디피 헬만은 키 교환 프로토콜로 TLS 프로토콜용으로 폭넓게 사용되는 RSA를 서서히 대체하고 있다. 디피 헬만은 RSA와는 달리 TLS의 일시 모드에서 사용할 수 있어 좀 더 발전된 보안성을 제공한다. 즉 키가 나중에 크랙되어도 이전에 캡처한 트래픽의 암호화를 해제할 수 없도록 한다.
하지만 지난 2015년 5월 일단의 연구원들이 다운그레이드 공격을 고안해 냈는데, 서버가 디피헬만의 한 버전인 DHE_EXPORT를 지원하면 브라우저와 서버 간의 암호화된 접속을 훼손할 수 있다. 이 버전은 1990년 미국 NSA가 수출용 암호화 시스템에 적용한 것으로, 키 크기가 512비트로 제한되어 있다. 지난 2015년 7월 기준으로 인터넷 상의 웹 사이트 중 7%가 로그잼(LogJam)이란 이름의 이 공격에 취약한 것으로 나타났다.
모질라의 보안 엔지니어 데이빗 키일러는 블로그 포스트를 통해 “최근 개발된 디피 헬만 키 교환 대상 공격에 대응하고 파이어폭스 사용자의 프라이버시를 보호하기 위해 디피 헬만 키 교환을 사용하는 TLS 핸드셰이크의 최소 크기를 1024비트로 늘렸다”라고 밝혔다.
키일러는 아직도 충분히 강화된 키를 사용하지 않는 일부 서버의 경우 파이어폭스 사용자가 접속하면 “ssl_error_weak_server_ephemeral_dh_key"란 에러 메시지가 나타난다고 설명했다.
트래픽 기준 상위 14만 개 HTTPS 웹 사이트를 대상으로 한 최근 조사에 따르면 5%의 웹 사이트가 1024비트 이하의 키를 사용하고 있다. 현재 권장되는 키 크기는 2048비트이며, 67% 이상의 웹 사이트가 이를 지원한다. editor@itworld.co.kr