[AI리포터]

마이크로소프트의 RC4 폐기는 26년간 지속된 암호화 표준의 역사적 전환을 의미한다. [사진: 셔터스톡]

<이미지를 클릭하시면 크게 보실 수 있습니다>

[디지털투데이 AI리포터] 마이크로소프트(MS)가 윈도에서 26년간 지원해온 암호화 방식 'RC4'를 공식 폐기한다고 발표했다. 오래된 기술을 제거함으로써 윈도 환경의 보안을 근본적으로 강화하려는 의도다.

29일(현지시간) 온라인 매체 기가진에 따르면, RC4는 1987년 암호학자 론 리베스트가 개발한 스트림 암호로, 빠른 처리 속도와 구현 용이성 덕분에 널리 사용됐다. 그러나 현대 암호 기술과 달리 패스워드 보호 기능이 없어 공격자가 관리자 권한을 탈취할 수 있는 치명적인 취약점이 있었다.

실제로 2024년, 미국 의료기관 어센션(Ascension)이 RC4의 취약점을 악용한 케르베로스(Kerberoasting) 공격을 받아 560만 명의 환자 데이터를 유출당하는 사건이 발생했다. 이 공격은 윈도 인증 프로토콜인 케르베로스를 악용해 서비스 계정의 패스워드를 도난하는 방식으로 진행됐다.

미 상원 의원들은 "마이크로소프트가 RC4를 방치한 것은 중대한 보안 과실"이라며 연방거래위원회(FTC)에 조사를 요청했다. 이에 마이크로소프트는 2026년까지 윈도 서버 2008 이후 모든 도메인 컨트롤러에서 RC4를 기본적으로 비활성화하고, 1000배 더 강력한 AES 암호화를 표준으로 적용할 계획이다.

<저작권자 Copyright ⓒ 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지>