• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

45일 남은 SHA-1, 아직 6천만 웹 사이트에서 사용 중 2016.11.18

SHA-1, 10여 년 전부터 보안 문제 제기됨
메이저 브라우저들, 2017년 1월 1일부터 SHA-1 지원 중단

[보안뉴스 문가용 기자] 세계 웹 사이트의 35%가 여전히 SHA-1을 사용하고 있는 것으로 밝혀졌다. 하지만 소위 ‘메이저’로 분류되는 브라우저들은 45일 이내에 SHA-1 해시 알고리즘으로 서명된 인증서들을 받아들이지 않기로 예정되어 있어 어느 정도 혼란이 예상된다. 이번 조사는 사이버 보안 업체인 베나피(Venafi)에서 실시한 것으로, 약 1천 1백만 개의 웹 사이트를 분석했다고 한다.


다행인 것은 사용자 수가 높은 편에 속하는 대부분의 웹 사이트들은 이미 SHA-1을 버리고 새로운 알고리즘을 도입했다는 것이다. 하지만 전부는 아니다. 그리고 전 세계 웹 사이트의 35%라면 적다고 할 수 없는 비율이다. 최근 넷크래프트(Netcraft)에서 조사한 바 현재 활성화 되어 있는 웹 사이트들은 약 1억 7천 3백만 개라고 하니, 아직 SHA-1을 사용하고 있는 웹 사이트는 6천 1백만개 정도라는 계산이 나온다.

이 6천 1백만 웹 사이트는 2017년 1월 1일부터 장애를 겪을 예정이다. 구글만 해도 해당일로부터 크롬의 SHA-1 지원을 중단할 것이라고 발표했는데, 크롬이라고 하면 2015년 12월 기준으로 브라우저 시장의 53.71%를 차지하고 있다. 즉, 아직 SHA-1을 사용하고 있는 웹 사이트들은 당장 트래픽부터 크게 감소할 것이라고 예측할 수 있다. 2위 브라우저인 파이어폭스 역시 SHA-1의 지원을 중단한다. 구글(크롬)이나 모질라(파이어폭스)나, 계속해서 SHA-1을 더 이상 지원하지 않을 것이라는 안내문을 계속해서 내보내고 있다.

다른 제조사도 비슷하다. 윈도우 10 1주년 패치(Windows 10 Anniversary Update) 이후 MS는 사용자가 에지와 인터넷 익스플로러 브라우저로 SHA-1 웹 사이트에 접속할 경우 주소창에서 자물쇠 아이콘이 나타나지 않도록 했다. 물론 웹 사이트가 차단되거나 작동하지 않도록 조치가 취해지는 건 아니지만, 안전하지 않다는 경고를 계속해서 송출하는 것이다. 하지만 2017년 2월부터 에지와 익스플로러는 SHA-1 인증서를 사용하는 웹 사이트에 대한 접속을 아예 허용하지 않을 계획이라고 한다.

SHA-1의 약한 보안성은 오래 전부터 지적되어 왔다. 암호 전문가인 브루스 슈나이어(Bruce Schneier)의 경우도 SHA-1이 특정 공격에 매우 취약하다는 목소리를 2005년부터 꾸준하게 발해 왔다. 브라우저 제조사들이 SHA-1에 대한 지원 중단 결정을 내린 것이 급한 결정은 전혀 아니라는 것.

2015년, 네덜란드의 수학 및 컴퓨터 분야 전문가들과 프랑스의 INRIA(국립 전산 및 자동화연구소), 싱가포르의 나양기술대학이 공동으로 SHA-1에 대단위 충돌공격(collision attack)을 실시하는 실험을 진행했다. 클라우드를 기반으로 한 하드웨어를 이 공격에 사용했으며, 비용은 10만 달러 정도 들었다. 공격은 성공적으로 이루어졌으며, 소요시간 역시 매우 짧았다. 사이버 범죄자들 입장에서 공격에 10만 달러 투자하는 건 일도 아니다. SHA-1을 표적으로 삼는 공격이 현실로 바짝 다가왔다는 것이 증명된 셈이다.

베니파의 보안 전략 부회장인 케빈 보첵(Kevin Bocek)은 “이미 오래 전에 SHA-1의 지원을 중단했어야 한다”고 주장한다. “이미 NIST에서도 2006년에 SHA-1의 사용을 전면 중단해야 한다고 발표했었죠. 즉 이미 죽었어야 할 기술이 10년이나 연명했다는 겁니다. 그 와중에 SHA-1의 허술함 때문에 대형 사고가 터지기도 했죠. 2012년, 일부 조직들이 MS의 MD5 인증서를 조작해 플레임(Flame)이라는 역사에 남을만한 멀웨어를 퍼트린 사건이 바로 그것입니다.”

보첵 부회장은 “SHA-1이 정확히 어느 부분에 얼마큼 기용되는지 파악부터 해야 한다”고 조언한다. “덩치가 큰 기업들일수록 SHA-1의 사용현황 파악이 어려울 수 있습니다. 그러므로 남은 40여일 동안 꼼꼼한 계획을 수립해서 SHA-1을 빠짐없이 파악하고 제거해야 할 것입니다. 그것이 4사분기의 1순위 프로젝트가 되어야 할 듯 합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>