마이크로소프트(Microsoft)는 2016년 1월경부터 디지털 인증서에 사용되는 SHA-1 해시 알고리즘을 사용할 경우 Phishing 공격이나 MITM (Man-in-the-Middle) 공격으로부터 안전하게 보호할 수 없다고 판단하여 단계적으로 SHA-2로 전환을 진행하고 있었습니다.
2017년 1월 1일부터 주요 웹 브라우저의 경우에는 이미 디지털 서명에서 SHA-2 알고리즘만을 사용하도록 변경이 이루어진 상태이며, Chrome 웹 브라우저 실행 파일(chrome.exe)을 확인해보면 sha256 알고리즘으로 서명된 것을 알 수 있습니다.
이제 마지막 단계로 2020년 2월부터 Windows 운영 체제에서는 더 이상의 SHA-1으로만 코드 서명된 경우 정상적으로 동작하지 않을 수 있으며, 특히 실시간 보호 기능을 제공하는 백신 프로그램이나 드라이버 파일을 정상적으로 이용하기 위해서는 반드시 최신 Windows 업데이트 또는 Windows 8.1, Windows 10 운영 체제를 사용해야 합니다.
예를 들어 Windows 7 운영 체제 환경 중 Windows 업데이트 적용 여부에 따라 특정 소프트웨어의 드라이버 파일(kprocesshacker.sys)의 디지털 서명을 비교해 보도록 하겠습니다.
■ Windows 7 업데이트가 거의 설치되지 않은 취약한 환경
위의 스크린 샷과 같이 kprocesshacker.sys 파일의 디지털 서명을 확인해보면 SHA-1 서명만이 표시되고 있습니다.
■ 최신 Windows 7 업데이트가 설치된 환경
하지만 최신 Windows 7 업데이트가 설치되어 있는 환경에서 동일한 kprocesshacker.sys 드라이버 파일의 디지털 서명을 확인해보면 SHA-1 외에 SHA-2 알고리즘이 포함되어 있는 것을 확인할 수 있습니다.
즉, 위와 같이 Windows 업데이트 여부에 따라 kprocesshacker.sys 드라이버 파일에 포함되어 있는 SHA-2 알고리즘이 표시 여부가 결정되며, 2020년 2월부터는 Windows 운영 체제에서 더 이상 SHA-1 지원을 종료함에 따라 SHA-1 서명만 포함된 드라이버 파일은 동작하지 않을 수 있습니다.
실제로 과거 Windows 업데이트 과정에서 SHA-2 해시 알고리즘 지원 패치로 인하여 기존에 정상적으로 사용하던 백신 프로그램이나 웹 브라우저를 이용한 파일 다운로드 시 오류가 발생한 적이 있었습니다.
그러므로 2020년 1월을 마지막으로 보안 업데이트를 비롯한 모든 지원이 종료된 Windows 7, Windows Server 2008 R2 운영 체제의 경우 조만간 Windows 및 각종 응용 프로그램 사용 과정에서 오류가 발생할 수 있으므로 사전에 Windows 업데이트 기능을 통해 제공하는 중요 업데이트를 반드시 최신 상태로 설치하시기 바랍니다.
만약 최신 Windows 업데이트를 모두 설치할 수 없는 환경인 경우에는 SHA-2 코드 서명을 지원하는 KB4474419 패치만을 다운로드하여 개별 설치하시기 바랍니다.
Microsoft Update 카탈로그 사이트에서 제공하는 KB4474419 패치 파일을 다운로드하여 실행하여 "Windows용 보안 업데이트(KB4474419)" 설치를 진행하시기 바랍니다.
KB4474419 패치 설치는 오랜 시간을 소요하지 않으므로 금새 설치 완료가 이루어집니다.
KB4474419 패치 설치 완료가 이루어진 후에는 반드시 Windows 재부팅을 통해 적용해야 합니다.
Windows 재부팅 이후 kprocesshacker.sys 드라이버 파일의 디지털 서명을 확인해보면 패치 이전에 SHA-1 서명만 표시되던 것이 SHA-2 서명도 함께 표시되는 것을 확인할 수 있습니다.
그러므로 Windows 7, Windows Server 2008, Windows Server 2008 R2 운영 체제 환경에서 Windows 업데이트를 통해 최신 패치가 적용되지 않아서 SHA-2 서명을 지원하지 않을 경우 2020년 2월부터 오류가 발생할 수 있으므로 반드시 Windows 업데이트를 통해 최신 패치 또는 KB4474419 패치를 설치하여 운영에 문제가 없도록 하시기 바랍니다.