2016.11.09 AhnLab
“모니터를 닦았더니 컴퓨터가 빨라졌어요!”
“마우스 볼을 닦았더니 인터넷이 빨라졌어요~”
한때 인터넷 커뮤니티에서 통용되던 '아재 개그'다. 코웃음 칠 우스갯소리지만, 그만큼 컴퓨팅 환경이 중요하다는 걸 빗대어 얘기한 것일 테다. 맹자의 어머니가 교육을 위해 집을 세 번이나 이사했다는 맹모삼천지교라는 고사성어처럼 환경의 중요성은 아무리 강조해도 지나침이 없다. "인터넷 환경"도 마찬가지다. 이제 구형 OS(운영체제)나 브라우저로는 웹 서비스를 정상적으로 이용할 수 없는 환경으로 변해가고 있다. 보안 정책의 강화가 가장 큰 이유다. 무슨 내용인지 자세히 살펴보자.
여태 잘 이용하던 웹 서비스에 접속이 안된다! 왜?!
최근 들어 마이크로소프트(MS)와 구글이 보안 정책을 강화하고 나섰다. 보안성이 낮은 SHA-1을 지원하지 않기로 한 것이다. 이에 따라 SHA-1 기반의 웹 사이트는 앞으로 접속이 안되거나 서비스가 제한된다. 또 개인들도 OS나 브라우저의 환경을 업그레이드하지 않을 경우 웹 사이트나 홈페이지 접속에 오류가 생기거나 서비스 이용을 할 수 없다. 즉, 일부 사용자들은 웹 서비스 이용 시 회원가입이나 로그인, 쇼핑몰 결제 등이 제한된다는 것.
만약 어느 날 갑자기 평소에 자주 이용하던 웹 사이트나 홈페이지가 접속이 잘 안 되거나 추가 기능 실행이 안 된다면 내 PC의 OS 및 브라우저의 버전이 낮거나 그 웹사이트가 기존의 SHA-1으로 제작된 것이라고 생각해도 무방하다. 따라서 개인 사용자들은 가급적 하루 빨리 사용 중인 OS와 웹 브라우저의 버전을 확인하고 최신 버전으로 업그레이드하는 게 좋다.
[표 1] 업그레이드가 필요한 OS와 브라우저
샤샤샤~ SHA-2가 뭐길래?
SHA-1이나 SHA-2가 뭔지 궁금해 하는 사용자들이 있을지도 모르겠다. SHA(Secure Hash Algorithm)는 SSL(Secure Sockets Layer) 인증서의 서명 알고리즘을 말한다. 다시 말해 웹 브라우저와 웹 사이트 사이에 안전한 통신을 지원하기 위해 사용되는 암호화 알고리즘이다.
미국 국가안보국(NSA)이 1993년에 처음으로 설계했으며 미국 국가 표준으로 지정되었다. SHA 최초의 함수는 공식적으로 SHA라고 불리지만, 나중에 설계된 함수들과 구별하기 위해 SHA-0이라고도 불린다. 1995년 SHA-0의 변형인 SHA-1이 발표되었으며, 그 후에 4종류의 변형, 즉 SHA-224, SHA-256, SHA-384, SHA-512가 더 발표되었다. 이들을 통칭해서 SHA-2라고 부른다. SHA-1으로 만든 해시값(메시지를 암호화한 값)을 해커들이 알아내는 시간이 점점 줄어들고 있어 해킹의 위험이 있다는 판단 하에 SHA-2로 업데이트를 하는 것이다.
보다 안전한 인터넷 사용을 위하여
사이버 공격의 증가로 인터넷 보안 강화에 대한 요구가 높아지고 있는 가운데 웹 사이트에 들어오고 나가는 트래픽을 암호화하는 것도 매우 중요해졌다. 구글이나 페이스북, MS 같은 글로벌 IT기업들이 SSL/TLS(Secure Sockets Layer/Transport Layer Security) 암호화를 강조하고 있는 것도 이 같은 이유에서다.
SHA-1의 경우 해킹하는 방법이 이미 공개되어 있는 상황이고, SHA-1을 지원하는 서버 암호화 모듈도 취약점을 갖고 있기 때문에 SHA-2로 업그레이드하기를 추천한다. 기존의 SHA-1을 이용해서 데이터를 주고받으면 해커가 중간에서 송수신되는 데이터를 가로챌 수 있다는 얘기다. 사용자들의 개인 정보가 악용될 가능성도 높다. 최근 거의 모든 은행과 전자상거래 사이트는 SSL/TLS를 사용하지만, 이를 도입하지 않은 소규모 웹사이트도 상당수 존재하는 게 문제다.
글로벌 인증서 사업자나 글로벌 웹 브라우저 업체들은 SHA-1을 더 이상 사용하지 않기로 합의한데 이어 웹 브라우저에서 SHA-1을 사용한 사이트가 발견되면 사이트 접속 차단을 하기로 했다. 이에 따라 국내에서도 웹 서비스를 제공하는 업체들은 웹 사이트에 SSL 보안인증서로 교체해야 한다.
이와 관련해 안랩을 비롯해 스타벅스커피 코리아, 서울사이버대학교, BC카드, 한컴 등도 홈페이지 공지 등을 통해 SSL 인증서 업그레이드를 알리고 있다. 안랩은 올해 초부터 공식 홈페이지 등 자사 주요 사이트의 SSL 보안인증서를 기존의 SHA-1에서 보안성이 높은 SHA-2로 교체하기 위해 준비해왔으며, 11월 15일을 기점으로 안랩 공식 홈페이지부터 순차적으로 적용해나갈 예정이다. 또한 안랩은 고객들의 불편을 최소화하기 위해 11월 초부터 이메일을 통해 사전 공지하고 있으며, 이에 앞서 지난 7월에는 사용자들이 쉽고 간편하게 보안 업그레이드를 할 수 있도록 관련 캠페인을 진행하기도 했다.
보안은 귀찮지만 "나"를 위해 반드시 챙겨야 할 필수조항이다. 불안한 OS와 브라우저에 지금 작별을 고하는 것부터 시작해보는 건 어떨까.
☞ ‘안랩 웹 보안 업그레이드 캠페인’ 자세히 보기
'정보' 카테고리의 다른 글
2017년 IT 시장 주요 전망과 이슈 트렌드 (0) | 2016.12.04 |
---|---|
페이스북 계정을 탈취하는 악성코드 주의요망! (0) | 2016.11.10 |
출사표를 던지다 어원. 출사표(出師表), 제갈량(诸葛亮)의 출사표, 出师表(前出师表·后出师表) (0) | 2016.10.09 |
아모레퍼시픽 치약 메디안 제품 등, 가습기살균제 성분CMIT(메칠클로로이소치아졸리논) 검출 회수, 다른 제조사 제품도 발견 조사 (0) | 2016.09.27 |
해외에서 윈도우 업데이트로 위장한 랜섬웨어 유형이 국내 타킷? (0) | 2016.09.26 |