Google이 Immich 사이트를 위험 사이트로 표시함

• 최근 Google Safe Browsing 서비스로 인해 Immich 관련 모든 사이트가 위험 경고를 받음
• immich.cloud 도메인 전체가 영향을 받아 대부분의 브라우저에서 접근이 사실상 차단됨
• 원인은 Preview 환경 등 내부 배포 URL이 자동 크롤링되어 오탐 처리된 것임
• Google Search Console에서 이의제기를 통해 단기적으로 복구했지만, 새 Preview 생성 시마다 문제가 반복 발생함
• 오픈소스·셀프호스팅 서비스 특성상 구조적인 문제이며, 향후 Preview 환경을 별도 도메인으로 분리 예정임

Google이 Immich 사이트를 위험 사이트로 표시한 사건

2025년 10월 20일
By Jason Rasmussen

개요

• 이번 달 초 *.immich.cloud 모든 웹사이트가 위험 사이트로 분류되고, 사용자들이 브라우저에서 보안 경고(일명 "red-screen-of-death") 화면을 목격하게 됨
• 팀 내 누구도 이 브라우저 기능의 동작 방식에 대해 명확히 알지 못했으나, 이제 관련 지식이 'cursed knowledge' 목록에 추가됨

배경

• Google은 Safe Browsing 서비스를 무료로 제공하며, 이는 악성코드, 원치 않는 소프트웨어, 사회공학적 속임수 여부를 판단하기 위한 목적임
• Chrome, Firefox 등 주요 브라우저가 해당 서비스를 연동함
• 서비스의 실제 위험 판정 방식은 불분명함
• 사이트가 위험으로 분류될 경우, 대부분의 사용자가 사이트를 이용할 수 없게 되는 문제 발생
• 극히 일부 사용자가 '자세히 보기' 및 '안전한 사이트 방문' 링크를 통해서만 진입 가능함

플래깅(Flagged) 상황 인지

• 이달 초 immich.cloud 도메인 다수 사이트가 "위험" 표시 및 사용자들로부터 자체 배포 Immich 인스턴스도 플래깅됐다는 불만 제기됨
• 내부적으로 사용 중인 Preview 환경 등 모든 내부 사이트 역시 경고 발생
• 매번 "안전한 사이트" 보기 과정을 거쳐야 하는 불편함 지속

Google Search Console 통한 대응

• 며칠이 지나도 경고가 해제되지 않아 공식 대응 경로인 Google Search Console을 이용하기로 결정

• 이 서비스는 Google 계정 생성, Search Console 활용, 플래깅된 사이트에 대한 리뷰 요청이 필수적임

• Search Console은 위험 판정 사유에 대해 일부 설명 제공

  • "Google에서 귀하 사이트 일부 페이지에서 유해 콘텐츠를 탐지했음"
  • "이 페이지들은 원치 않는 소프트웨어 설치 유도 또는 개인정보 노출 등 위험 요소가 있음"

• 문제로 지적된 전체 URL 리스트 확인 결과, 모두 Preview 환경 관련 URL임

• 개별 서브도메인 하나만 플래깅되어도 도메인 전체가 불량 판정되는 점이 가장 충격적임

영향

• Preview 환경 및 내부 서비스(zitadel, outline, grafana, victoria metrics 등) 모두 영향권에 포함됨
• Production tile server(tiles.immich.cloud)도 대상임
• 다만 tile server는 JavaScript를 통해 요청되어 직접 사용자 인터페이스를 갖지 않기에 정상 동작하는 것 확인

문제 "해결" 시도

• Google Search Console에서 Request Review 기능으로 이의제기 및 해결 설명 필요
• 실제로 문제를 해결하지 않고 리뷰만 요청할 경우 심사 기간이 길어짐

위험 사이트 복구 요청

• 실질적으로 문제점이 없다고 판단되었기 때문에, 아래와 같이 대응 설명 전달

  • Immich는 셀프호스팅용 애플리케이션이며 Immich 팀(https://immich.app/)이 해당 도메인 전반을 직접 관리 및 운영
  • 플래깅된 사이트는 모두 공식적으로 자체 배포 환경일 뿐, 타인을 사칭하지 않음

• 1~2일 내로 도메인이 정상 판정되어 접속 가능 상태로 복구됨

문제 최소화 노력

• GitHub Pull Request에 preview 라벨을 추가하면 Immich Preview 환경이 자동 생성되고, 생성 즉시 본인 확인 코멘트와 함께 Preview URL이 생성됨

  https://pr-<num>.preview.internal.immich.cloud/

• 새 Preview 환경이 만들어질 때마다 immich.cloud 도메인이 다시 위험 판정을 받음

• Google이 GitHub를 크롤링하면서 새로운 URL을 발견, 탐색, 그리고 위험처리하는 것으로 추정

• 현재 대응책은 Preview 환경 전용 별도 도메인(immich.build)으로의 분리 계획을 수립 중임

더 큰 문제

• Google Safe Browsing 시스템은 오픈소스 및 셀프호스팅 소프트웨어의 특성을 고려하지 않고 설계된 것으로 보임
• Immich 외에도 여러 인기 프로젝트가 유사 문제 경험
• Google이 임의로 어떤 도메인이든 차단할 수 있으며, 이에 대한 실질적 대응책은 Google에 리뷰 요청을 꾸준히 하는 것 말고는 별다른 방법이 없는 상황임

Cheers,
The Immich Team