마이크로소프트(MS)가 오는 10월15일부터 오피스365에 대해 TLS 1.0과 1.1지원을 중단한다고 자사 기술 문서 사이트에서 밝혔다.
TLS 1.0과 1.1은 각각 국제인터넷표준화기구(ITEF)에서 1999년, 2006년 발표한 암호화 통신 프로토콜이다. 10년 이상의 시간이 지나면서 취약점이 발견되는 등 보안 문제가 제기됐다. TLS 연결을 구형 프로토콜인 SSL 3.0으로 유도한 뒤 암호화된 통신 내용을 복호화하는 공격 유형인 '푸들(POODLE)', 브라우저에서 데이터를 탈취할 수 있는 취약점 '비스트(BEAST)'가 일례다.
ITEF는 이후 2008년, 2018년에 성능이 향상된 1.2, 1.3 버전을 출시했다. 이에 MS는 지난 2018년 10월15일 자사 브라우저 '엣지'에 대한 TLS 1.0, 1.1 지원 중단을 예고했다. 보다 안전한 웹을 사용자에게 보장하기 위한 조치라는 설명도 덧붙였다.
MS는 이전부터 TLS 1.0, 1.1 지원 중단 의사를 밝혀왔지만, 올초 코로나19가 세계 전역으로 확산됨에 따라 일정을 잠정 연기했다. 그러다 최근 일부 국가를 시작으로 공급망이 조정되는 동향을 보이자 TLS 1.0, 1.1 퇴출 준비를 재개한다면서 이번 계획을 밝혔다.
TLS 1.0, 1.1에 대한 기술지원 중단은 '엣지'를 운영하는 MS와 함께 각각 '크롬', '파이어폭스', '사파리' 등 브라우저를 운영하는 구글, 모질라, 애플 등이 함께 예고한 내용이었다.
MS는 이달 배포된 엣지 84 버전부터 구형 TLS에 대해 기본적으로 비활성화되도록 설정한다. 해당 기능을 재활성화할 수 있지만, 엣지 버전 88까지 지원한다.
관련기사
- MS, 코로나19 여파로 오피스365 성능 또 낮춰2020.04.08
- 구글, 코로나19로 멈췄던 크롬 업데이트 재개2020.03.27
- 내 브라우저는 얼마나 많은 데이터를 수집할까2020.03.04
- 내 웹브라우저에서 DoH 활성화하는 방법2020.02.28
모질라는 파이어폭스 74 버전에서 구형 TLS 지원을 중단할 계획이었다. 그러나 코로나19 확산을 의식해 시기를 미뤘다. 지난 2일 출시된 78 버전부터는 TLS 1.2 이상을 지원하지 않는 사이트에 대해 오류 페이지를 표시한다.
구글은 크로미움 81 버전에서 구형 TLS 지원을 중단할 계획이었으나 모질라와 같은 이유로 중단을 연기했다. 지난 14일 출시한 84 버전부터는 구형 TLS를 사용하는 사이트에 접근 시 연결이 완전히 안전하지 않다는 안내 페이지로 연결된다.
