보안 권고

Microsoft 보안 권고 2501584

Microsoft Office용 Microsoft Office 파일 유효성 검사 릴리스

게시 날짜: 2011년 4월 12일 | 업데이트: 2011년 6월 30일

버전: 2.0

일반 정보

요약

Microsoft는 지원되는 Microsoft Office 2003 및 Microsoft Office 2007 버전에 대한 Office 파일 유효성 검사 기능의 가용성을 발표합니다. 이전에 지원되는 Microsoft Office 2010 버전에서만 사용할 수 있었던 이 기능은 고객이 열기 전에 파일을 검사하고 유효성을 검사하여 알 수 없거나 알려진 원본에서 수신한 원치 않는 Office 파일과 같이 잘못된 형식의 데이터가 포함될 수 있는 Office 파일로부터 쉽게 보호할 수 있도록 설계되었습니다.

이 권고에 설명된 Office 파일 유효성 검사 기능은 Microsoft Excel 2003, Microsoft PowerPoint 2003, Microsoft Word 2003, Microsoft Publisher 2003, Microsoft Excel 2007, Microsoft PowerPoint 2007, Microsoft Word 2007 또는 Microsoft Publisher 2007을 사용하여 Office 파일을 열 때 적용됩니다.

Office 파일 유효성 검사는 파일 형식 공격이라고 하는 종류의 악용을 감지하고 방지하는 데 도움이 됩니다. 파일 형식 공격은 파일의 무결성을 악용하고 악성 코드를 추가하려는 의도로 파일의 구조를 수정할 때 발생합니다. 일반적으로 악성 코드는 원격으로 실행되며 컴퓨터에서 제한된 계정의 권한을 상승시키는 데 사용됩니다. 결과적으로 공격자는 이전에 액세스할 수 없었던 컴퓨터에 액세스할 수 있습니다. 이렇게 하면 공격자가 컴퓨터의 하드 디스크 드라이브에서 중요한 정보를 읽거나 웜 또는 키 로깅 프로그램과 같은 맬웨어를 설치할 수 있습니다. Office 파일 유효성 검사 기능은 파일을 열기 전에 검사하고 유효성을 검사하여 파일 형식 공격을 방지하는 데 도움이 됩니다. 파일의 유효성을 검사하기 위해 Office 파일 유효성 검사는 파일의 구조를 미리 정의된 파일 스키마와 비교합니다. 이 스키마는 읽을 수 있는 파일의 모양을 정의하는 규칙 집합입니다. Office 파일 유효성 검사에서 파일의 구조가 스키마에 설명된 모든 규칙을 따르지 않는 경우 파일은 유효성 검사를 통과하지 못합니다.

파일 형식 공격은 Office 이진 파일 형식으로 저장된 파일에서 가장 자주 발생합니다. 이러한 이유로 Office 파일 유효성 검사는 다음 종류의 파일을 검사하고 유효성을 검사합니다.

• Excel 2.0, Excel 3.0, Excel 4.0, Excel 5.0, Excel 97-2003 통합 문서 파일. 이러한 형식의 파일은 .xls 확장명이 있으며 모든 BIFF2(이진 교환 파일 형식 2), BIFF3, BIFF4 및 BIFF8 파일을 포함합니다.
• Excel 2.0, Excel 3.0, Excel 4.0, Excel 5.0, Excel 97-2003 서식 파일. 이러한 형식의 파일은 .xlt 확장명이 있으며 BIFF2, BIFF3, BIFF4 및 BIFF8 파일을 포함합니다.
• PowerPoint 97-2003 프레젠테이션 파일 이러한 파일에는 .ppt 확장명이 있습니다.
• PowerPoint 97-2003 파일 표시 이러한 파일에는 .pps 확장명이 있습니다.
• PowerPoint 97-2003 템플릿 파일. 이러한 파일에는 .pot 확장명이 있습니다.
• Word 6.0, Word 7.0 및 Word 97-2003 문서 파일 이러한 파일에는 .doc 확장명이 있습니다.
• Word 6.0, Word 7.0 및 Word 97-2003 서식 파일 이러한 파일에는 .dot 확장명이 있습니다.

기본적으로 유효성 검사에 실패한 파일은 다음 경고 메시지를 생성합니다.

Office File Validation detected a problem trying to open the file. 열면 위험할 수 있습니다.

유효성 검사에 실패한 파일은 열리지 않습니다. 그러나 기본적으로 사용자에게 파일을 열 수 있는 선택 항목이 제공됩니다. 파일이 악의적일 수 있으므로 유효성 검사에 실패한 파일을 열지 않는 것이 좋습니다.

