클라우드 인사이트 - SCK Cloud. 블로그

안랩, SHA-2 지원 제품 패치 업데이트 제공  SHA-2 지원 Windows OS로 업그레이드 하세요!

Written by SCK_Cloud Insight | 2020. 10. 8

2020년 8월, 마이크로소프트(Microsoft)는 SHA-1 기반 Windows 업데이트 서비스 엔드 포인트를 중단한다고 밝혔 습니다. 이에 따라 오는 11월부터, 해시 알고리즘 ‘SHA-2’를 지원하지 않는 운영체제(OS)에서는 안랩의 제품과 엔진 업데이트에 대한 정상 동작이 어려울 수 있습니다.

이는 전 세계적으로 SHA-2의 전 세대인 ‘SHA-1’ 인증서 발급과 OS 지원 중단에 따른 조치 때문입니다.
이번 글에서는 SHA-1 지원 중단의 배경과 향후 안랩 제품을 사용하는 고객들이 숙지해야 할 사항에 대해 알아보고자 합니다.

 

SHA-1 사용이 중단된 배경
SHA는 ‘Secure Hash Algorithm’의 약자로 국문으로 옮기면 보안 해시 알고리즘이라 표현됩니다.

해시 알고리즘은 각기 다른 길이의 텍스트를 일정한 길이의 해시 값으로 변환시키는 단방향성 암호화를 수행합니다. 동일한 해시 알고리즘을 지원하는 컴퓨터는 서로 간 데이터나 파일을 보다 용이하게 식별하며, 해당 알고리즘이 적용된 디지털 인증서를 통해 원본의 진본성과 무결성을 검증할 수 있습니다.
해시 알고리즘은 그 종류가 굉장히 다양합니다. 그리고, SHA-1은 과거부터 보편적으로 사용되어 왔던해시 알고리즘 중 하나이기도 합니다. 지난 1995년, 미국 국가안보국(National Security Agency)이 만든 SHA-1은 메시지 다이제스트(Message Digest)를 기반으로 하며, 160비트 크기의 해시값을 생성합니다. 그리고, HTTPS 환경에서의 통신을 위해 널리 사용되어 왔습니다.

다만, 유력 글로벌 기업/기관들은 수년 전부터 SHA-1 지원을 중단하기 시작했습니다. 해시 값의 ‘충
돌’로 인한 인증서의 무결성 침해 가능성이 지속적으로 제기됐기 때문입니다. 이론적으로 해시 알고리즘은 입력된 값에 대해 하나의 고유한 해시 값만을 생성해야 합니다. 다른 값이 입력될 경우에는 무조건 다른 해시가 생성되어야 하며, 이는 해시 알고리즘이 파일 혹은 데이터의 무결성을 입증하는 기본 원리입니다.
해시 값의 충돌은 서로 다른 두 개의 원본 데이터가 하나의 해시 값을 생성함을 의미합니다. 두 개의 원본이 동일한 해시 값을 생성하면, 적용된 디지털 인증서의 무결성을 보장할 수 없게 됩니다.그리고, 해커들이 원본을 사칭해 공격을 감행할 여지도 생깁니다.
이에 SHA-1은 전 세계적으로 지원과 사용이 중단되고 있습니다. 지난 2016년 6월, 미국 국립표준 기술연구소(National Institute of Standards and Technology: NIST)는 SHA-1 사용 금지와 보안성이 강화된 SHA-2 디지털 인증서 사용을 권장한 바 있다. 또한, 마이크로소프트는 OS에서 SHA-1 인증서에 대한 지원을 중단했습니다.
다만, 유관 기관과 기업들은 그동안 현실적인 과도 기간을 고려해 SHA-1과 SHA-2 인증서 지원을 병행해왔습니다.


SHA-2 지원 운영체제로 업그레이드 필요
안랩 역시 안정적인 제품 공급을 위해 SHA-1과 SHA-2 인증서 이중 서명을 진행해왔습니다. 하지만, 앞서 언급한대로 전 세계 인증서 발행기관의 SHA-1 인증서 발급 중단 및 OS의 지원 중단에 따라 SHA-2만 지원할 방침입니다.
오는 11월부터 SHA-2를 지원하지 않는 OS에서는 더 이상 안랩 제품 및 엔진에 대한 업데이트가 불가하며, 정상적인 동작이 어려울 수 있다. 보안 제품의 원활한 사용을 위해서는, 현재 사용 중인 OS의 종류와 버전을 확인하여 SHA-2를 지원하는 OS로 업그레이드 후 사용할 것을 권장합니다.

다음은 PC와 데스크탑에 대한 마이크로소프트 Windows OS 버전별 SHA-2 지원 여부와 업그레이드 가이드를 정리한 것입니다.

 

운영체제  SHA-2 지원 여부  비고
Windows 2000 / XP X  
Windows VISTA / VISTA SP1 X  
Windows VISTA SP2 X  
Windows 7 X  
Windows 7 SP1 X MS의 KB패키지 설치 후 가능
Windows 8 / 8.1 O  
Windows 10 O  

 

 

Windows 7 Service Pack 1(SP1)의 경우 마이크로소프트에서 제공하는 KB패키지를 설치하면 SHA-2 지원이 가능합니다. 해당 KB패키지로는 ‘KB4490628’과 ‘KB4474419’가 있습니다. Windows 8, 8.1, 10은 별도의 설치나 추가 조치 없이 SHA-2를 지원합니다. 그 외 표에 명시된 WindowsOS를 사용 중인 경우에는 SHA-2를 지원하는 OS로의 업그레이드가 필요합니다.
그리고 아래는 서버에 대한 마이크로소프트 Windows OS 버전별 SHA-2 지원 여부와 조치 사항입니다.

운영체제  SHA-2 지원 여부  비고
Windows Server 2000 / 2003 X  
Windows Server 2008 / 2008 SP1 X  
Windows Server 2008 SP2 X MS의 KB패키지 설치 후 가능
Windows Server 2008 R2 X  
Windows Server 2008 R2 SP1 X MS의 KB패키지 설치 후 가능
Windows Server 2012 / 2012 R2 O  
Windows Server 2016 O  
Windows Server 2019 O  

 

Windows Server 2008 Service Pack 2(SP2)와 Windows Server R2 Service Pack 1(SP1) 은 KB패키지 설치 시 SHA-2를 지원합니다. 각 OS 버전에 유효한 KB패키지는 아래와 같습니다.


● Windows Server 2008 SP2: KB4493730, KB4474419
● Windows Server 2008 R2 SP1: KB4490628, KB4474419 설치


Windows Server 2012, 2012 R2, 2016, 2019는 별도의 조치 없이 그대로 사용이 가능합니다.

그 외 OS는 PC/데스크탑의 경우와 마찬가지로 SHA-2를 지원하는 버전으로 업그레이드 할 것을 권장합니다.
Windows와 Windows Server Update Service(WSUS)의 SHA-2 지원에 대한 자세한 내용은 마이크로소프트의 공지를 통해 확인할 수 있습니다.


▶마이크로소프트 SHA-2 코드 서명 지원 안내 바로가기