모질라 재단이 새해부터 파이어폭스에서 보안이 취약한 SHA1 암호화 알고리즘을 사용하지 못하도록 했지만 일주일만에 이러한 방침을 되돌렸다.
웹브라우저와 일부 보안 솔루션 간 이뤄지는 커뮤니케이션은 여전히 SHA1 기반으로 이뤄지고 있기 때문이다. 이런 상황에서 웹브라우저가 SHA1을 지원하지 않을 경우 사용자는 웹사이트에 접속할 수 없게 될 수 있다. 웹브라우저 업체들이 SHA1과 결별한다고 해도 보안 솔루션과 호흡을 맞추지 않으면 혼란으로 이어질 수도 있다는 얘기다.
올해 안에 구글, 마이크로소프트, 애플 등도 자사 웹브라우저에서 SHA1을 퇴출시킨다는 방침을 밝힌 바 있는 만큼 앞으로 다른 웹브라우저에서도 비슷한 사례가 발생할 가능성이 높다.
모질라 재단이 새해부터 공개한 최신 웹브라우저 파이어폭스43버전은 SHA1 인증서 사용을 금지하고 있으나 중간에서 보안기능을 제공하는 기기들이 웹사이트와 별개로 SHA1 인증서를 새로 발급하면서 문제가 발생한 것이다.
이에 따라 모질라는 사용자 불편을 최소화하기 위해 가장 최신 버전인 파이어폭스43.0.4 버전에서부터 SHA1을 임시로 허용한다는 계획이다.
관련기사
- 구글 크롬, 내년 SHA1 암호화 기술과 완전 결별2016.01.08
- 구형 암호화 기술 'SHA1' 퇴출 임박2016.01.08
- 내년부터 인터넷뱅킹사이트서 SHA1 못쓴다2016.01.08
- 인터넷뱅킹에도 쓰는 암호화 기술 보안 '우려'2016.01.08
모질라측은 보안블로그를 통해"모질라 보안 블로그를 포함해 https로 암호화 통신하는 웹사이트에서 'SEC_ERROR_CERT_SIGNATURE_ALGORITHM_DISABLED'라는 메시지를 봤다면 영향을 받은 것"이라며 "다른 웹브라우저를 사용해 파이어폭스 최신 버전(43.0.4)으로 업데이트할 것"을 권고했다.
이런 시행착오에도 불구하고, 모질라는 보안스캐너, 백신 등 개발사들이 SHA1을 사용치 않도록 조치를 취한 다음부터는 파이어폭스에서 SHA1 퇴출전략을 계속 추진해 나간다는 방침을 밝혔다.