권고 세부 정보

관련 소프트웨어

이 권고에서는 다음 소프트웨어에 대해 설명합니다.

질문과 대답

이 권고가 2011년 6월 30일 개정된 이유는 무엇인가요?
Microsoft는 2011년 6월 28일부터 Microsoft 기술 자료 문서 2501584 설명한 Office 파일 유효성 검사 추가 기능을 Microsoft 업데이트 서비스를 통해 사용할 수 있음을 알리기 위해 이 권고를 수정했습니다.

고객은 Microsoft 업데이트의 업데이트를 위해 온라인으로 검사 또는 Microsoft 업데이트 서비스를 사용하여 Office 파일 유효성 검사 추가 기능을 설치할 수 있습니다. Office 파일 유효성 검사 추가 기능을 이미 설치한 고객에게는 추가 기능이 제공되지 않으며 추가 작업을 수행할 필요가 없습니다.

권고의 범위는 무엇입니까?
Microsoft Office 2003 및 Microsoft Office 2007용 Microsoft Office 파일 유효성 검사 기능의 용도에 대한 가용성 및 세부 정보를 자세히 알려면

Microsoft Office 파일 유효성 검사 기능에 알려진 문제가 있나요?
Microsoft 기술 자료 문서 2501584 Office 파일 유효성 검사 기능을 활용할 때 고객이 경험할 수 있는 현재 알려진 문제를 설명합니다.

Office 파일 유효성 검사는 어떻게 보호하나요?
Office 파일 유효성 검사는 파일 형식 공격이라고 하는 종류의 악용을 감지하고 방지하는 데 도움이 됩니다. 파일 형식 공격은 파일의 무결성을 악용하고 악성 코드를 추가하려는 의도로 파일의 구조를 수정할 때 발생합니다. 일반적으로 악성 코드는 원격으로 실행되며 컴퓨터에서 제한된 계정의 권한을 상승시키는 데 사용됩니다. 결과적으로 공격자는 이전에 액세스할 수 없었던 컴퓨터에 액세스할 수 있습니다. 이렇게 하면 공격자가 컴퓨터의 하드 디스크 드라이브에서 중요한 정보를 읽거나 웜 또는 키 로깅 프로그램과 같은 맬웨어를 설치할 수 있습니다. Office 파일 유효성 검사 기능은 파일을 열기 전에 검사하고 유효성을 검사하여 파일 형식 공격을 방지하는 데 도움이 됩니다. 파일의 유효성을 검사하기 위해 Office 파일 유효성 검사는 파일의 구조를 미리 정의된 파일 스키마와 비교합니다. 이 스키마는 읽을 수 있는 파일의 모양을 정의하는 규칙 집합입니다. Office 파일 유효성 검사에서 파일의 구조가 스키마에 설명된 모든 규칙을 따르지 않는 경우 파일은 유효성 검사를 통과하지 못합니다.

유효성 검사에 실패한 파일은 자동으로 열리지 않습니다. 대신 사용자는 파일을 열기 위해 파일을 여는 것이 위험할 수 있음을 나타내는 경고를 클릭해야 합니다.

2011년 4월 12일에 릴리스된 보안 업데이트는 Office 파일 유효성 검사 기능과 어떻게 관련되나요?
MS11-021, MS11-022 및 MS11-023에서 지원되는 Microsoft Excel, Microsoft PowerPoint 및 Microsoft Office의 지원되는 2003 및 2007 버전에 대해 릴리스된 보안 업데이트는 Office 파일 유효성 검사 기능을 사용하도록 설정하기 위한 필수 구성 요소입니다.

Microsoft Word 및 Microsoft Publisher용으로 2011년 4월 12일에 릴리스된 보안 업데이트는 없었습니다. Microsoft Word 및 Microsoft Publisher에 대한 업데이트는 어디에 있나요?
Microsoft Word 2003, Microsoft Word 2007, Microsoft Publisher 2003 및 Microsoft Publisher 2007에서 Office 파일 유효성 검사를 지원하기 위한 업데이트는 별도의 다운로드로 사용할 수 있으며 Office 파일 유효성 검사 기능을 사용하도록 설정하기 위한 필수 구성 요소입니다. 다운로드 링크는 TechNet 문서, Office 2003 및 Office 2007용 Office 파일 유효성 검사를 참조하세요.

