2013.11.25

구글의 강화된 암호화 기능 호평…2048비트 암호 키 도입 가속화

Antone Gonsalves | CSO
구글이 예상보다 빨리 자사의 SSL 인증을 2048비트 RSA 키로 업그레이드하면서 보안 전문가들로부터 좋은 평가를 받고 있다. 암호화 키가 길어지면서 구글 서비스로의 접속을 크래킹하는 것이 더욱 더 어려워졌기 때문이다.

구글은 지난 5월에 도입했던 1024비트 RSA로부터의 이전을 계획보다 한 달 앞서 완료했으며, 더 길어진 암호화 키를 즉각적으로 발행할 것이라고 발표했다.

구글의 암호화 키 업그레이드는 에드워드 스노우든의 NSA에 대한 폭로가 있기 2주 전부터 시작됐다. 그렇지만 구글은 암호화 키 업그레이드의 완료를 발표하면서 미 정부의 감시에 대해 언급했다.

구글의 보안 엔지니어 댄 듈레이는 블로그를 통해 “2014비트 RSA에 대한 반대는 업계 전반의 노력으로, 이를 지원하게 되어 기쁘다. 특히 과도한 정부의 감시와 기타 다른 형태의 원하지 않는 침입에 대한 우려를 덜 수 있다”고 말했다.

지난 10월 구글은 NSA가 구글과 야후의 보안 시스템을 우회할 수 있는 방법을 찾아냈으며, 이를 통해 사용자 데이터를 수집하고 있다는 워싱턴포스트의 보도로 적지 않은 타격을 받은 바 있다. 구글을 비롯한 관련 업체들은 또한 정부의 과도한 감시 활동에 합법적으로 할 수 있는 모든 방법으로 대응하고 있다는 것을 보여줘야 하는 압박도 받고 있다.

구글의 새로운 조처는 SSL 접속을 제공하는 웹 사이트를 중심으로 한 업계 전반의 제안 중 일부이다. NIST(National Institute of Standards and Technology), 인증기관과 브라우저 업체의 자발적인 조직인 CA/브라우저 포럼은 1024비트 RSA 인증은 2014년 1월 1일부터 더 이상 유효하지 않게 된다고 발표했다.

보안 컨설팅 회사인 비숍 폭스의 애널리스트 크리스 그레이슨은 “구글 제품과 서비스의 최종 사용자는 아무런 차이를 발견하지 못할 것이다. 하지만 보안에 민감한 사용자는 구글이 자사 제품과 서비스의 보안을 향상시키기 위한 또 다른 조처를 취했다는 사실을 알고 좀 더 마음이 편해질 것”이라고 설명했다.

전문가들은 키 길이를 두 배로 늘리면 복호화 처리 시간이 6~7배 더 걸린다고 말한다. 하지만 오늘날의 컴퓨터와 브라우저는 이와 같은 추가 작업을 처리하기에 충분할 만큼 강력한 것 또한 사실이다.

클라우드패시지의 보안 연구 책임자인 앤드류 헤이는 “구글이 사용하는 서버와 여기에 연결된사용자의 워크스테이션이나 디바이스는 느린 복호화가 문제가 되지 않을 만큼 충분히 강력하다”라고 덧붙였다.

두 배로 늘어난 암호화 키 길이는 특히 맞는 암호가 나올 때까지 모든 가능한 키를 시스템적으로 확인하는 무작위(Brute-Force) 공격으로부터 암호화된 접속을 보호해 준다.

사실 NSA에 대한 폭로가 있기 전에 1024비트 키를 깨는 것은 너무 많은 시간과 컴퓨팅 자원이 들기 때문에 실용적이지 않다고 알려져 있었다. 하지만 드러난 NSA의 암호 분석 역량은 이런 가정이 잘못됐다는 것을 보여줬다.

업계 전반에서도 2048비트 RSA 암호화 키 도입이 착착 진행 중이다. 주요 웹 사이트의 SSL 도입 현황을 추적하는 SSL 펄스는 자사가 조사한 16만 2000여 곳의 사이트 중 96%가 2048비트 암호화 키로 이전했다고 밝혔다.

