내년부터는 SHA-1인증서를 이용하는 웹사이트는 구글 크롬에서 지원되지 않을 것으로 보인다. 지난 9월 구글 측은 온라인 인증서에서 사용하는 SHA-1알고리즘을 점차적으로 지원하지 않을 예정임을 알렸었다.
 
SHA-1은 웹사이트를 암호화할 때 사용하는 해쉬 알고리즘이다. SHA-1은 160비트 길이의 해쉬를 사용하는데, 다양한 크기를 지원하는 SHA-2, 아직은 상업화되지 못했지만 점점 표준으로 채택되고 있는 SHA-3라는 표준이 존재한다.
 
구글 시큐리티의 Lucas Garron과 크롬 네트워킹의 David Benjamin은 그들의 블로그에서 많은 연구 결과가 SHA-1을 버려야 할 시간이 더 빨라지고 있음을 보여주고 있다고 밝혔다.
 
SHA-1암호화를 해제되는 비용이 크지 않기 때문에 해당 알고리즘을 기반으로 하는 디지털 서명들(신용카드 등)은 이제 안전하지 않은 것이 되었다.
 
모질라와 마이크로소프트, 구글 등은 그들의 브라우저에서 2017년에 SHA-1인증서를 안전하지 않음으로 표시하고 SHA-2의 사용을 우대할 것이라고 밝혔으나 구글은 조금 더 일찍 조치를 취하기로 결정했다.
 
모든 SHA-1인증서를 막기 전에 우선 구글측은 Chrome48에서 새로운 SHA-1인증서를 막기로 했다. 2016년부터 만약 웹사이트가 SHA-1기반 시그니처로 서명되었거나, 2016년 1월 1일 이후의 SHA-1인증서를 사용하거나, 공공 CA에 연결되어 있으면 인증서 에러를 표시할 것이다.
 
또한 구글은 최소한 2017년 1월 1일에는 인증서 내의 SHA-1 암호 프로토콜 지원을 그만두기로 했다고 밝혔다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 페소아(fesoa) 기자 / mkgil@dailysecu.com>