Office 파일 유효성 검사 추가 기능이란?
Office 파일 유효성 검사 추가 기능은 Office 파일 유효성 검사 기능에 대한 프레임워크 및 정의 파일을 제공합니다. Office 파일 유효성 검사 기능은 Microsoft Office에 대한 모든 필수 구성 요소 업데이트 및 해당 Office 앱 추가 기능 외에 Office 파일 유효성 검사 추가 기능이 설치될 때 특정 Office 앱 설명에 대해 작동합니다.

Office 파일 유효성 검사 추가 기능 및 필수 구성 요소 업데이트를 설치하는 방법
Office 파일 유효성 검사 추가 기능 및 필수 구성 요소 업데이트를 수동으로 설치하는 방법에 대한 자세한 내용은 TechNet 문서, Office 2003 및 Office 2007용 Office 파일 유효성 검사를 참조하세요.

2011년 6월 28일부터 Microsoft 업데이트에서 업데이트를 위해 온라인으로 검사 또는 Microsoft 업데이트 서비스를 사용하여 Office 파일 유효성 검사 추가 기능을 설치할 수도 있습니다.

Microsoft Office XP에서 이 새로운 기능을 사용할 수 있나요?
아니요. Office 파일 유효성 검사를 제대로 지원하는 아키텍처는 Microsoft Office XP에 없으므로 Microsoft Office XP 제품에 대한 기능을 빌드할 수 없습니다. 이렇게 하려면 상당한 양의 Microsoft Office XP를 다시 설계해야 합니다. 이러한 노력의 산물은 이러한 Microsoft Office 제품이 업데이트된 시스템에서 설계된 대로 계속 작동할 것이라는 보장이 없는 다른 응용 프로그램과의 비호환성을 충분히 도입할 수 있습니다.

이 권고는 Microsoft Office 2010용 Office 파일 유효성 검사와 어떤 관련이 있나요?
이 권고는 Microsoft Office 2010용 Office 파일 유효성 검사 기능에는 적용되지 않지만 Microsoft는 지원되는 Microsoft Office 2003, Microsoft Office 2007 및 Microsoft Office 2010 버전에 대해 Office 파일 유효성 검사를 구성하는 데 사용할 수 있는 자동화된 Microsoft Fix it 솔루션을 릴리스했습니다. 이러한 자동화된 Microsoft Fix it 솔루션은 이 권고와 관련된 기술 자료 문서에서 사용할 수 있다고 Microsoft 기술 자료 문서 2501584.

Office 파일 유효성 검사 설정을 변경하기 위해 어떻게 해야 하나요?
관리자가 파일 유효성 검사에 실패할 때 문서 동작 방식을 변경할 수 있는 레지스트리 키 설정을 사용할 수 있습니다. 레지스트리 설정을 수정하여 다음 옵션 중 하나를 선택할 수 있습니다.

• 파일 차단 및 프롬프트 사용자(기본값)
  유효성 검사에 실패한 파일은 열리지 않습니다. 그러나 사용자에게 파일을 열 수 있는 선택 항목이 제공됩니다.

  참고 위의 동작은 Microsoft Office 2003 및 Microsoft Office 2007에 있으며 Microsoft Office 2010의 동작과 다릅니다. Microsoft Office 2010에서는 유효성 검사에 실패한 파일이 제한된 보기에서 열립니다. 그러면 사용자가 편집을 위해 파일을 열기 전에 여러 경고 메시지를 클릭해야 합니다.

• 파일 완전히 차단
  유효성 검사에 실패한 파일은 열 수 없습니다.

  참고 위의 동작은 Microsoft Office 2003 및 Microsoft Office 2007에 있으며 Microsoft Office 2010의 동작과 다릅니다. Microsoft Office 2010에서는 유효성 검사에 실패한 파일이 제한된 보기에서 열립니다. 그러면 사용자가 편집을 위해 파일을 열 수 없습니다.

Office 파일 유효성 검사 설정 및 자동화된 Microsoft Fix it 솔루션을 사용하여 Office 파일 유효성 검사 설정을 구성하는 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서 2501584 참조하세요.

Office 파일 유효성 검사를 사용하지 않도록 설정하려면 어떻게 해야 하나요?
특정 레지스트리 키를 설정하여 Office 파일 유효성 검사를 사용하지 않도록 설정하여 Office 파일 유효성 검사를 해제할 수 있습니다. 레지스트리 키는 응용 프로그램별로 Excel 2003, PowerPoint 2003, Word 2003, Excel 2007, PowerPoint 2007 및 Word 2007에 대해 구성해야 합니다. 이러한 레지스트리 키는 Office 이진 파일 형식으로 저장된 파일을 검사하고 유효성을 검사하지 못하도록 합니다. 예를 들어 Excel 2007용 Office 파일 유효성 검사를 사용하지 않도록 설정하면 Office 파일 유효성 검사에서 Excel 97-2003 통합 문서 파일, Excel 97-2003 서식 파일 또는 Microsoft Excel 5.0/95 파일을 검사하거나 유효성을 검사하지 않습니다. 사용자가 해당 파일 형식 중 하나를 열고 파일에 파일 형식 공격이 포함된 경우 다른 보안 제어가 이러한 공격을 감지하고 방지하지 않는 한 공격이 감지되거나 방지되지 않습니다.

