사용자 삽입 이미지
마이크로소프트 인터넷익스플로러의 액티브X(Active-X), 구글 크롬의 NPAPI(넷츠케이프 플러그인 API)의 이슈가 채 끝나기 전에 인터넷뱅킹에 또 다시 시련이 닥칠 것으로 예상된다. 이 문제를 6개월 안에 해결하지 못하면 또 다시 소비자들이 불편을 겪게된다.


마이크로소프트(MS)는 내년 6월부터 SHA-1을 지원하지 않겠다고 최근 발표했다. 이는 당초 2017년 1월로 예정됐던 SHA1 폐기 시점을 6개월 더 앞당긴 것이다. 이는 암호해독 국제 전문가팀이 지난달 8일 SHA1의 폐기 시기를 현재의 계획보다도 앞당길 필요가 있다고 권고한 것에 기인한다.

모질라 역시 내년 7월부터 SHA-1을 지원하지 않을 계획이며, 구글도 내년 1월부터 SHA-1을 쓰는 웹사이트에 접근할 경우 ‘안전하지 않은 웹사이트’라는 경고 문구를 노출할 예정이다.

관련 포스트
구글 :https://googleonlinesecurity.blogspot.kr/2014/09/gradually-sunsetting-sha-1.html

MS : http://blogs.windows.com/msedgedev/2015/11/04/sha-1-deprecation-update/

모질라 : https://blog.mozilla.org/security/2015/10/20/continuing-to-phase-out-sha-1-certificates/


설명에 앞서 SHA-1이 무엇인지 알아보자. 우선 SHA는 ‘Secure Hash Algorithm’이라고 불리는 함수다.  미국 국가안보국(NSA)이 1993년에 처음으로 설계했으며 미국 표준이기도 하다. 해시 알고리즘의 일종이며 SHA에서 변형된 SHA-1 함수가 현재의 TLS, SSL, SSH 등과 같은 보안 프로토콜 암호화에 사용되고 있다.
사용자 삽입 이미지

해시 알고리즘은 원본 데이터를 특정 법칙에 따라 데이터를 짧게 변형시키게 된다. 해시된 데이터는 역산하기가 매우 어렵다. 흔히 쓰이는 SSL/TSL 방식을 예로 들어보면 서버 인증서의 서명키와 개인키를 각각 암호화(해시값은 같다)하고, 통신할때마다 이를 맞춰보는 형태로 쓸 수 있다.

그런데 문제는 SHA-1 인증서 서명키와 개인키의 해시값이 동일하다는데 있다. 인증서 서명키와 개인키를 입수한 경우 원본 데이터를 모르더라도 인증서 서명키의 해시값을 위조해 개인키의 원본 데이터를 훔쳐낼 수 있다. 이를 악용한 공격을 ‘충돌공격(collision attack)’이라고 부른다.

이같은 이유로 암호전문가들은 SHA-1을 서서히 걷어내야 한다고 지적한다. 암호전문가인 브루스 슈나이어는 최근 12만달러면 특정 웹서비스의 SHA-1 체계를 무너뜨리는 충돌공격이 가능하다고 말했다. 도구는 아마존웹서비스를 비롯해 여러가지가 될 수 있을 것이다.

현재 국내 인터넷뱅킹 업체들은 서버 EV SSL 인증서 알고리즘으로 SHA-1을 쓰고 있다. 보안성도 떨어질 뿐더러 당장 내년 하반기부터는 접속이 불가능해진다.
사용자 삽입 이미지

따라서 은행들은 적어도 SHA-2로 업그레이드를 진행해야 한다. 가령 우리은행에서는 시만텍의 인증서를 사용하고 있는데, 이미 시만텍은 SHA-1 고객들에게 SHA-2 마이그레이션을 권고하고 있다.

관련 포스트
SSL 및 Code Signing 인증서를 위한 SHA-1 해시 알고리즘 마이그레이션 

인터넷뱅킹의 위기가 윈도10 엣지 브라우저와 크롬 NPAPI에 그칠 수 있길 기원한다.
2015/11/13 06:00 2015/11/13 06:00
사용자 삽입 이미지

구글 크롬 사용자들은 오는 9월부터 인터넷뱅킹을 쓸 수 없게 된다. 구글이 크롬45버전(현재는 44버전)부터 ‘넷츠케이프 플러그인 API(NPAPI)’ 등을 지원하지 않겠다고 발표했기 때문이다. 크롬45버전은 9월 중 업데이트가 예정돼 있다.

