오늘은 윈도우 7등SHA-1 인증 중지에 따른 SHA-2 전환을 위한 윈도우 업데이트 안내 중이라는 소식입니다. 일단 기술 지원이 된 운영체제인 윈도우 7(Windows 7)에 대해서 SHA-2 인증 업데이트 해야 하는 소식입니다.
SHA-2 업데이트를 받지 않은 윈도우 7 사용자는 2019년 7월 이후부터는 더는 마이크로소프트의 보안 패치를 받지 못하게 됩니다. 하지만, 올해 3월에 배포되는 SHA-2 업데이트를 받는다면, 애초 예정대로인 2020년 1월까지 보안 갱신을 진행하게 됩니다. SHA-1 알고리즘이 보안상 취약하다는 점입니다. 여기서 이야기하는 SHA-1이라는 것은 Secure Hash Algorithm 시리즈의 일종으로 SHA의 첫 번째 버전인 SHA-0의 결함을 수정한 버전으로 National Security Agency(NSA, 미국 국가 안보국) 에 의해 디자인되고 National Institute of Standards and Technology (NIST) 에 의해 Federal Information Processing Standard (FIPS) PUB 180-4로 표준화된 인증 알고리즘입니다. 지금은 한국에서도 사용하지 않고 있습니다.
SHA-1은 160 비트(20바이트)의 해시 값을 생성하며 SHA-1은 SHA-0에 매우 유사해서 SHA-0에서 취약점의 원인이 되었으며 해당 오류를 수정한 것이 SHA-1이기 때문에 SHA-0은 기본적으로 사용 수 없으며 이전에는 SHA-1은 SHA 시리즈 중 가장 널리 이용되고 있던 것으로, 많은 애플리케이션과 프로토콜에 채용되고 있었지만, 눈사태 효과 때문에 이미 사실상 무력화되었습니다. 여기서 이야기하는 눈사태 효과는 Avalanche Effect
암호학 용어이며 원문(Plaintext)의 한 비트의 변화가 최종 암호문(Ciphertext)에 큰 변화를 주는 효과이며 모든 암호에서 핵심적으로 요구되는 암호학적 특성이면서 특히 블록 암호나 단방향 해시 함수에서 주로 요구됩니다.
눈사태 효과라는 단어는 유명 암호학자 호르스트 파이스텔(Horst Feistel)이 처음 사용했으며 개념 자체는 클로드 섀넌까지 거슬러 올라가는 꽤 오래된 개념이며 2005년 SHA-1을 공격하는 방법이 발견되어 앞으로 사용할 충분한 안전성을 가지고 있지 않은 것을 판단 NIST는 미국의 정부 조직에 대해 2010년까지 SHA-1에서 SHA-2로 전환하도록 요청했고 SHA-2에 대한 효과적인 공격 방법은 아직 보고되고 있지 않지만, 기본 구조는 SHA-1과 유사한 것이 특징이며 2012년 공모를 거쳐 Keccak가 SHA-3 로 선정된 2013년 11월에는 마이크로 소프트 가 2017년까지 Microsoft Windows의 TLS / SSL에서 SHA-1을 이용한 인증서를 허용하지 않도록 하는 것을 발표했으며 2014년 9월에는 Google도 2017년까지 Google Chrome에서 SHA-1에 의한 인증서를 허용하지 않도록 하는 것을 발표 Mozilla 에서도 마찬가지로 2017년까지 SHA-1에 의한 인증서를 허용하지 않도록 하는 것을 검토하고 있습니다.
카이사르 암호나 초창기 암호는 특정 패턴이 있으며 그 패턴을 뚫는 순간 암호 그 자체가 뚫리는 게 단점 사람이 계산해야 하는 고대 시기와는 달리 현대 컴퓨터의 계산 능력이 상상을 초월하기에 현대에는 해당 암호를 푸는데 별로 시간이 들지 않기 때문에 따라서 암호를 만들 때 모든 경우의 수를 다 계산해보지 않는 이상 결과를 알 수 있다는 보장을 할 수 없게 해야 하며 이를 위하여 눈사태 효과 개념이 도입되었습니다.
