5월 말까지 웹 서비스 인증서 암호체계를 SHA-1에서 SHA-2로 바꾸지 않으면 서비스 장애를 초래한다. 대책 마련이 시급하다.
마이크로소프트와 구글은 6월부터 웹 브라우저 SSL인증서와 코드서명 인증서 암호 알고리즘을 SHA-1(160비트)에서 SHA-2(224~512비트)로 높여 보안성을 강화한다.
포털·게임·상거래 등 웹사이트 운영자는 해당 서비스 인증서를 다시 발급받거나 갱신해야 접속 오류를 막는다. 6월에 기존 SHA-1 알고리즘을 쓰면 웹 사이트 접속에 문제가 생기거나 실행파일 설치에 오류가 발생한다.
SHA는 안전해시알고리즘(Secure Hash Algorithm)으로 암호화 통신(HTTP)이 적용된 웹사이트에서 사용한다. 웹 사이트와 사용자가 통신할 때 디지털인증서 위변조를 막기 위해 쓰인다. 미국 국가안보국(NSA)이 1993년 설계했다. SHA-1은 SSL(Secure Socket Layer) TLS(Transport Layer Security), IPSec(IP security protocol) 등 많은 보안 프로토콜과 프로그램에 사용됐다. SHA-1은 그동안 널리 사용됐는데 컴퓨팅 성능 향상과 해킹 공격에 악용돼 교체가 논의됐다.
SHA-1의 대안은 더욱 복잡해진 SHA-2다. 웹 브라우저를 서비스하는 구글, 마이크로소프트, 모질라 등은 6월부터 SHA-1 지원을 중단하고 SHA-2만 사용한다.
인터넷 이용자도 PC·스마트폰 운용체계(OS)와 브라우저를 SHA-2가 지원되는 버전으로 업그레이드해야 한다.
김기문 한국인터넷진흥원 전자인증산업팀 선임연구원은 “국내 인터넷 사이트 운영자는 SSL인증서와 코드서명 인증서를 SHA-2기반으로 재발급 받아야 한다”며 “서비스 장애 예방을 위해 미리 준비해야 한다”고 말했다.
박형근 한국IBM 실장은 “암호화 통신을 사용 중인 웹 애플리케이션은 서비스 영향도를 분석하고 업그레이드나 지원 패치를 적용해야 한다”고 설명했다.
김인순기자 insoon@etnews.com