올 여름으로 예정된 윈도우 10 1주년 기념 업데이트를 기점으로 윈도우 10의 인터넷 익스플로러 11과 에지 브라우저는 SHA-1 인증을 기반으로 한 웹 사이트에 대해 자물쇠 모양의 잠금 아이콘을 표시하지 않는다. 이 아이콘은 웹 브라우저와 해당 웹 사이트 간에 주고받는 데이터가 암호화되었으며, 염탐에 취약하지 않다는 것을 의미한다.
하지만 마이크로소프트뿐만 아니라 구글과 모질라 등의 다른 웹 브라우저 업체 대부분 SHA-1 인증은 암호화가 충분히 강력하지 못하기 때문에 안전하지 않다고 선언한 상태이다. 원래 브라우저 업체들이 합의한 지원 중단 일정은 2017년 1월 1일이었지만, 지난 해 새로운 연구 결과가 나오면서 최종 시한이 2016년 7월 1일로 앞당겨졌다.
보안 연구원들은 사이버 범죄자가 SHA-1 기반의 가짜 인증서를 만들어 낼 수 있다는 것을 시연해 보였는데, 가짜 인증서를 이용하면 사용자를 위조 웹 사이트로 진짜 웹 사이트로 속일 수 있다.
마이크로소프트의 IE와 에지는 2017년 2월 14일에 진행될 화요일 패치 전까지는 SHA-1 인증 사이트를 실제로 차단하지는 않을 예정이다. 올 여름 잠금 아이콘을 제거하고 내년 초까지는 사용자가 이들 웹 사이트가 안전하지 않다는 것은 인지할 수 있지만, 그대로 사용할 수는 있다는 것이다.
한편 윈도우 7과 윈도우 8.1용 IE11은 별도의 업데이트가 진행될 예정이다. 하지만 마이크로소프트는 현재는 윈도우 비스타에서만 사용할 수 있는 IE9에 대해서는 구체적인 계획을 밝히지 않았다. 윈도우 비스타 자체의 내년 4월 퇴역하기 때문에 업데이트에서 제외될 수도 있을 것으로 보인다.
구글과 모질라 역시 2017년 1월 1일까지 SHA-1 인증에 대한 지원을 중단할 계획이며, 일정을 2016년 7월 1일로 당길 수도 있다고 밝힌 바 있다. editor@itworld.co.kr