구글 크롬 웹브라우저는 주소창 왼쪽에 자물쇠 모양의 아이콘이 표시된다. 이 표시는 크롬과 해당 웹사이트 간에 안전하게 연결됐는지를 알려준다. 보통 녹색 자물쇠가 표시되면 기본적으로 안전하다는 인증을 받은 것이나 마찬가지다.
그러나 최근 HSBC, 체이스와 같은 글로벌 은행 웹사이트에 접속하면 녹색 자물쇠 대신 회색 자물쇠에 노란색 세모꼴이 표시된 모습을 볼 수 있다. 이 말은 해당 사이트 보안수준인 중간 정도라는 것이다. 구글측 설명에 따르면 "사이트에서 SSL을 사용하지만 크롬이 이 페이지에서 안전하지 않은 콘텐츠를 발견했다"고 판단할 때 이런 아이콘을 표시한다. 국내 대부분 은행 웹사이트에서도 같은 아이콘을 확인할 수 있었다.
흥미로운 것은 이들 사이트를 크롬 외에 인터넷익스플로러(IE)나 파이어폭스, 사파리로 로그인하면 안전하다는 자물쇠가 표시된다는 것이다.
크롬은 왜 이 사이트들이 안전하지 않다고 말하는 것일까. 이유는 크게 두 가지로 요약된다. 오래된 보안설정을 사용했거나 오래된 암호화 기술을 사용해 암호화됐기 때문이다. 실제로 크롬에서 세모꼴로 표시된 자물쇠를 누르면 관련 내용을 직접 확인할 수 있다.
오래된 보안 설정의 경우 웹사이트 자체적으로 주기적인 점검이 필요한 부분이다. 이 보다도 의미있게 봐야하는 대목은 SHA-1이라는 암호화 알고리즘(해시함수)이다. 젬알토에 인수된 세이프넷 박종필 이사에 따르면 사용자가 웹브라우저를 통해 특정 웹사이트에 접속할 때 해당 서버가 안전한지 여부를 확인하기 위해 '메시지 인증(Message Authetication Code, MAC)'이라는 기술이 활용된다. 여기에는 다시 'SHA-1'이라는 암호화 알고리즘이 쓰인다.
국내외 은행 사이트를 확인해 본 결과 대부분 SHA-1을 활용해 암호화를 수행했다. 그러나 1995년 미국 국가안보국(NSA)이 개발해 현재까지 쓰이고 있는 SHA-1은 더이상 안전한 암호화 기술로 평가받고 있지 않다. 이후 미국국립표준기술연구소(NIST)는 2010년부터 해당 기술보다 안전한 SHA-2, SHA-3를 사용토록 권고했다. 이러한 방침에 따라 마이크로소프트, 구글, 모질라 등 주요 웹브라우저 개발사는 2017년부터 SHA-1을 사용한 인증을 수용하지 않는다는 계획이다.(관련링크)
SHA-1은 메시지를 160비트짜리 해시값으로 만든다. 이보다 안전하다고 알려진 SHA-2의 경우 256비트, 512비트 해시값을 만들어낸다. 벌써 개발, 보급된지 20년이 지난 SHA-1은 컴퓨팅 성능이 갈수록 높아지면서 암호를 풀어내는데 드는 시간과 비용이 대폭 줄어들었다.(관련링크)
미국 지디넷에 따르면 암호전문가 제시워커는 SHA-1 인증체계를 무너뜨리는데 드는 비용이 2012년 200만달러에서, 2015년에는 70만달러, 2018년에는 17만3천달러로 줄어들며, 2021년에는 4만3천달러면 충분하다고 전망했다.
더 큰 문제는 현재 전 세계 웹사이트 중 90% 이상이 여전히 SHA-1을 활용하고 있다는 점이다.(관련링크) 이와 관련 암호화통신(SSL) 기술 기반 스타트업인 서트심플(CertSimple)의 공동창업자인 마이크 맥카나는 "시간이 갈수록 해시 알고리즘에서 새로운 취약점들이 밝혀지고 있고, 더 빨라진 하드웨어가 이러한 취약점들을 활용한 공격을 더 쉽게 만들고 있다"고 지적했다.
그 결과, 서로 다른 내용이 담긴 두 개의 문서를 만들때 이들이 같은 해시값을 갖고 있는 경우가 생긴다는 것이다. 이에 따라 전자서명이 해킹그룹, 사이버범죄조직, 정부기관들이 다른 문서에 해당 값을 재사용하는 일이 벌어질 수 있다는 주장이다.
관련기사
- 독일발 무료 암호화 이메일 프로젝트 성공할까2015.06.08
- 파이어폭스, HTTP/2 지원하자마자 버그…수정완료2015.06.08
- 괴물 같은 보안 취약점 '프릭' 후폭풍 거세2015.06.08
- 암호화된 트래픽 관리 어떻게 하나2015.06.08
이같은 사항은 구글 외에 MS, 애플, 모질라 등도 인식하고 있으나 가장 적극적으로 SHA-1 퇴출 캠페인을 벌이고 있는 곳이 구글이다. 외신에 따르면 보안연구원 댄 카민스키는 "크롬이 공격적으로 SHA-1에 반대하고 있다"며 "암호화 수준을 확인하는 일 자체는 어려운 일이 아니기 때문"이라는 설명이다.
해당 은행 사이트들이 크롬에서 녹색 자물쇠를 표시하도록 하는 방법은 어렵지 않다. SHA-1 대신 SHA-2 이상 암호화 알고리즘을 적용하면 되기 때문이다. 맥카나는 "대부분 암호화통신(SSL) 기술회사들이 기존 인증서에 대해 추가비용없이 새로 키를 발급받을 수 있게 하고 있다"고 밝혔다.