NSA, 오래된 TLS 프로토콜 교체 권장해

 

 

NSA urges system administrators to replace obsolete TLS protocols

 

미 NSA가 보안 권고[PDF]를 발행해 연방 기관을 포함한 기관의 시스템 관리자들에게 오래된 TLS 프로토콜의 사용을 멈출 것을 권장했습니다.

 

“NSA는 TLS 1.2 또는 TLS 1.3만 사용하고 SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1은 사용하지 말 것을 권장합니다.”

 

“오래된 암호화 알고리즘을 사용할 경우 민감한 데이터가 보호되는 것처럼 보이지만, 실제로는 보호되는 상태가 아니기 때문에 잘못된 보안 감각을 가지게 될 수 있습니다.”

 

NSA는 TLS 1.2와 TLS 1.3이 배포되었을 경우라도 이 두 프로토콜을 취약한 암호화 파라미터와 암호 스위트로 구성해서는 안된다고 경고합니다.

 

“TLS 1.2의 특히 취약한 암호화 알고리즘은 NULL, RC2, RC4, DES, IDEA, TDES/3DES로, 이 알고리즘을 사용하는 암호화 스위트를 사용해서는 안됩니다.”

 

“TLS 1.3은 이 암호화 스위트를 제거하지만, TLS 1.3 및 1.2를 모두 지원하는 암호화 스위트일 경우 구버전인지 확인해 보아야 합니다.”

 

NSA는 내부 네트워크에서 오래된 TLS 프로토콜 구성을 여전히 사용하는 시스템을 찾아야 하는 시스템 관리자들이 사용할 수 있도록 GitHub 프로필에 툴 목록을 공개했습니다.

 

네덜란드 또한 유사한 경고 발행해

 

지난 1월 5일 공개된 이 NSA 권고는 네덜란드의 국립 사이버 보안 센터(NCSC)에도 영향을 미쳤습니다.

 

NCSC는 유사한 경고문을 통해 네덜란드의 정부 기관 및 민간 기업에 TLS 1.3으로 전환할 것을 권장했습니다.

 

이 두 경고는 2020년 중반 주요 웹브라우저에서 보안상 이유로 TLS 1.0과 TLS 1.1의 지원을 중단한 이후로 발행되었습니다.

 

2020년 3월, 보안 회사인 Netcraft는 웹사이트 850,000곳 이상에서 HTTPS 트래픽 암호화를 위해 여전히 TLS 1.0 및 TLS 1.1을 사용하고 있다고 보도했습니다.

 

NSA는 권고를 통해 TLS 프로토콜에 대한 새로운 공격은 항상 발견되고 있으며, 조직에서는 최신 TLS 프로토콜 버전을 사용하여 항상 공격자보다 앞서 중요한 정보를 보호해야 한다고 경고했습니다.

 

 

 

 

 

출처:

https://www.zdnet.com/article/nsa-urges-system-administrators-to-replace-obsolete-tls-protocols/

https://media.defense.gov/2021/Jan/05/2002560140/-1/-1/0/ELIMINATING_OBSOLETE_TLS_UOO197443-20.PDF

https://github.com/nsacyber/Mitigating-Obsolete-TLS

https://english.ncsc.nl/latest/news/2021/january/19/it-security-guidelines-for-transport-layer-security-2.1

https://english.ncsc.nl/binaries/ncsc-en/documents/publications/2021/january/19/it-security-guidelines-for-transport-layer-security-2.1/IT+Security+Guidelines+for+Transport+Layer+Security+v2.1.pdf