2020년 8월, 마이크로소프트(Microsoft)는 SHA-1 기반
Windows 업데이트 서비스 엔드포인트를 중단한다고 밝혔다. 이에 따라 오는 11월부터, 해시 알고리즘 ‘SHA-2’를 지원하지 않는
운영체제(OS)에서는 안랩의 제품과 엔진 업데이트에 대한 정상 동작이 어려울 수 있다. 이는 전 세계적으로 SHA-2의 전 세대인 ‘SHA-1’
인증서 발급과 OS 지원 중단에 따른 조치 때문이다.
이번 글에서는 SHA-1 지원 중단의 배경과 향후 안랩 제품을 사용하는 고객들이 숙지해야 할 사항에 대해 알아보고자 한다.
SHA-1 사용이 중단된 배경
SHA는 ‘Secure Hash Algorithm’의 약자로 국문으로 옮기면 보안 해시 알고리즘이라
표현된다. 해시 알고리즘은 각기 다른 길이의 텍스트를 일정한 길이의 해시 값으로 변환시키는 단방향성
암호화를 수행한다. 동일한 해시 알고리즘을 지원하는 컴퓨터는 서로 간 데이터나 파일을 보다 용이하게
식별하며, 해당 알고리즘이 적용된 디지털 인증서를 통해 원본의 진본성과 무결성을 검증할 수 있다.
해시 알고리즘은 그 종류가 굉장히 다양하다. 그리고, SHA-1은 과거부터 보편적으로 사용되어 왔던
해시 알고리즘 중 하나다. 지난 1995년, 미국 국가안보국(National Security
Agency)이 만든 SHA-1은 메시지 다이제스트(Message Digest)를 기반으로 하며,
160비트 크기의 해시 값을 생성한다. 그리고, HTTPS 환경에서의 통신을 위해 널리 사용되어
왔다.
다만, 유력 글로벌 기업/기관들은 수년 전부터 SHA-1 지원을 중단하기 시작했다. 해시 값의
‘충돌’로 인한 인증서의 무결성 침해 가능성이 지속적으로 제기됐기 때문이다. 이론적으로 해시
알고리즘은 입력된 값에 대해 하나의 고유한 해시 값만을 생성해야 한다. 다른 값이 입력될 경우에는
무조건 다른 해시가 생성되어야 하며, 이는 해시 알고리즘이 파일 혹은 데이터의 무결성을 입증하는 기본
원리다.
해시 값의 충돌은 서로 다른 두 개의 원본 데이터가 하나의 해시 값을 생성함을 의미한다. 두 개의
원본이 동일한 해시 값을 생성하면, 적용된 디지털 인증서의 무결성을 보장할 수 없게 된다. 그리고,
해커들이 원본을 사칭해 공격을 감행할 여지도 생긴다.
이에 SHA-1은 전 세계적으로 지원과 사용이 중단되고 있다. 지난 2016년 6월, 미국
국립표준기술연구소(National Institute of Standards and
Technology: NIST)는 SHA-1 사용 금지와 보안성이 강화된 SHA-2 디지털 인증서
사용을 권장한 바 있다. 또한, 마이크로소프트는 OS에서 SHA-1 인증서에 대한 지원을 중단했다.
다만, 유관 기관과 기업들은 그동안 현실적인 과도 기간을 고려해 SHA-1과 SHA-2 인증서 지원을
병행해왔다.
SHA-2 지원 운영체제로 업그레이드 필요
안랩 역시 안정적인 제품 공급을 위해 SHA-1과 SHA-2 인증서 이중 서명을 진행해왔다. 하지만,
앞서 언급한대로 전 세계 인증서 발행기관의 SHA-1 인증서 발급 중단 및 OS의 지원 중단에 따라
SHA-2만 지원할 방침이다.
오는 11월부터 SHA-2를 지원하지 않는 OS에서는 더 이상 안랩 제품 및 엔진에 대한 업데이트가
불가하며, 정상적인 동작이 어려울 수 있다. 보안 제품의 원활한 사용을 위해서는, 현재 사용중인
OS의 종류와 버전을 확인하여 SHA-2를 지원하는 OS로 업그레이드 후 사용할 것을 권장한다.
다음은 PC와 데스크탑에 대한 마이크로소프트 Windows OS 버전별 SHA-2 지원 여부와
업그레이드 가이드를 정리한 것이다.
[표 1] PC/데스크탑 Windows OS SHA-2
지원 현황
Windows 7 Service Pack 1(SP1)의 경우 마이크로소프트에서 제공하는 KB패키지를
설치하면 SHA-2 지원이 가능하다. 해당 KB패키지로는 ‘KB4490628’과
‘KB4474419’가 있다. Windows 8, 8.1, 10은 별도의 설치나 추가 조치 없이
SHA-2를 지원한다. 그 외 표에 명시된 Windows OS를 사용 중인 경우에는 SHA-2를
지원하는 OS로의 업그레이드가 필요하다.
그리고 아래는 서버에 대한 마이크로소프트 Windows OS 버전별 SHA-2 지원 여부와 조치
사항이다.
[표 2] 서버 Windows OS SHA-2 지원 현황
Windows Server 2008 Service Pack 2(SP2)와 Windows Server
R2 Service Pack 1(SP1)은 KB패키지 설치 시 SHA-2를 지원한다. 각 OS 버전에
유효한 KB패키지는 아래와 같다.
● Windows Server 2008 SP2: KB4493730, KB4474419
● Windows Server 2008 R2 SP1: KB4490628, KB4474419 설치
Windows Server 2012, 2012 R2, 2016, 2019는 별도의 조치 없이 그대로
사용이 가능하다. 그 외 OS는 PC/데스크탑의 경우와 마찬가지로 SHA-2를 지원하는 버전으로
업그레이드 할 것을 권장한다.
Windows와 Windows Server Update Service(WSUS)의 SHA-2 지원에
대한 자세한 내용은 마이크로소프트의 공지를 통해 확인할 수 있다.
▶마이크로소프트 SHA-2 코드 서명 지원 안내 바로가기
[출처 : 안랩(((www.ahnlab.com)]
