미국의 한 학교에서 최신 보안 기술을 적용한 크롬OS와 크롬 브라우저의 인터넷이 먹통이 되는 일이 벌어졌다. 구글 측은 신기술을 지원하지 않는 보안장비 제조사를 탓했다.
미국 지디넷은 27일(현지시간) 시만텍 블루코트 기능 문제로 현지 몽고메리카운티 학교에서 쓰는 구글 크롬북 수만대가 오작동했다고 보도했다.
[☞원문: Tens of thousands of Chromebooks fail because of Symantec BlueCoat problem]
보도에 따르면 학교는 크롬북과 크롬 브라우저를 구동하는 PC 12만대를 썼다. 최근 구글이 크롬OS를 56버전으로 업데이트하면서 그중 30%가 로그온할 수 없는 문제를 겪었다. 크롬56 브라우저를 설치한 PC에서도 웹사이트를 이용할 수 없게 됐다.
일단 크롬북과 크롬브라우저 오작동 원인은 학교에서 쓰는 시만텍 블루코트의 '프록시SG'라는 웹게이트웨이 보안장비였다. 이 시스템은 HTTPS 접속으로 불리는 웹사이트의 전송계층보안(TLS) 암호화 통신 내용을 검사한다. 웹을 통해 해로운 콘텐츠가 오가는 것 아닌지 들여다보기 위한 보안장비다.
그런데 프록시SG가 최신 암호화 프로토콜 표준인 TLS 1.3 버전을 지원하지 않아 문제가 됐다.
모질라 파이어폭스, 구글 크롬, 오페라는 HTTPS 접속을 위한 TLS 1.3 암호화 통신을 지원한다. 인터넷익스플로러와 엣지를 개발하는 마이크로소프트, 사파리를 만드는 애플은 TLS 1.3 버전 지원 작업을 진행하고 있다.
구글은 최신 크롬 브라우저에서 TLS 1.3 접속만을 온전히 지원하기로 결정했다. 프록시SG는 TLS 1.3을 지원하지 않는다. TLS 1.3 접속으로 통신이 이뤄질 경우 그걸 기존 TLS 1.2 버전으로 대신 연결하려 한다. 크롬이 기본적으로 이 방식을 지원하지 않기 때문에, 결과적으로 프록시SG가 크롬의 통신을 끊어버린다.
이런 문제를 해결할 방법은 크롬56 브라우저가 강제로 TLS 1.2 버전으로 암호화 통신을 수행하도록 하는 것이다. 브라우저 주소창에 chrome://flags/#ssl-version-max를 입력하고 이어지는 화면에서 '기본(Default)' 값을 'TLS 1.2'로 바꾸면 된다.
다만 이는 자동화할 수 없고 개별 사용자가 직접 브라우저의 설정값을 건드려야 한다. 외신을 통해 보도된 것처럼 TLS 1.3 버전을 지원하지 않는 보안장비를 운영하는 환경에서 수만대 이상의 PC에 크롬 및 크롬OS를 쓰는 조직이나 기업이 적용할만한 방식이 아니다.
구글이 해결책을 내놨다. TLS 1.3 통신을 지원하지 않는 보안장비 동작을 확인할 수 있게 크롬 브라우저와 크롬OS를 수정했다. PC 사용자가 G메일같은 구글 사이트에 접속해 한 번 로그인을 하면 해당 크롬OS 및 크롬56 브라우저 구동 기기가 TLS 1.2 접속인지 아닌지 확인한 뒤 제대로 이를 지원하게 된다.
다만 이 패치된 동작이 배포되려면 일정 시간이 소요된다. 또 크롬 자동 업그레이드를 위해서는 인터넷을 쓰긴 써야 한다. 그러자면 보안장비 TLS 트래픽 가시성 기능을 꺼 둘 필요가 있다.
구글 개발자들은 장비 공급업체인 시만텍 블루코트 쪽에 잘못이 있다고 주장했다. 자신들은 크롬 브라우저의 TLS 1.3 버전 동작의 변경 사항을 몇 달 전에 공지했는데 그 쪽이 자신들의 보안 제품 소프트웨어에 그걸 제대로 테스트하지 않은 것 같다는 이유에서다.
또 하위호환성을 지원하는 TLS 프로토콜 특성상, 변경 동작을 테스트하지 않았더라도 TLS 접속 종료 및 재연결 동작을 제대로 구현했다면 TLS 1.3만 지원하는 크롬 브라우저 업데이트에 따로 대응해야 할 일은 벌어지지 않았을 것이라는 지적도 나왔다.
미국 지디넷은 구글이 크롬56 버전에서 일시적으로 TLS 1.2 버전 통신 환경에 대응할 수 있게 했지만 결국 TLS 1.3 통신을 기본 적용할 것이라고 봤다. 다만 곧 배포될 크롬 57 버전에 막바로 적용하진 않을 듯하고 블루코트같은 보안 장비 제조사들이 이런 문제를 해결한 이후 배포됨직한 크롬58 버전 정도부터 바뀔 듯하다고 덧붙였다.
관련기사
- SHA1 깬 구글 "깃(Git) 시스템도 불안하다"2017.02.28
- 구글, 구형 암호기술 'SHA1' 허점 입증했다2017.02.28
- 같은 듯 다른 한국-미국 정부 SSL 확산정책2017.02.28
- 구글 크롬, HTTPS 미적용땐 경고 메시지2017.02.28
시만텍 측은 "특정 장비에서 TLS 1.3 버전 관련 잠재적 이슈에 제보를 받아 왔다"며 "이 문제를 해결하기 위해 조사하고 대응 중"이라고 답했다.
미국 지디넷은 크롬북은 미국 학교에서 교육용 PC로 인기가 많고, 교육용 네트워크 환경에 TLS 복호화 기능을 쓰는 게 일반적이기 때문에, 앞으로도 비슷한 문제가 계속 발생할 수 있다고 지적했다.