Office 파일 유효성 검사 기능을 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 TechNet 문서, Office 2003 및 Office 2007용 Office 파일 유효성 검사를 참조하세요.

Office 파일 유효성 검사를 사용하지 않도록 설정하는 것은 권장되지 않습니다. Office 파일 유효성 검사는 Microsoft Office의 계층화된 방어 전략의 핵심 부분이며 조직 전체의 모든 컴퓨터에서 사용하도록 설정해야 합니다. Microsoft Office 2007에서는 Office 파일 유효성 검사 기능으로 파일의 유효성을 검사하지 못하게 하려는 고객의 경우 신뢰할 수 있는 위치 기능을 사용하는 것이 좋습니다. 신뢰할 수 있는 위치에서 열린 파일은 Office 파일 유효성 검사 검사 건너뜁니다.

Microsoft Publisher에 파일을 열고 삽입할 때 Office 파일 유효성 검사 기능이 사용자 환경을 어떻게 변경하나요?
게시자 파일을 열 때 Office 파일 유효성 검사 기능은 Office 파일 유효성 검사 기능을 사용할 수 있는지 여부에 관계없이 열려 있는 경우 이미 게시자 파일을 검사하고 유효성을 검사하므로 Microsoft Publisher 2003 및 Microsoft Publisher 2007의 동작을 변경하지 않습니다. 그러나 Word 문서를 Microsoft Publisher에 삽입할 때의 동작은 Office 파일 유효성 검사 기능에 의해 변경됩니다. Microsoft Publisher 2003 또는 Microsoft Publisher 2007에서 이진 서식 Word 파일을 삽입하려고 하면 유효성 검사에 실패한 파일이 Microsoft Publisher에 삽입되지 않습니다. 대신 사용자는 파일을 삽입하기 위해 파일을 여는 것이 위험할 수 있음을 나타내는 경고를 클릭해야 합니다.

제안된 작업

Microsoft Office 2003 및 Microsoft Office 2007용 Office 파일 유효성 검사 기능의 배포, 설치 및 구성에 대한 자세한 내용은 TechNet 문서, Office 2003 및 Office 2007용 Office 파일 유효성 검사를 참조하세요.

기타 정보

Feedback

• Microsoft 도움말 및 지원 양식인 고객 서비스 문의를 완료하여 피드백을 제공할 수 있습니다.

지원

• 미국 및 캐나다의 고객은 보안 지원에서 기술 지원을 받을 수 있습니다. 사용 가능한 지원 옵션에 대한 자세한 내용은 Microsoft 도움말 및 지원을 참조하세요.
• 해외 고객은 현지 Microsoft 자회사로부터 지원을 받을 수 있습니다. Microsoft에 국제 지원 문제를 문의하는 방법에 대한 자세한 내용은 국제 지원을 방문하세요.
• Microsoft TechNet Security 는 Microsoft 제품의 보안에 대한 추가 정보를 제공합니다.

부인

이 권고에 제공된 정보는 어떠한 종류의 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 특정 목적에 대한 상품성 및 적합성에 대한 보증을 포함하여 명시적이거나 묵시적인 모든 보증을 부인합니다. 어떠한 경우에도 Microsoft Corporation 또는 해당 공급업체는 Microsoft Corporation 또는 공급업체가 이러한 손해의 가능성을 통보한 경우에도 직접, 간접, 부수적, 결과적, 비즈니스 이익 손실 또는 특별 손해를 포함한 모든 손해에 대해 책임을 지지 않습니다. 일부 주에서는 결과적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 앞에서 설명한 제한이 적용되지 않을 수 있습니다.

수정 내용

• V1.0(2011년 4월 12일): 공지 게시됨.
• V2.0(2011년 6월 30일): Microsoft 기술 자료 문서 2501584 설명된 Office 파일 유효성 검사 추가 기능은 Microsoft 업데이트 서비스를 통해 사용할 수 있다고 발표했습니다.

2014-04-18T13:49:36Z-07:00에 빌드