2016.05.03

윈도우 10 여름 업그레이드, SHA-1 암호화 지원 중단

Gregg Keizer | Computerworld
마이크로소프트가 SHA-1 인증으로 트래픽을 보호하는 웹 사이트에 대한 브라우저 지원 중단 일정을 밝혔다. 이는 인터넷 전반에 걸쳐 진행되고 있는 인터넷의 취약한 암호화 제거 운동의 일환이다.

올 여름으로 예정된 윈도우 10 1주년 기념 업데이트를 기점으로 윈도우 10의 인터넷 익스플로러 11과 에지 브라우저는 SHA-1 인증을 기반으로 한 웹 사이트에 대해 자물쇠 모양의 잠금 아이콘을 표시하지 않는다. 이 아이콘은 웹 브라우저와 해당 웹 사이트 간에 주고받는 데이터가 암호화되었으며, 염탐에 취약하지 않다는 것을 의미한다.

하지만 마이크로소프트뿐만 아니라 구글과 모질라 등의 다른 웹 브라우저 업체 대부분 SHA-1 인증은 암호화가 충분히 강력하지 못하기 때문에 안전하지 않다고 선언한 상태이다. 원래 브라우저 업체들이 합의한 지원 중단 일정은 2017년 1월 1일이었지만, 지난 해 새로운 연구 결과가 나오면서 최종 시한이 2016년 7월 1일로 앞당겨졌다.

보안 연구원들은 사이버 범죄자가 SHA-1 기반의 가짜 인증서를 만들어 낼 수 있다는 것을 시연해 보였는데, 가짜 인증서를 이용하면 사용자를 위조 웹 사이트로 진짜 웹 사이트로 속일 수 있다.

마이크로소프트의 IE와 에지는 2017년 2월 14일에 진행될 화요일 패치 전까지는 SHA-1 인증 사이트를 실제로 차단하지는 않을 예정이다. 올 여름 잠금 아이콘을 제거하고 내년 초까지는 사용자가 이들 웹 사이트가 안전하지 않다는 것은 인지할 수 있지만, 그대로 사용할 수는 있다는 것이다.

한편 윈도우 7과 윈도우 8.1용 IE11은 별도의 업데이트가 진행될 예정이다. 하지만 마이크로소프트는 현재는 윈도우 비스타에서만 사용할 수 있는 IE9에 대해서는 구체적인 계획을 밝히지 않았다. 윈도우 비스타 자체의 내년 4월 퇴역하기 때문에 업데이트에서 제외될 수도 있을 것으로 보인다.

구글과 모질라 역시 2017년 1월 1일까지 SHA-1 인증에 대한 지원을 중단할 계획이며, 일정을 2016년 7월 1일로 당길 수도 있다고 밝힌 바 있다.  editor@itworld.co.kr


2016.05.03

윈도우 10 여름 업그레이드, SHA-1 암호화 지원 중단

Gregg Keizer | Computerworld
마이크로소프트가 SHA-1 인증으로 트래픽을 보호하는 웹 사이트에 대한 브라우저 지원 중단 일정을 밝혔다. 이는 인터넷 전반에 걸쳐 진행되고 있는 인터넷의 취약한 암호화 제거 운동의 일환이다.

올 여름으로 예정된 윈도우 10 1주년 기념 업데이트를 기점으로 윈도우 10의 인터넷 익스플로러 11과 에지 브라우저는 SHA-1 인증을 기반으로 한 웹 사이트에 대해 자물쇠 모양의 잠금 아이콘을 표시하지 않는다. 이 아이콘은 웹 브라우저와 해당 웹 사이트 간에 주고받는 데이터가 암호화되었으며, 염탐에 취약하지 않다는 것을 의미한다.

하지만 마이크로소프트뿐만 아니라 구글과 모질라 등의 다른 웹 브라우저 업체 대부분 SHA-1 인증은 암호화가 충분히 강력하지 못하기 때문에 안전하지 않다고 선언한 상태이다. 원래 브라우저 업체들이 합의한 지원 중단 일정은 2017년 1월 1일이었지만, 지난 해 새로운 연구 결과가 나오면서 최종 시한이 2016년 7월 1일로 앞당겨졌다.

보안 연구원들은 사이버 범죄자가 SHA-1 기반의 가짜 인증서를 만들어 낼 수 있다는 것을 시연해 보였는데, 가짜 인증서를 이용하면 사용자를 위조 웹 사이트로 진짜 웹 사이트로 속일 수 있다.

마이크로소프트의 IE와 에지는 2017년 2월 14일에 진행될 화요일 패치 전까지는 SHA-1 인증 사이트를 실제로 차단하지는 않을 예정이다. 올 여름 잠금 아이콘을 제거하고 내년 초까지는 사용자가 이들 웹 사이트가 안전하지 않다는 것은 인지할 수 있지만, 그대로 사용할 수는 있다는 것이다.

한편 윈도우 7과 윈도우 8.1용 IE11은 별도의 업데이트가 진행될 예정이다. 하지만 마이크로소프트는 현재는 윈도우 비스타에서만 사용할 수 있는 IE9에 대해서는 구체적인 계획을 밝히지 않았다. 윈도우 비스타 자체의 내년 4월 퇴역하기 때문에 업데이트에서 제외될 수도 있을 것으로 보인다.

구글과 모질라 역시 2017년 1월 1일까지 SHA-1 인증에 대한 지원을 중단할 계획이며, 일정을 2016년 7월 1일로 당길 수도 있다고 밝힌 바 있다.  editor@itworld.co.kr


X