4년 동안 준비된 TLS 1.3...원래 올해부터 적극 도입되어야 하는데 코로나 때문에
[보안뉴스 문가용 기자] 구글, 마이크로소프트, 모질라가 TLS 1.0과 1.1을 크롬, 에지, 인터넷 익스플로러, 파이어폭스에서 비활성화시키겠다는 애초의 계획을 일제히 뒤로 미루고 있다. TLS 1.0은 20년도 넘은 오래된 프로토콜이며 1.1도 그리 크게 다르지 않은 버전이다. 모두 공개된 취약점을 보유하고 있으며, 이를 보완한 TLS 1.2조차도 10년이 넘은 프로토콜이다.
[이미지 = iclickart]
그러다가 2018년 TLS 1.3이 등장해 승인을 받았다. 초안 작성과 꾸준한 개정을 4년 동안 진행한 결과였다. TLS 이전 버전들에 비해 속도나 안정성 면에서 월등히 앞서 있는 것으로 알려져 있으며, 실제 많은 기술 기업들이 TLS 1.3의 도입을 독려하고 있는 상황이다.
급기야 2018년 10월 주요 브라우저 개발사들은 2020년 3월부터 TLS 1.0과 1.1 프로토콜에 대한 지원을 중단하겠다고 발표했었다. 하지만 예상치 못한 코로나 사태로 인해 이 일정이 전부 뒤로 미뤄졌다. 마이크로소프트의 경우는 TLS 1.0과 1.1 지원을 종료하기 위한 작업을 진행 중에 있지만 실제 브라우저에 적용되는 건 한참 뒤가 될 예정이라고 발표했다.
TLS 1.0과 1.1의 지원이 종료되는 건 마이크로소프트 에지 브라우저 84 버전부터가 될 예정인데, 현재 MS의 스케줄에 따르면 버전 84가 등장하는 건 2020년 7월부터라고 한다. 하지만 이 역시 코로나 사태가 지속된다면 연기될 수 있다. MS의 또 다른 브라우저인 인터넷 익스플로러의 경우 11버전부터 TLS 1.0과 TLS 1.1 버전에 대한 지원이 중단될 계획이다. 날짜는 올해 9월 8일이다.
구글은 어떨까? 크롬 83부터 TLS 1.0과 1.1 버전의 지원을 중단시킬 것이라고 한다. 원래대로라면 5월 중순에 출시될 예정인데, 이미 82버전의 출시일을 코로나 때문에 연기한 상황이라 어떻게 될지 모른다.
모질라는 이미 파이어폭스 74부터 TLS 1.0과 1.1에 대한 지원 기능을 비활성화시켰다. 하지만 갑작스레 이를 취소했다. 즉 다시 TLS 1.0과 1.1을 지원하기 시작한 건데, 언제 이 조치를 되돌릴지 발표하지 않고 있다. “코로나 19 정보를 공유하는 것을 조금이라도 더 원활하게 하기 위해 TLS 1.0과 1.1에 대한 지원 기능을 복구시켰습니다.” 모질라의 발표 내용이다.
그래서 결과적으로 TLS 1.0과 1.1은, 원래는 슬슬 사용 비율이 줄어들기 시작해야 하는데, 여전히 활발히 사용되고 있는 상황이다. 하지만 웹사이트 운영자들이라면 TLS 1.2와 1.3으로 서서히 옮겨가는 것이 좋다.
마이크로소프트는 “현재 상황이 워낙 예외적이라 오래된 프로토콜까지 전부 사용하도록 해두었지만 이는 예외적인 경우이며, 상황이 해제되면 보다 새로운 TLS 버전으로 이전하는 작업이 빠르게 재시작될 것”이라며 “지금 여유가 있는 관리자들은 TLS 1.3을 서서히 도입할 준비를 하는 것이 도움이 될 것”이라고 권고했다.
모질라의 업데이트 노트는 여기(https://www.mozilla.org/en-US/firefox/74.0/releasenotes/)서, MS의 발표문은 여기(https://blogs.windows.com/msedgedev/2020/03/31/tls-1-0-tls-1-1-schedule-update-edge-ie11/)서, 구글의 입장은 여기(https://www.chromestatus.com/feature/5759116003770368)서 열람이 가능하다.
3줄 요약
1. MS : 코로나 때문에 에지와 IE의 TLS 업그레이드 계획 연기함.
2. 구글 : 코로나 때문에 크롬의 TLS 업그레이드 계획 연기함.
3. 모질라 : 코로나 때문에 파이어폭스의 TLS 업그레이드 했던 것 취소함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>