보안 권고

Microsoft 보안 권고 2868725

RC4 사용 안 을 위한 업데이트

게시 날짜: 2013년 11월 12일

버전: 1.0

일반 정보

요약

Microsoft는 RC4의 알려진 약점을 해결하기 위해 Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 및 Windows RT의 지원되는 버전에 대한 업데이트의 가용성을 발표합니다. 이 업데이트는 레지스트리 설정을 통해 영향을 받는 시스템에서 사용 가능한 암호로 RC4를 제거할 수 있도록 지원합니다. 또한 개발자는 SCHANNEL_CRED 구조에서 SCH_USE_STRONG_CRYPTO 플래그를 사용하여 개별 애플리케이션에서 RC4를 제거할 수 있습니다. 이러한 옵션은 기본적으로 사용하도록 설정되지 않습니다.

권장 사항. Microsoft는 고객이 업데이트를 즉시 다운로드하여 설치한 다음 해당 환경에서 새 설정을 테스트하는 것이 좋습니다. 자세한 내용은 이 권고의 제안된 작업 섹션을 참조하세요.

권고 세부 정보

문제 참조

이 문제에 대한 자세한 내용은 다음 참조를 참조하세요.

영향을 받는 소프트웨어

이 권고에서는 다음 소프트웨어에 대해 설명합니다.

권고 FAQ

이 업데이트는 Windows 8.1, Windows Server 2012 R2 또는 Windows RT 8.1에 적용됩니까?
아니요. 이러한 운영 체제에는 RC4 사용을 제한하는 기능이 이미 포함되어 있으므로 이 업데이트는 Windows 8.1, Windows Server 2012 R2 또는 Windows RT 8.1에는 적용되지 않습니다.

권고의 범위는 무엇입니까?
이 권고의 목적은 RC4 사용을 제한하는 추가 옵션을 제공하는 Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 및 Windows RT의 지원되는 버전에 대해 업데이트를 사용할 수 있음을 고객에게 알리는 것입니다. TLS 및 SSL에서 RC4를 사용하면 공격자가 중간에서 맨 인 더 미들 공격을 수행하고 암호화된 세션에서 일반 텍스트를 복구할 수 있습니다.

맨 인 더 미들 공격은 무엇입니까?
공격자가 통신하는 두 사용자에 대한 지식 없이 공격자의 컴퓨터를 통해 두 사용자 간의 통신 경로를 다시 지정하면 중간에서 맨 인 더 미들(man-in-the-middle) 공격이 발생합니다. 통신의 각 사용자는 의도한 사용자와만 통신한다고 생각하면서 무의식적으로 트래픽을 보내고 공격자로부터 트래픽을 받습니다.

2868725 업데이트는 무엇을 합니까?
이 업데이트는 레지스트리 설정을 통해 영향을 받는 시스템에서 사용 가능한 암호로 RC4를 제거할 수 있도록 지원합니다. 또한 개발자는 SCHANNEL_CRED 구조에서 SCH_USE_STRONG_CRYPTO 플래그를 사용하여 개별 애플리케이션에서 RC4를 제거할 수 있습니다. 이러한 옵션은 기본적으로 사용하도록 설정되지 않습니다. 고객은 환경에서 RC4를 구현하기 전에 RC4를 사용하지 않도록 설정하는 새 설정을 테스트하는 것이 좋습니다.

업데이트가 Internet Explorer 또는 기타 기본 제공 애플리케이션의 사용자 환경에 영향을 주나요?
아니요. 업데이트로 구현된 변경 내용은 사용자에게 투명하며 Internet Explorer 또는 기타 기본 제공 애플리케이션에 대한 사용자 환경에 영향을 주지 않습니다. 그러나 RC4를 사용하지 않도록 설정에 대한 후속 변경은 Internet Explorer 또는 TLS를 사용하는 다른 애플리케이션에 대한 사용자 환경에 영향을 미칠 수 있습니다. 이러한 이유로 고객은 RC4 사용 안 함과 관련된 새 설정을 철저히 테스트하는 것이 좋습니다.

