내년 하반기부터는 인터넷 뱅킹 사이트에서 암호화 알고리즘인 SHA1을 사용하지 못하게 될 전망이다.
마이크로소프트(MS)는 10일 자사 개발자 블로그를 통해 당초 예정보다 6개월 빠른 2016년 6월부터 SHA1 인증서를 폐기할 계획이라고 밝혔다. 그 동안 MS는 2017년 1월 1일을 기해 SHA1을 폐기할 것이라고 공언해 왔다.
이처럼 MS가 폐기 일정을 6개월 앞당긴 것은 SHA1 취약점을 노린 공격이 빈발하는 때문이다. (관련링크)
MS 엣지 브라우저 개발팀 소속 카일 플루크 프로그램 매니저는 "MS가 다른 웹브라우저 개발사들과 함께 협업해 SHA1 폐기 시점이 미치는 영향을 조사 중"이라고 밝혔다.
이에 따라 국내서도 내년 하반기부터는 최신 웹브라우저를 쓸 경우 인터넷뱅킹사이트 등에서 사용자 PC, 노트북 내 웹브라우저와 웹사이트 사이트 간 암호화 통신(https)을 지원해 온 SHA1 암호화 알고리즘을 더이상 쓸 수 없게 될 전망이다.
모질라 역시 같은 이유로 파이어폭스 웹브라우저에서 SHA1 사용금지시점을 2016년 7월 1일로 앞당겼다. 구글은 2017년 1월 1일부로 SHA1을 용도폐기한다는 방침을 정했으나 MS와 모질라의 결정에 따라 시점을 유사하게 맞출 수도 있을 것으로 전망된다.
■ "SHA2 적용 사이트 비중 75%…퇴출 영향 적을 듯"
상황이 이렇게 되면서 당장 내년 하반기부터 엣지 브라우저와 파이어폭스에서는 SHA1 암호화 통신을 지원하는 웹사이트 접속이 불가능해지게 됐다.
SHA1은 컴퓨팅 능력이 대폭 개선되고 있고, 사이버 범죄자들이 투자하는 예산이 늘면서 예상보다 빠른 시점에서 암호화 체계가 붕괴될 것으로 예상된다. 아마존 EC2 클라우드 컴퓨팅 자원을 임대해서 약 한달 간 연산작업을 수행하면 7만5천~12만달러 선에서 SHA1으로 암호화된 내용을 파악할 수 있게 된다는 분석이다.(관련링크)
때문에 보안전문가들 사이에 SHA1으로 암호화 통신을 하는 대부분 웹사이트들이 사이버범죄자는 물론 정보기관 등에게까지 너무 손쉽게 감시당하거나 이를 악용한 공격으로 인한 피해를 입을 수 있다는 지적이 줄곧 제기돼 왔다.
관련기사
- 인터넷뱅킹에도 쓰는 암호화 기술 보안 '우려'2015.11.10
- 크롬 주소창서 '자물쇠 아이콘' 사라진다2015.11.10
- 웹표준 인터넷뱅킹 보안 부실…개선 필요2015.11.10
- 크롬에만 은행사이트가 위험하다 뜨는 이유2015.11.10
현재 SHA1보다 보안성이 높은 암호화 알고리즘인 SHA2(SHA256)을 적용해 암호화 통신을 하는 웹사이트가 전 세계에서 75%를 차지하고 있는 만큼 글로벌 환경에서 SHA1 퇴출이 미치는 영향은 생각보다 크지 않을 수도 있을 것으로 전망된다.
그러나 국내서는 보안성을 높여야할 인터넷뱅킹사이트 등이 오히려 SHA1을 쓰고 있는 경우가 많아 빠르게 SHA2로 전환하는 작업이 필요한 실정이다.