사용자 정보를 좀 더 안전하게 이용할 수 있도록 최소한의 안전장치는 마련해야 하는 것은 선택사항이 아니라 의무임을 알아주셨으면 하는 바람입니다. 위에 분이 공유해 주신 것처럼, SSL 인증서를 무료로 설치할 수도 있고요 유료라 해도 1년에 $30 정도 밖에 하지 않습니다. 15년 넘게 운영하시면서 이 정도 웹보안 투자는 아주 reasonable 하다고 생각합니다. 그리고 큰 사고를 예방할 수도 있고요. 다시 한 번 재고를 해 주시길 바랍니다.

참고로 아래 캐나다 정부에서 E-buiness security, privacy 정책에 관란 가이드라인을 공유합니다. CN드림 게시판에서 상품을 거래하는 것은 아니지만, 개인 자료를 수집하는 사이트가 지켜야할 법적 요구사항들에 대한 간략한 설명이 있어서 참고할 만 합니다.



E-business security, privacy, and legal requirements
https://canadabusiness.ca/managing-your-business/e-business-security-privacy-and-legal-requirements/

한국에는 ISMS 같은 제도가 있고 글로벌하게는 ISO27001 같은 것이 있습니다. 어차피 인증을 받지는 않으실테니 그 내용에 대해서만이라도 한번 참고하시면 정보보호 조치에 대해 많은 도움이 되실거예요.

인증서 작업 처리키로 확정했습니다. 다른 작업들과 함께 처리하기 위해 약간의 시간이 필요하구요 5월중까지는 처리하겠습니다. 감사합니다.

패스워드 리셋 프로세스도 이용자 외에는 사이트 관리자라도 알 수 없도록 안전하게 처리됐으면 합니다. 지금 제가 쓰고 있는 패스워드도 오래돼고 너무 쉬워서 바꾸려던 참이었거든요.
예상보다 신속히 해결하기로 약속해 주셔서 감사합니다.

데이터 보안이 당연히 되어있을꺼라 막연하게 생각하고 있었는데 이런 문제가 있었네요.
watchdog님 먼저 운영팀에 알려주시점 감사합니다.

인증서 처리 완료되었습니다. 지적 감사드립니다.
https://cndreams.com/cnboard/board_read.php?bIdx=2&idx=11445&category=&searchWord=&page=1

신속하게 해결해 주셔서 감사합니다. Login 페이지도 secure site로 표기됩니다. :)