주요 브라우저 업체들은 사이버 공격에 많이 노출됐다는 이유로 웹브라우저 보안 알고리즘인 SHA-1에 대한 지원을 내년에 중단한다. 대신 SHA-2 암호화 알고리즘이 SHA-1을 대신하게 된다.
그러나 이렇게 되면 웹사용자 수천만명이 보안 위협에 직면할 수 있다고 페이스북 최고보안책임자(CSO)가 경고하고 나서 주목된다. SHA-2는 구형 브라우저들과는 호환되지 않을 수 있다는 이유에서다.
알렉스 스타모스 페이스북 CSO는 블로그에 올린 글에서 SHA-1 지원 중단으로 수천만명이 암호화의 혜택을 받지 못하는 것은 바람직하지 않다면서 대응 방안을 촉구햇다.
페이스북이 수집한 수치에 뜨면 브라우저의 3~7% 가량이 SHA-2를 지원할 수 없는 구형 버전이다. 이런 상황에서 브라우저에서 SHA-1 지원을 아예 중단하게 되면 SHA-2를 쓸 수 없는 브라우저 사용자들이 위험에 노출될수 밖에 없다는 설명이다.
마이크로소프트(MS)는 지난달 자사 개발자 블로그를 통해 당초 예정보다 6개월 빠른 2016년 6월부터 SHA-1 지원을 폐기할 계획이라고 밝혔다. MS는 2017년 1월 1일부로 SHA1을 폐기할 계획이었지만 일정을 6개월 앞당겼다. SHA-1 취약점을 노린 공격이 빈발한다는 이유에서였다.
관련기사
- 내년부터 인터넷뱅킹사이트서 SHA1 못쓴다2015.12.12
- 인터넷뱅킹에도 쓰는 암호화 기술 보안 '우려'2015.12.12
- 크롬에만 은행사이트가 위험하다 뜨는 이유2015.12.12
- 美 가전 유통업체 ‘라디오쉑’ 문 닫는다2015.12.12
BBC인터넷판에 따르면 보안 업체인 클라우드플레어도 SHA-1 지원 중단에 불러올 상황에 대해 경고하고 나섰다. 위험에 노출될 수 있는 사용자들은 대부분 가난하고, 전쟁에 시달리는 나라에 사는데, 이들은 암호화를 가장 필요로 한다는 게 클라우드플레어의 설명이다.
페이스북과 클라우드플레어는 SHA-1에 대한 웹브라우저 지원과 관련해 변화가 필요하다는 입장이다. 이것은 브라우저에서 SHA-2를 쓸수 없을 때는 SHA-1를 쓸수 있도록 해줘야 한다는 의미일 수 있다고 BBC인터넷판은 전했다.