크롬에만 은행사이트가 위험하다 뜨는 이유

구글 크롬 웹브라우저는 주소창 왼쪽에 자물쇠 모양의 아이콘이 표시된다. 이 표시는 크롬과 해당 웹사이트 간에 안전하게 연결됐는지를 알려준다. 보통 녹색 자물쇠가 표시되면 기본적으로 안전하다는 인증을 받은 것이나 마찬가지다.

그러나 최근 HSBC, 체이스와 같은 글로벌 은행 웹사이트에 접속하면 녹색 자물쇠 대신 회색 자물쇠에 노란색 세모꼴이 표시된 모습을 볼 수 있다. 이 말은 해당 사이트 보안수준인 중간 정도라는 것이다. 구글측 설명에 따르면 "사이트에서 SSL을 사용하지만 크롬이 이 페이지에서 안전하지 않은 콘텐츠를 발견했다"고 판단할 때 이런 아이콘을 표시한다. 국내 대부분 은행 웹사이트에서도 같은 아이콘을 확인할 수 있었다.

흥미로운 것은 이들 사이트를 크롬 외에 인터넷익스플로러(IE)나 파이어폭스, 사파리로 로그인하면 안전하다는 자물쇠가 표시된다는 것이다.

크롬은 왜 이 사이트들이 안전하지 않다고 말하는 것일까. 이유는 크게 두 가지로 요약된다. 오래된 보안설정을 사용했거나 오래된 암호화 기술을 사용해 암호화됐기 때문이다. 실제로 크롬에서 세모꼴로 표시된 자물쇠를 누르면 관련 내용을 직접 확인할 수 있다.

오래된 보안 설정의 경우 웹사이트 자체적으로 주기적인 점검이 필요한 부분이다. 이 보다도 의미있게 봐야하는 대목은 SHA-1이라는 암호화 알고리즘(해시함수)이다. 젬알토에 인수된 세이프넷 박종필 이사에 따르면 사용자가 웹브라우저를 통해 특정 웹사이트에 접속할 때 해당 서버가 안전한지 여부를 확인하기 위해 '메시지 인증(Message Authetication Code, MAC)'이라는 기술이 활용된다. 여기에는 다시 'SHA-1'이라는 암호화 알고리즘이 쓰인다.

국내외 은행 사이트를 확인해 본 결과 대부분 SHA-1을 활용해 암호화를 수행했다. 그러나 1995년 미국 국가안보국(NSA)이 개발해 현재까지 쓰이고 있는 SHA-1은 더이상 안전한 암호화 기술로 평가받고 있지 않다. 이후 미국국립표준기술연구소(NIST)는 2010년부터 해당 기술보다 안전한 SHA-2, SHA-3를 사용토록 권고했다. 이러한 방침에 따라 마이크로소프트, 구글, 모질라 등 주요 웹브라우저 개발사는 2017년부터 SHA-1을 사용한 인증을 수용하지 않는다는 계획이다.(관련링크)

SHA-1은 메시지를 160비트짜리 해시값으로 만든다. 이보다 안전하다고 알려진 SHA-2의 경우 256비트, 512비트 해시값을 만들어낸다. 벌써 개발, 보급된지 20년이 지난 SHA-1은 컴퓨팅 성능이 갈수록 높아지면서 암호를 풀어내는데 드는 시간과 비용이 대폭 줄어들었다.(관련링크)

미국 지디넷에 따르면 암호전문가 제시워커는 SHA-1 인증체계를 무너뜨리는데 드는 비용이 2012년 200만달러에서, 2015년에는 70만달러, 2018년에는 17만3천달러로 줄어들며, 2021년에는 4만3천달러면 충분하다고 전망했다.

더 큰 문제는 현재 전 세계 웹사이트 중 90% 이상이 여전히 SHA-1을 활용하고 있다는 점이다.(관련링크) 이와 관련 암호화통신(SSL) 기술 기반 스타트업인 서트심플(CertSimple)의 공동창업자인 마이크 맥카나는 "시간이 갈수록 해시 알고리즘에서 새로운 취약점들이 밝혀지고 있고, 더 빨라진 하드웨어가 이러한 취약점들을 활용한 공격을 더 쉽게 만들고 있다"고 지적했다.