• 아티클

MSRC ppDocument 템플릿

Microsoft 보안 공지 3009008

SSL 3.0의 취약성으로 인한 정보 공개 문제

게시된 날짜: 2014년 10월 14일 | 업데이트된 날짜: 2015년 4월 14일

버전: 3.0

일반 정보

요약

Microsoft는 SSL 3.0의 취약성을 악용하는 새로운 방법을 설명하는 상세 정보가 공개된 사실을 확인했습니다. 이 취약성은 SSL 3.0 프로토콜 자체에 영향을 미치는 업계 전반의 취약성으로, Windows 운영 체제에 특정한 것이 아닙니다. 지원되는 모든 버전의 Microsoft Windows는 이 프로토콜을 구현하고 있으며 이 취약성의 영향을 받습니다. 현재까지 Microsoft는 보고된 취약성을 악용하려는 공격에 대해 보고받은 바 없습니다. 공격 시나리오를 감안할 때 이 취약성은 고객에게 높은 위험으로 여겨지지 않습니다.

Microsoft는 고객에게 보다 폭넓은 보호를 제공할 수 있도록 정보를 제공하기 위해 MAPP(Microsoft Active Protections Program) 파트너와 활발히 협력하고 있습니다.

2015년 4월 14일 보안 업데이트 3038314 릴리스에 따라 SSL 3.0이 Internet Explorer 11에서 기본적으로 사용되지 않음을 알려드립니다. 또한 향후 몇 개월 이후 Microsoft Online Services 전반에서 SSL 3.0이 사용되지 않게 됨을 알려드립니다. 고객은 TLS 1.0, TLS 1.1 또는 TLS 1.2 등 보다 안전한 보안 프로토콜로 클라이언트 및 서비스를 마이그레이션하는 것이 좋습니다.

완화 요소:

  • 공격자는 수백 번의 HTTPS 요청이 이루어져야 공격을 성공시킬 수 있습니다.
  • TLS 1.0, TLS 1.1, TLS 1.2, 그리고 CBC 모드를 사용하지 않는 모든 암호 그룹은 영향을 받지 않습니다.

권장 사항. SSL 3.0을 사용하지 않도록 설정하기 위한 해결 방법은 이 공지의 권장 조치 절을 참조하십시오. 고객들은 이러한 해결 방법을 이용하여 SSL 3.0 사용을 위해 해당 클라이언트 및 서비스를 테스트하고 이에 따라 마이그레이션을 시작하는 것이 좋습니다.

공지 세부 정보

문제 참고자료

이 문제에 대한 자세한 내용은 다음 참고자료를 참조하십시오.

참고자료 ID
기술 자료 문서 3009008
CVE 참고 CVE-2014-3566 
영향받는 소프트웨어 ------------------- 이 공지에 해당되는 소프트웨어는 다음과 같습니다. **영향받는 소프트웨어**

