사이트 운영을 계속하면서도 자동으로 웹 안전을 40% 이상 개선하는 IE11
Internet Explorer 11은 RC4와 같은 보안에 취약한 암호화 제품군의 사용을 줄이고 기본으로 최신 보안 표준인 TLS 1.2를 사용함으로써 인터넷 연결을 더욱 안전하고 안정적으로 만든 최초의 브라우저입니다. 이렇게 변화된 IE11을 사용하면 소셜 미디어, 은행, 상거래 및 기타 사이트에서 중요한 개인 정보를 안심하고 사용할 수 있습니다. 이러한 발전은 소셜 엔지니어링 공격과 같은 주요 영역에서 IE를 가장 안전한 브라우저로 만들려는 부단한 노력의 결과로 이루어진 것입니다.
취약한 RC4 암호화 제품군의 사용을 줄이는 IE11
IE11은 보안에 취약한 RC4 암호화 제품군의 사용을 줄여 보안 향상을 위한 한 단계 도약을 이루었습니다. RC4는 TLS 서버에서 폭넓게 지원되며 많은 경우 선호되는 스트림 암호화입니다. 하지만 AlFardan 등의 최신 연구는 일부 암호화 데이터 복구에 사용할 수 있는 RC4 주요 스트림이 공격의 대상이 되고 있음을 시사하고 있습니다. RC4에는 다른 약점도 있는데, 이것은 Paul, Mantin, Fluhrer 등에 의해 밝혀졌습니다. 이러한 연구를 바탕으로 RC4는 다양한 암호화 약점을 안고 있고 RC4 공격이 이제 현실이 되었다는 업계 공감이 이루어졌으며, 우리는 다른 브라우저와 업계 전문가들이 우리의 웹 보안 리더십을 따를 수 있도록 TLS 표준에 대한 변경을 제안했습니다.
현재 RC4 암호화 제품군이 널리 사용되고 있음에도 불구하고 새롭게 변경된 IE11은 웹 보안을 향상시키면서도 웹 호환성을 보장합니다. IE11은 초기 TLS/SSL 핸드셰이크 기간 중에는 RC4 기반의 암호화 제품군을 제공하지 않습니다. 이렇게 하여, 대부분의 연결에서 RC4 외 암호화 제품군을 성공적으로 사용할 수 있습니다. 우리는 5백만 개의 인터넷 사이트를 조사하였으며, 사이트 중 96% 이상이 RC4 외 암호화 제품을 조정할 수 있음을 확인했습니다. 주목할 만하게도, 이러한 사이트 중 거의 39%는 RC4를 선호함에도 불구하고 RC4 외 제품을 지원했으며, 이러한 사이트의 경우 IE11은 웹 보안을 대폭 향상시킵니다.
| 사이트 형식 | 개수 | 비율 | IE11 효과 |
| 샘플에 포함된 총 사이트 수 | 5,000,000 | 100% | |
| 현재 RC4 암호화를 사용하는 사이트 수 | 2,127,500 | 42.55% | |
| RC4 외 암호화를 지원하는 사이트 수 | 1,932,500 | 38.65% | IE11이 RC4 외 암호화를 조정함으로써 사이트의 보안 향상 |
| RC4 암호화와만 적용되는 사이트 수 | 195,000 | 3.90% | IE11이 다시 RC4 암호화로 돌아감으로써 이러한 사이트에 접속할 수 있게 함 |
| 현재 RC4 암호화를 사용하지 않는 사이트 수 | 2,872,500 | 57.45% | IE11이 이러한 사이트에 RC4 외 암호화를 지속적으로 조정 |
5백만 개의 인터넷 사이트를 조사한 결과 IE11이 호환성에 영향을 주지 않고 사이트 39%의 보안을 자동으로 향상
드문 경우지만 브라우저가 RC4 외 암호화 제품군을 서버에 맞게 조정할 수 없을 때 IE11이 RC4를 사용하는 TLS 1.0 또는 SSL 3.0으로 돌아가 필요한 사이트에 접속할 수 있도록 합니다. Microsoft는 이러한 여러 사이트와의 협력을 통해 RC4 외 암호화 제품군에 대한 지원을 제공하고자 적극적으로 노력하고 있습니다.
기본으로 TLS 1.2 활성화
IE11은 IE8에서 TLS 1.2를 선택적으로 설정하여 구현한 최초의 브라우저로서 확보한 IE 리더십을 바탕으로 TLS 버전 1.2를 기본으로 지원하여 웹 보안을 더욱 향상시킵니다. 또한 업계를 선도하는 보안 표준을 사용하여 Outlook.com, Facebook 등의 사이트에 접속할 수 있어 사용자의 개인 정보를 안전하게 보호합니다. TLS 1.2는 더 고급화된 암호화 제품군을 지원하여 보안을 향상시킵니다. TLS 1.0과 TLS 1.1 암호화를 대상으로 삼는 대부분의 실제 공격은 TLS 1.2 암호화는 대상으로 하지 않습니다. 예를 들어, TLS 1.2는 BEAST 공격을 받지 않습니다.
IE11을 사용하면 TLS 1.2에서 향상된 보안을 활용하면서도 RC4 암호화로 제공되는 것과 같은 효과를 얻을 수 있습니다. TLS 1.2는 강력한 보안과 높은 성능을 보이는 새로운 암호화 제품군을 제공합니다. 예를 들어, AES-GCM 암호화 제품군은 TLS 1.2에서만 지원되고 RC4 암호화와 같은 성능을 냅니다. AES-GCM으로 TLS 1.2를 사용하는 사이트는 추가적인 서버 로드를 일으키지 않으면서도 강력한 보안을 제공할 수 있습니다.
IE11에서 바로 TLS 1.2를 활성화하면 웹 서버의 보안 수준이 자동으로 약 16%나 향상되며 더 많은 서버와 브라우저가 TLS 1.2를 지원하기 시작하고 선호하게 됨에 따라 이 수치는 더 늘어나게 됩니다. Windows Server는 Windows Server 2008 R2부터 TLS 1.2를 지원하고 있으며, 우리는 여러 서버에 IIS에서 TLS 1.2를 지원하는 간단한 구성 변경을 실행할 것을 권하고 있습니다. Apache와 같은 서버도 TLS 1.2를 지원하고 있으며 업계의 발전에 따라 다른 웹 서버들도 앞으로 TLS 1.2를 지원할 것입니다. 이러한 변화는 TLS를 가장 높은 상호 지원 버전으로 하향 조정하기 때문에 기존 서버의 호환성에는 영향을 주지 않습니다. IE11은 기본으로 TLS 1.2, TLS 1.1, TLS 1.0, SSL 3.0을 지원합니다.
결론
IE11은 취약한 RC4 기반 암호화 제품군을 사용하지 않는 쪽으로 채택함으로써 39%에 달하는 웹 사이트의 보안을 향상시키고 TLS의 가장 안전한 버전인 TLS 1.2를 보완함으로써 16%의 웹 사이트에서 보안을 향상시킵니다.
IE11을 사용하여 최신 업계 표준의 더욱 안전한 브라우징을 경험해 보시기 바랍니다. Connect를 통해 피드백을 보내 주시면 업계 발전에도 도움이 되고 브라우저를 지속적으로 발전시키는 데 도움이 될 것입니다.
- Windows 및 Internet Explorer 프로그램 관리자,
Hasnat Naveed, Ritika Kapadia