일본에서도 CRYPTREC 이 2003년의 초판에서는 권장 목록에 게재된 SHA-1을 2013년의 개정에서 호환성을 위해 이용에 한정 한 운용 감시 목록으로 전환 총무성과 법무부는 정부 인증 기반 및 전자 인증 등기소 (상업 등기 인증 기관)에서 SHA-1을 이용한 전자 인증서의 유효성을 2015년도까지 (특별한 사정이 있으면 2019년도까지)에 종료하기로 했으며 SHA-1을 사용하는 웹 사이트는 SHA-2로 전환이 예정되어 있으며 SHA-2에 해당하지 않는 소프트웨어 나 기기에 의한 액세스는 불가능해졌으며 특히 2009년 이전의 휴대폰은 일부를 제외하고 내장 소프트웨어 갱신되지 않기 때문에 하드웨어의 교체를 요구되고 있습니다. 마이크로소프트는 2016년1월부터 디지털 인증서에서 사용되고 있는 SHA-1 해시 알고리즘을 사용을 할 경우 피싱 공격 MITM 공격으로부터 안전하게 보호가 되지 않은 판단 해서 단계적으로 SHA-2로 변경을 하고 있습니다.
그리고 프로그램도 SHA-2 알고리즘만을 사용하도록 변경을 하고 있습니다. 윈도 10 1909 기준 기본적으로 설치된 Internet Explorer 브라우저도 기본적으로 SHA256으로 서명이 돼 있는 것을 볼 수가 있습니다.
그리고 윈도 운영체제에서는 더는 SHA-1 인증서만으로 서명된 경우 정상적으로 동작하지 않으며 기본적으로 실시간 보호 기능을 제공하는 백신프로그램, 드라이버 프로그램이면 정상적으로 이용하려면 Windows 업데이트 또는 Windows 8.1, Windows 10을 사용해야 하면 SHA-2 알고리즘이 설치돼 있지 않으며 2020년 2월부터 지원을 중단하기 때문에 SHA-1 서명만 포함된 드라이버 파일들은 동작하지 않을 수가 있습니다.
그리고 SHA-2 알고리즘 지원 업데이트 로 기존에 정상적으로 사용하던 백신프로그램 또는 브라우저를 이용한 파일 내려받기 시 오류가 발생한 적이 있습니다. 그리고 특히 윈도우 기술지원이 중단된 윈도우 7,윈도우 서버 2008 R2 운영체제였으면 다음 달 2월 같은 경우 Windows 및 각종 프로그램에 대해서 사용과정에서 오류가 발생할 수가 있습니다.
기본적으로 윈도우를 최신 상태로 유지하면 되지만 부득이하게 하지 못하는 경우 KB447419를 반드시 마이크로소프트 공식 홈페이지에서 다운로드해서 업데이트를 진행을 하시면 됩니다. 그래서 윈도우 7 같은 경우 다른 프로그램을 정상적으로 사용하려면 반드시 업데이트가 필요하면 해당 업데이트를 하지 않았을 때는 2020년2월부터 각종 오류가 발생하는 문제가 발생할 수가 있습니다. 그러므로 반드시 업데이트를 진행을 해야 하는 문제입니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| Windows 10 1903, Windows 10 1909 용 KB4532695 누적 업데이트 (2) | 2020.01.29 |
|---|---|
| Internet Explorer 제로데이 공격 임시 대응 설정 후 프린터 인쇄 오류 발생 (6) | 2020.01.29 |
| 구글 크롬 타사 쿠키를 사용하지 않는 방법 (6) | 2020.01.28 |
| 윈도우 10 1803,윈도우 10 1809 KB4534321,KB4534308 업데이트 (2) | 2020.01.26 |
| Firefox 72.0.2(파이어폭스 72.0.2) 업데이트 (3) | 2020.01.22 |
| Internet Explorer 11 브라우저 제로 데이 공격에 대한 경고 및 대처법 (7) | 2020.01.20 |
| VPN 킬 스위치 가 필요한 이유 (0) | 2020.01.20 |
| 구글 크롬 윈도우 7 기술지원 중단 후 18개월간 브라우저 기술 지원 (8) | 2020.01.17 |
