마이크로소프트(MS) 사의 인터넷 익스플로러와 구글 크롬 등의 웹브라우저는 내년 1월 1일부로 보안기술인 보안소켓 계층(SSL)을 사용하지 않거나 암호화 알고리즘인 SHA-1 지원하지 않기로 했다고 미국 CNBC 방송이 23일(현지시간) 보도했다.
구글 크롬 창에 접속했을때 뜨는 초기창 |
웹브라우저들은 내년 1월 1일부터 이같은 알고리즘을 사용하는 사이트에 사용할 경우 접속여부 동기를 구하는 경고창을 띄우기로 했다. 내년 6~7월부터는 아예 SHA-1 알고리즘을 폐기하고 SHA-2로 전면 변경할 방침이다.
이에 따라 인터넷 뱅킹이 먹통이 될 수 있다는 우려가 나오고 있다. 특히 우리나라의 경우 대부분 금융권이 여전히 SHA-1를 채택하고 있어 대혼란이 빚어질 수 있다.
크롬 연결 권고 창 |
실제 본지가 국내은행 인터넷 뱅킹의 암호화 알고리즘을 조사한 결과, 대부분이 SHA-1를 사용하고 있는 것으로 조사됐다. SHA-1의 대체 알고리즘으로는 SHA-256이 있지만 이를 적용한 인터넷 뱅킹은 없었다. 인터넷뱅킹은 물론 계좌이체 등 공인인증서를 사용하는 대부분의 금융거래가 막히는 초유의 사태가 벌어질 수 있다는 것이다.
한편, SHA-1은 암호화통신(HTTPS)이 적용된 웹사이트에서 사용되는 보안 알고리즘이다. 미국 국가안보국(NSA)가 1993년 설계한 것으로, 정보를 암호화해주는 해시 함수다. 하지만 원본 데이터를 모르더라도 인증서 서명키와 개인키가 동일한 함수값을 가지고 있다는 취약점 때문에 정보유출이 빈번하게 발생했다. 이 때문에 국제 웹 브라우저들은 SHA-1 전면 폐기에 나선 것이다. 구글과 MS 사, 파이어폭스의 모질라 사는 2017년 1월 1일 폐기 예정이었던 일정을 2016년 6월~7월로 변경했다.
/munjae@heraldcorp.com