자난 9월 시만텍은 기한에 맞춰 업그레이드를 하지 못한 사이트는 호환되지 않는 사이트로 차단될 수 있으며, 사용자에게 사이트가 안전하지 않다는 메시지가 전해질 것이라고 경고한 바 있다.  editor@itworld.co.kr


2013.11.25

구글의 강화된 암호화 기능 호평…2048비트 암호 키 도입 가속화

Antone Gonsalves | CSO
구글이 예상보다 빨리 자사의 SSL 인증을 2048비트 RSA 키로 업그레이드하면서 보안 전문가들로부터 좋은 평가를 받고 있다. 암호화 키가 길어지면서 구글 서비스로의 접속을 크래킹하는 것이 더욱 더 어려워졌기 때문이다.

구글은 지난 5월에 도입했던 1024비트 RSA로부터의 이전을 계획보다 한 달 앞서 완료했으며, 더 길어진 암호화 키를 즉각적으로 발행할 것이라고 발표했다.

구글의 암호화 키 업그레이드는 에드워드 스노우든의 NSA에 대한 폭로가 있기 2주 전부터 시작됐다. 그렇지만 구글은 암호화 키 업그레이드의 완료를 발표하면서 미 정부의 감시에 대해 언급했다.

구글의 보안 엔지니어 댄 듈레이는 블로그를 통해 “2014비트 RSA에 대한 반대는 업계 전반의 노력으로, 이를 지원하게 되어 기쁘다. 특히 과도한 정부의 감시와 기타 다른 형태의 원하지 않는 침입에 대한 우려를 덜 수 있다”고 말했다.

지난 10월 구글은 NSA가 구글과 야후의 보안 시스템을 우회할 수 있는 방법을 찾아냈으며, 이를 통해 사용자 데이터를 수집하고 있다는 워싱턴포스트의 보도로 적지 않은 타격을 받은 바 있다. 구글을 비롯한 관련 업체들은 또한 정부의 과도한 감시 활동에 합법적으로 할 수 있는 모든 방법으로 대응하고 있다는 것을 보여줘야 하는 압박도 받고 있다.

구글의 새로운 조처는 SSL 접속을 제공하는 웹 사이트를 중심으로 한 업계 전반의 제안 중 일부이다. NIST(National Institute of Standards and Technology), 인증기관과 브라우저 업체의 자발적인 조직인 CA/브라우저 포럼은 1024비트 RSA 인증은 2014년 1월 1일부터 더 이상 유효하지 않게 된다고 발표했다.

보안 컨설팅 회사인 비숍 폭스의 애널리스트 크리스 그레이슨은 “구글 제품과 서비스의 최종 사용자는 아무런 차이를 발견하지 못할 것이다. 하지만 보안에 민감한 사용자는 구글이 자사 제품과 서비스의 보안을 향상시키기 위한 또 다른 조처를 취했다는 사실을 알고 좀 더 마음이 편해질 것”이라고 설명했다.

전문가들은 키 길이를 두 배로 늘리면 복호화 처리 시간이 6~7배 더 걸린다고 말한다. 하지만 오늘날의 컴퓨터와 브라우저는 이와 같은 추가 작업을 처리하기에 충분할 만큼 강력한 것 또한 사실이다.

클라우드패시지의 보안 연구 책임자인 앤드류 헤이는 “구글이 사용하는 서버와 여기에 연결된사용자의 워크스테이션이나 디바이스는 느린 복호화가 문제가 되지 않을 만큼 충분히 강력하다”라고 덧붙였다.

두 배로 늘어난 암호화 키 길이는 특히 맞는 암호가 나올 때까지 모든 가능한 키를 시스템적으로 확인하는 무작위(Brute-Force) 공격으로부터 암호화된 접속을 보호해 준다.

사실 NSA에 대한 폭로가 있기 전에 1024비트 키를 깨는 것은 너무 많은 시간과 컴퓨팅 자원이 들기 때문에 실용적이지 않다고 알려져 있었다. 하지만 드러난 NSA의 암호 분석 역량은 이런 가정이 잘못됐다는 것을 보여줬다.

업계 전반에서도 2048비트 RSA 암호화 키 도입이 착착 진행 중이다. 주요 웹 사이트의 SSL 도입 현황을 추적하는 SSL 펄스는 자사가 조사한 16만 2000여 곳의 사이트 중 96%가 2048비트 암호화 키로 이전했다고 밝혔다.

자난 9월 시만텍은 기한에 맞춰 업그레이드를 하지 못한 사이트는 호환되지 않는 사이트로 차단될 수 있으며, 사용자에게 사이트가 안전하지 않다는 메시지가 전해질 것이라고 경고한 바 있다.  editor@itworld.co.kr


X