"Google에 지나치게 의존하면 중소기업은 쉽게 죽는다.

"Google에 지나치게 의존하면 중소기업은 쉽게 죽는다.

지메일과 구글 클라우드, 구글 광고 등 구글은 편리한 서비스를 많이 제공하고 있으며, SaaS 스타트업을 비롯한 다양한 중소기업이 구글 서비스에 의존하고 있다. 그러나, 이러한 구글의 서비스에 지나치게 의존한 결과, 「Google의 검색 결과로부터 배제되어 버렸다」 「Android 앱이 구글 플레이 스토어에서 삭제되어 서비스가 사용자에게 접근하지 못하게 되어 버렸다」 「API의 가격이 대폭 변경되었다, 혹은 단순히 폐지되어 사라졌다」등의 보고가 끊이지 않고 있다. Google의 서비스에 의존한 기업이 Google의 갑작스런 방침전환으로 존속의 위기에 빠진 케이스에 대해서, 기업 전용으로 IT 서비스의 운영이나 지원을 하는 기업인  Invgate의 창업자이자 IT 어드바이저인 곤잘로 세인츠 트레퍼가의 설명 내용이다.

사이트나 서비스의 도메인이 Google 세이프 브라우징에 의해서 블랙리스트에 등록되어 버리면, 기사 작성 시점에서 브라우저 시장 점유율 63%이상의 Google Chrome에서는 액세스가 차단되어 버리는 데다가, Google의 검색 결과에서도 배제되어 트래픽은 격감한다. 심지어 URL을 직접 입력해 접속하려고 해도 "이 사이트는 사기 사이트로 의심됩니다" "사이트에 악성코드가 깔려 있을 수 있습니다"라는 경고 메시지가 붉은 배경으로 표시된다.

트레퍼가가 운영하는, 기업용 IT서비스의 운영이나 지원을 실시하는 기업이다. Invgate에서도, 담당하고 있는 회사의 사이트가 Google 세이프 브라우징으로부터 경고를 받은 케이스가 있었다고 한다. 조사결과 CSS나 자바스크립트 등 정적 어셋을 제공하기 위해 콘텐츠 파생결합망(CDN)으로 쓰이던 아마존 Cloud Front의 URL이 블랙리스트에 등록돼 버린 것으로 드러났다.

그러나, 원래 어떤 이유로 Google 세이프 브라우징의 블랙리스트에 인정되었는지 조사해도, 사이트에 관한 Google의 리포트에는 「이 페이지는 유저를 속여 불필요한 소프트웨어의 인스톨이나 개인정보의 누설등의 위험이 있다」라는 취지로 쓰여 있어 구체적인 원인은 알 수없다고 한다.

Invgate 대책팀은 "문제는 해결되었습니다, 자세한 정보를 알려주세요"라는 메시지와 함께 사이트 리뷰를 요청했다.

그리고 리뷰 요청 후 약 1시간 후 고객 사이트에 새로운 CDN을 설정하고 새로운 도메인으로 이동하는 작업을 하던 중 구글 세이프 브라우징 블랙리스트에서 고객 사이트가 삭제되었다는 것이다. 그리고 2시간 후 사이트 리뷰가 무사히 끝났음을 알리는 자동발송 메일이 왔는데, 무엇 때문에 CDN의 URL이 블랙리스트에 등록되었는지는 알려지지 않았다.

이러한 사례로부터, 트레퍼가는 다음의 4개의 교훈을 얻었다고 말한다.

◆ 1 : 서비스마다 서브 도메인을 만들어 리스크를 분산시키다
트레퍼가에 따르면, Google 세이프 브라우징은 도메인 전체, 혹은 서브 도메인 마다 플래그 달기를 행한다고 한다. 따라서 예를 들어 웹사이트의 경우 company.com, 어플리케이션의 경우 app.company.com, 유럽고객의 경우 eucdn.company.com, 미국 동부 해안 고객을 위한 경우 useastcdn.company.net 등 여러 도메인으로 분산시킴으로써 영향을 줄일 수 있다.

◆ 2 : 고객이 가져온 데이터를 메인 도메인에 호스트하지 않는다. 혹은 마음대로 서버에 업로드 시키지 않는다.
Invgate 조사 결과 구글 세이프 브라우징 블랙리스트에 등록된 경우 상당수가 '고객이 악의적인 파일을 모르고 서버에 올린 것'이 원인이었다고 한다. 악의적인 파일 자체는 시스템에 영향을 미치지는 않지만 그 존재로 인해 도메인 전체가 블랙리스트에 등록될 가능성도 있다.

◆ 3 : 구글 Search Console에서 사이트 소유권을 확인하고 적극 주장하다.
사이트가 블랙리스트에 등록되는 것을 막을 수 있는 것은 아니지만 문제가 발생했을 때 메일이 확실히, 문제에 신속하게 대응할 수 있게 된다는 것이다.

◆ 4 : 대체할 도메인을 준비하고 바로 전환할 수 있도록 준비한다.
참조되는 서비스 도메인 이름을 쉽게 변경할 수 있도록 시스템을 설계하고 이용 가능한 대체 도메인을 준비한다. 예를 들어 eucdn.company2.net를 eucdn.company.net의 CNAME에 정의해 놓고, 만일의 경우에는 툴을 사용하여 대체 도메인에서 에셋을 가져오듯이 앱 구성을 갱신할 수 있도록 하는 것이다.

또 트레퍼가는 SaaS의 앱이나 웹사이트가 구글 세이프 브라우징에 의해 등록되어 버렸을 경우의 대처법으로 「앱을 다른 도메인명으로 신속히 전환」 「Google Search Console의 리포트를 확인한다」 「사이트가 해킹당하고 있는 경우는 수정한 후, 보안 리뷰를 요청한다」 「리뷰에는 몇 주가 걸릴 수 있으므로, 어쨌든 새로운 도메인으로의 이행에 착수한다」라고 하는 대처법을 소개하고 있다.

트레퍼가는 자사 서비스를 자동화한 거대 기업 구글은 거대한 크기의 기업으로서 조그만 미세조정할 때 무심코 개미처럼 작은 기업을 무너뜨릴 수 있다. 개미처럼 작은 기업들은 필사적으로 자신들이 찌그러지고 있다는 사실을 구글에 알리려고 하지만 그들은 구글의 자동화된 지원 창구에만 도달하게 된다.

물론 작은 기업의 CEO가 구글 임원과 대학 동급생이거나 CTO(최고기술책임자)가 Medium에 올린 기사가 인터넷에서 화제가 되면서 구글이 작은 기업의 하소연을 깨닫고 해결하도록 노력하기도 한다. 하지만 트레퍼가는 구글의 서비스에 지나치게 의존하는 비즈니스를 가능한 한 구축해서는 안 된다며, 구글이라는 벽에 둘러싸인 정원에 의존하지 않도록 서비스와 사이트를 관리한다면 아마 작은 기업에서도 살아남을 수 있을 것이라고 말했다.

A fresh new avenue for Google to kill your SaaS startup | Gonzalo Sainz-Trppaga | Medium
https://gomox.medium.com/google-safe-browsing-can-kill-your-startup-7d73c474b98d