보안인증서 설치 후 자물쇠가 보이지 않거나 보안 경고창이 나타나는 이유와 해결 방법은?

• 💡 요약 정리
• 원인: HTTPS 페이지 내부에 HTTP 리소스가 섞여 있는 혼합 콘텐츠 때문입니다.
• 해결: 모든 리소스(URL)를 HTTPS로 변경하거나 상대경로로 수정하세요.
• 이미지·미디어는 HTTP 절대경로 직접 호출을 피하세요.
• 필요한 페이지(로그인/회원가입 등)만 선택 적용해도 됩니다.
• 크롬은 2020년 10월 이후 혼합 콘텐츠를 기본 차단합니다.

1. 어떤 증상인가요?

• 보안인증서를 정상 설치했는데도 주소창에 자물쇠 표시가 보이지 않거나,
• “이 페이지는 보안된 항목과 보안되지 않은 항목을 모두 포함하고 있습니다” 같은 보안 경고창이 나타납니다.

이 문제는 주소창에서는 HTTPS로 접근했지만, 해당 페이지 내부에서 HTTP로 불러오는(보안되지 않은) 이미지, 스크립트, 스타일시트, 프레임 등의 리소스가 포함되어 있을 때 발생합니다.

---

2. 원인: 혼합 콘텐츠(HTTP + HTTPS)

• HTTPS 페이지에 HTTP 리소스가 섞이면 브라우저는 페이지를 완전히 신뢰할 수 없다고 판단합니다.
• 그 결과 자물쇠 아이콘이 사라지거나 “보안되지 않은 항목 포함” 경고가 표시됩니다.

핵심 포인트: 페이지 안의 모든 리소스 호출을 HTTPS로 통일하거나, 프로토콜 충돌이 없도록 상대경로로 호출해야 합니다.

---

3. 해결 방법

3.1 페이지 내 혼합 콘텐츠 찾기

• 페이지 소스(HTML)에서 “http://”로 시작하는 리소스(URL)를 검색합니다.
• 이미지(img), 동영상, 오디오, 스크립트(js), 스타일(css), iframe, 폰트 파일 등 모든 외부 호출을 확인합니다.

3.2 리소스 호출 주소 수정

• HTTP로 불러오는 리소스는 다음 중 한 가지 방식으로 수정합니다.
  • HTTPS로 변경: http://example.com/... → https://example.com/...
  • 상대경로로 변경: 도메인과 프로토콜을 제거하고 /path 또는 ./path 형태로 호출
• 특히 이미지·미디어 리소스는 HTTP 절대경로로 직접 호출하지 말고, 상대경로를 사용해 프로토콜 충돌을 방지하세요.

정상적으로 수정되면 보안 경고 없이 자물쇠 아이콘이 표시됩니다.

3.3 적용 범위에 대한 참고

• 첫 페이지부터 전체 사이트를 반드시 HTTPS로 강제할 필요는 없습니다.
• 로그인, 회원가입 등 암호화가 필요한 구간만 선택적으로 HTTPS를 적용해도 의도치 않은 접근 문제 없이 이용할 수 있습니다.

---

4. 크롬 브라우저 정책 안내

• 2020년 10월 이후 버전의 크롬은 혼합 콘텐츠(mixed contents)에 대해 접근을 제한합니다.
• HTTPS로 접속한 페이지 안의 HTTP 리소스는 기본적으로 차단되므로, 모든 리소스를 HTTPS 또는 상대경로로 제공해야 정상 동작합니다.

---

5. 추가 참고 자료

• 보안서버 구축 안내서 136페이지(PDF 기준 149페이지) “웹페이지 수정 및 적용 확인하기”를 참고하세요.
  • 안내서 다운로드: 여기