국내 은행들은 인터넷뱅킹을 구현하기 위해 플러그인을 사용해왔다. 인터넷익스플로러에서는 여러분들도 잘 아는 ‘액티브X(Active-X)’를, 크롬이나 파이어폭스 등 비(非) IE 계열 웹브라우저에서는 NPAPI를 사용해 보안프로그램들을 구동시킨다. 개인방화벽, 백신과 같은 보안솔루션은 순수 웹으로 구현될 수 없기 때문에 반드시 실행파일의 형태로 로컬(사용자PC)에 설치돼야 한다.
사용자 삽입 이미지

지난달 출시된 윈도10의 웹브라우더 ‘엣지(EDGE)’에서 인터넷뱅킹이 안되는 이유가 ‘액티브X’가 지원되지 않기 때문이라고 설명하면 이해가 빠를 것이다. 크롬에서도 마찬가지다. NPAPI가 차단되면 인터넷뱅킹에 필요한 보안프로그램 구동이 불가능해지기 때문에 사용할 수 없다. 따라서 NPAPI가 차단되면 현행 오픈뱅킹 시스템의 변화도 불가피하다.
사용자 삽입 이미지

금융회사와 보안업계에서는 전자금융서비스 사용자 불편을 최소화하기 위해 통합설치 솔루션을 제공하고 있으나 이 솔루션 역시 NPAPI를 기반으로 동작한다.

현재 상황에서 NPAPI가 차단되면 우선 인터넷뱅킹에 로그인조차 할 수 없다. 공인인증모듈 자체가 호출되지 않기 때문이다. 현재 크롬 44버전에서는 통합 보안프로그램 설치프로그램 베라포트(Veraport)의 지원이 종료된다고 나온다.

보다 자세한 내용은 구글이 만든 동영상을 보자(하단)

◆NPAPI 차단에 대한 불만

개발자 커뮤니티에서는 구글이 NPAPI를 차단하는 이유가 자기들의 기술인 페퍼API(PPAPI)나 NaCl을 확산시키기 위한 것이란 지적도 나오고 있다. NPAPI가 오래돼 보안상 문제가 많은 기술인 것은 사실이나 웹브라우저 정책으로 이를 충분히 커버할 수 있다는 주장이다. 일리는 있다. 모질라는 NPAPI를 현재까진 지원하고 있으나, 권한을 제한하고 있다.

하지만 NPAPI를 종료하는 것만 따로 본다면 대부분의 웹브라우저 개발사들이 동조하고 있기 때문에 굳이 구글을 탓할 수는 없는 일이다. 게다가 구글은 NPAPI 대신 자신들의 PPAPI나 NaCl을 쓰라고 강요하진 않고 있다. (그래서 우리나라에서 나온 대안이란게...)

◆그래서 대안은?

NPAPI 차단에 대한 대안은 있다. 하지만 그 대안이 현재까지는 범용프로그램(exe)을 설치하거나 크롬 업데이트를 강제로 막는 것에 한정된다는 것은 아쉽다.

위즈베라, 소프트포럼, 예티소프트, 이니텍 등 금융보안프로그램 개발사들은 카드사에 공급한 exe형태의 보안프로그램을 제1금융권에 제시하고 있다. 웹브라우저에서 플러그인을 사용할 수 없으니 로컬에 보안프로그램을 설치해 상주시켜두고, 특정 웹사이트(인터넷뱅킹 등)에 접근하면 해당 보안프로그램이 호출되는 형태다. 이는 개인용 백신처럼 프로세스에 상주해 있다가 인터넷뱅킹을 사용할 때 실행이 되는 방식이다.

추천하진 않지만 크롬 업데이트 차단으로 인터넷뱅킹을 지속해서 쓸 수 있다. 물론 이렇게 쓰는 것은 보안에 큰 구멍이 생길 수 있음을 인지하자.

크롬 업데이트를 강제로 막는 방법은 ‘시작-실행-작업 스케줄러’에서 ‘GoogleUpdateTaskMachineCore’와 ‘GoogleUpdateTaskMachineUA’를 비활성화시키고, 시작프로그램(시작-실행-cmd-msconfig-시작프로그램)에서 ‘google update’를 언체크하면 된다.

한편 현재 크롬44에서 NPAPI를 강제로 활성화시키는 방법은 크롬 주소창에  ‘chrome://flags/#enable-npapi'를 입력한 뒤 ‘사용’을 클릭하면 된다.
2015/08/31 14:00 2015/08/31 14:00