이 릴리스를 준비할 어떻게 할까요? 있나요?
이 업데이트 배포를 준비하기 위해 수행할 작업 목록은 이 권고의 제안된 작업 섹션을 참조하세요.

Schannel이란?
Schannel이라고도 하는 보안 채널은 암호화를 통해 ID 인증 및 보안 개인 통신을 제공하는 보안 프로토콜 집합을 포함하는 SSP(보안 지원 공급자)입니다. Schannel은 보안 HTTP(Hypertext Transfer Protocol) 통신이 필요한 인터넷 애플리케이션에 주로 사용됩니다. 자세한 내용은 보안 채널을 참조 하세요.

TLS란? 
TLS(전송 계층 보안)는 인터넷 또는 인트라넷에서 보안 웹 통신을 제공하는 데 사용되는 표준 프로토콜입니다. 이를 통해 클라이언트는 서버를 인증하거나 필요에 따라 서버를 인증하여 클라이언트를 인증할 수 있습니다. 또한 통신을 암호화하여 보안 채널을 제공합니다. TLS는 SSL(Secure Sockets Layer) 프로토콜의 최신 버전입니다.

RC4란?
RC4는 암호화 및 암호 해독 모두에 사용되는 스트림 암호입니다.

제안된 작업

영향을 받는 Microsoft Windows 릴리스에 대한 업데이트 적용

대부분의 고객은 자동 업데이트를 사용하도록 설정했으며 2868725 업데이트가 자동으로 다운로드되고 설치되므로 아무 작업도 수행할 필요가 없습니다. 자동 업데이트를 사용하도록 설정하지 않은 고객은 업데이트를 검사 이 업데이트를 수동으로 설치해야 합니다. 자동 업데이트 의 특정 구성 옵션에 대한 자세한 내용은 Microsoft 기술 자료 문서 294871 참조하세요.

관리자 및 엔터프라이즈 설치 또는 2868725 업데이트를 수동으로 설치하려는 최종 사용자의 경우 고객이 업데이트 관리 소프트웨어를 사용하거나 Microsoft Update 서비스를 사용하여 업데이트를 검사 업데이트를 즉시 적용하는 것이 좋습니다. 업데이트를 수동으로 적용하는 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서 2868725 참조하세요.

환경에서 구현하기 전에 새 설정을 철저히 테스트합니다.

업데이트를 적용한 후에는 고객이 환경에서 RC4를 구현하기 전에 RC4를 사용하지 않도록 설정하는 새 설정을 테스트하는 것이 좋습니다. 새 설정을 테스트하지 못하면 Internet Explorer 또는 TLS를 사용하는 다른 애플리케이션에 대한 사용자 환경에 영향을 줄 수 있습니다.

기타 정보

Feedback

• Microsoft 도움말 및 지원 양식인 고객 서비스 문의를 완료하여 피드백을 제공할 수 있습니다.

지원

• 미국 및 캐나다의 고객은 보안 지원에서 기술 지원을 받을 수 있습니다. 자세한 내용은 Microsoft 도움말 및 지원을 참조하세요.
• 해외 고객은 현지 Microsoft 자회사로부터 지원을 받을 수 있습니다. 자세한 내용은 국제 지원을 참조하세요.
• Microsoft TechNet Security 는 Microsoft 제품의 보안에 대한 추가 정보를 제공합니다.

부인

이 권고에 제공된 정보는 어떠한 종류의 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 특정 목적에 대한 상품성 및 적합성에 대한 보증을 포함하여 명시적이거나 묵시적인 모든 보증을 부인합니다. 어떠한 경우에도 Microsoft Corporation 또는 해당 공급업체는 Microsoft Corporation 또는 공급업체가 이러한 손해의 가능성을 통보한 경우에도 직접, 간접, 부수적, 결과적, 비즈니스 이익 손실 또는 특별 손해를 포함한 모든 손해에 대해 책임을 지지 않습니다. 일부 주에서는 결과적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 앞에서 설명한 제한이 적용되지 않을 수 있습니다.

수정 내용

• V1.0(2013년 11월 12일): 공지 게시됨.

2014-04-18T13:49:36Z-07:00에 빌드