[해외보안동향] Google, Mozilla, Microsoft 2016년 초 RC4 지원 종료 예정

Google, Mozilla, Microsoft 2016년 초 RC4 지원 종료 예정

Google, Mozilla, Microsoft to Sever RC4 Support in Early 2016

RC4 암호화 알고리즘의 취약성을 이용한 공격이 점차 증가함에 따라, Google, Mozilla, Microsoft는 2016년 초부터 브라우저의 RC4 지원을 중단하기로 결정했습니다.

Mozilla 관계자는 2016년 1월 26일 파이어폭스 버전 44의 배포를 시작으로 RC4를 필요로 하는 서버에는 브라우저가 더 이상 연결되지 않을 것이라고 밝혔습니다. 

Google 관계자에 따르면 크롬은 1, 2월 중으로 RC만을 지원하는 HTTPS 서버를 종료할 것이며, Microsoft도 마찬가지로 엣지 및 인터넷 익스플로러 11의 RC4를 비활성화 할 예정입니다.

마이크로소프트 역시 마이크로소프트 엣지 및 IE11에서 RC4의 지원을 종료시킬 것이며, 디폴트로 비활성화 할 것이라고 공지하였습니다.

RC4 암호화 알고리즘은 십 수년간 그 취약점에 대한 연구가 진행되어 왔습니다. 평문의 암호화가 제대로 이루어지지 않아 공격자가 조금의 노력만 기울이면 쉽게 이를 탈취할 수 있는 것으로 알려져 있습니다.

여러 연구 결과에 따르면 RC4 취약점으로 TLS 세션 탈취, 쿠키의 복호화가 이루어지는 등 여러 실제 공격에 취약한 것으로 드러났습니다. 하지만 학자들은 공격 범위가 이에 한정되지 않고, 사용자 사칭이나 개인정보 접근도 가능한 것으로 보고 있습니다.

Google, Mozilla, Microsoft 브라우저 3사의 이번 조치도 취약한 RC4를 버리고 보다 안전한 연결을 제공하기 위한 것으로 해석됩니다.

참고 : 

https://threatpost.com/google-mozilla-microsoft-to-sever-rc4-support-in-early-2016/114498