운영 체제
Windows Server 2003 서비스 팩 2
Windows Server 2003 x64 Edition 서비스 팩 2
Windows Server 2003 SP2(Itanium 기반 시스템용)
Windows Vista 서비스 팩 2
Windows Vista x64 Edition 서비스 팩 2
Windows Server 2008(32비트 시스템용) 서비스 팩 2
Windows Server 2008(x64 기반 시스템용) 서비스 팩 2
Windows Server 2008(Itanium 기반 시스템용) 서비스 팩 2
Windows 7(32비트 시스템용) 서비스 팩 1
Windows 7(x64 기반 시스템용) 서비스 팩 1
Windows Server 2008 R2(x64 기반 시스템용) 서비스 팩 1
Windows Server 2008 R2(Itanium 기반 시스템용) 서비스 팩 1
Windows 8(32비트 시스템용)
Windows 8(x64 기반 시스템용)
Windows 8.1(32비트 시스템용)
Windows 8.1(x64 기반 시스템용)
Windows Server 2012
Windows Server 2012 R2
Windows RT
Windows RT 8.1
Server Core 설치 옵션
Windows Server 2008(32비트 시스템용) 서비스 팩 2(Server Core 설치)
Windows Server 2008(x64 기반 시스템용) 서비스 팩 2(Server Core 설치)
Windows Server 2008 R2(x64 기반 시스템용) 서비스 팩 1(Server Core 설치)
Windows Server 2012(Server Core 설치)
Windows Server 2012 R2(Server Core 설치)
  공지 FAQ -------- **11이 아닌 Internet Explorer 버전을 사용하고 있습니다. 이 취약성으로부터 내 시스템을 어떻게 보호할 수 있습니까?** SSL 3.0은 지원되는 모든 Microsoft Windows 버전의 Internet Explorer 11에서만 사용되지 않게 설정되었습니다. 다른 버전의 Internet Explorer를 사용하고 있는 경우 이 취약성으로부터 보호하기 위해 시스템에 적용할 수 있는 해결 방법은 권장 해결 방법 절을 참조하십시오. **이 공지의 범위는 어떻게 됩니까?** 이 공지의 목적은 SSL 3.0의 취약성을 악용하는 새로운 방법을 설명하는 상세 정보가 Microsoft에 보고되어 이를 고객에게 알리기 위함입니다. 이 취약성은 정보 공개 취약성입니다. **공격자는 이 취약성을 어떻게 악용합니까?** 메시지 가로채기(man-in-the-middle) 공격에서 공격자는 암호화된 TLS 세션을 다운그레이드하여 클라이언트가 SSL 3.0을 강제로 사용하도록 한 후 브라우저에서 악성 코드가 실행되도록 할 수 있습니다. 이 코드는 이전에 인증된 세션이 있는 경우 쿠키가 자동으로 전송되는 대상 HTTPS 웹 사이트에 몇 개의 요청을 보냅니다. 이것이 이 취약성을 악용하기 위한 필수 조건입니다. 이후에 공격자는 이 HTTPS 트래픽을 가로챌 수 있으며, SSL 3.0에서 CBC 블록 암호의 취약성을 악용하여 암호화된 트래픽의 일부(예: 인증 쿠키)를 암호 해독할 수 있습니다. **공격자는 이 취약성을 악용하여 무엇을 할 수 있습니까?** 이 취약성 악용에 성공한 공격자는 암호화된 트래픽 일부의 암호를 해독할 수 있습니다. **이 취약성의 원인은 무엇입니까?** SSL 3.0에서 CBC 블록 암호 패딩 확인 부족으로 인해 이 취약성이 발생합니다. **SSL이란 무엇입니까?** SSL(Secure Sockets Layer)은 인터넷상에서 통신 보안을 제공하는 암호화 프로토콜입니다. SSL은 개인 정보 보호를 위해 암호화를 사용하고 메시지 신뢰성을 위해 키 입력되는 메시지 인증 코드를 사용하여 네트워크상에서 전송되는 데이터를 암호화합니다. **TLS란 무엇입니까?** TLS(Transport Layer Security)는 인터넷 또는 인트라넷에서 보안 웹 통신을 제공하는 데 사용되는 표준 프로토콜입니다. 이 프로토콜은 클라이언트가 서버 또는 클라이언트를 인증하기 위한 서버(옵션)를 인증할 수 있도록 해줍니다. 또한 통신을 암호화하여 보안 채널을 제공합니다. TLS는 SSL(Secure Sockets Layer) 프로토콜의 최신 버전입니다. **TLS가 이 문제의 영향을 받습니까?** 아니요. 이 문제는 SSL 3.0에만 해당됩니다. **이 문제는 업계 전반의 문제입니까?** 예. 취약성은 SSL 3.0 프로토콜의 설계에 있으며 Microsoft의 구현에만 국한되지 않습니다. 권장 조치 --------- ### 해결 방법 적용 해결 방법이란 기본적인 문제를 해결하지는 않지만 보안 업데이트가 출시되기 전에 알려진 공격 벡터를 차단하는 데 유용한 설정 또는 구성 변경을 나타냅니다. - **Internet Explorer에서 SSL 3.0 사용 안 함 및 TLS 1.0, TLS 1.1, TLS 1.2 사용** Internet Explorer에서 고급 보안 설정을 수정하여 Internet Explorer에서 SSL 3.0 프로토콜을 사용하지 않게 설정할 수 있습니다. HTTPS 요청에 사용할 기본 프로토콜 버전을 변경하려면 다음 단계를 수행하십시오. 1. Internet Explorer **도구** 메뉴에서 **인터넷옵션**을 클릭합니다. 2. **인터넷옵션** 대화 상자에서 **고급** 탭을 클릭합니다. 3. **보안** 범주에서 **SSL3.0사용**을 선택 취소하고**TLS 1.0 사용**, **TLS 1.1 사용**, **TLS 1.2 사용**을 선택합니다(사용 가능한 경우). 4. **참고** 연속 버전을 선택해야 합니다. 연속 버전을 선택하지 않으면(예: TLS 1.0 및 1.2는 선택하지만 1.1은 선택 안 함) 연결 오류가 발생할 수 있습니다. 5. **확인**을 클릭합니다. 6. Internet Explorer를 종료한 후 다시 시작합니다.   **참고** 이 해결 방법을 적용하면 Internet Explorer가 SSL 3.0 이하만을 지원하고 TLS 1.0, TLS 1.1, TLS 1.2를 지원하지 않는 웹 서버에 연결하지 못합니다.  > [!NOTE] > Microsoft Fix it 자동화 솔루션을 사용하여 Internet Explorer에서만 SSL 3.0을 사용하지 않게 설정하려면 [Microsoft 기술 자료 문서 3009008](https://support.microsoft.com/ko-kr/kb/3009008)을 참조하십시오. **해결 방법을 실행 취소하는 방법**. Internet Explorer에서 SSL 3.0을 사용하도록 설정하려면 다음 단계를 수행하십시오. 1. Internet Explorer **도구** 메뉴에서 **인터넷옵션**을 클릭합니다. 2. **인터넷옵션** 대화 상자에서 **고급** 탭을 클릭합니다. 3. **보안** 범주에서 **SSL3.0 사용**을 선택합니다. 4. **확인**을 클릭합니다. 5. Internet Explorer를 종료한 후 다시 시작합니다.

  • 그룹 정책에서 Internet Explorer에 대해 SSL 3.0 사용 안 함 및 TLS 1.0, TLS 1.1, TLS 1.2 사용

    암호화 지원 해제 그룹 정책 개체를 수정하여 그룹 정책을 통해 Internet Explorer에서 SSL 3.0 프로토콜에 대한 지원을 사용하지 않게 설정할 수 있습니다.

    1. 그룹 정책 관리를 엽니다.

    2. 수정할 그룹 정책 개체를 선택하고 마우스 오른쪽 단추를 클릭한 후 편집을 선택합니다.

    3. 그룹 정책 관리 편집기에서 다음 설정을 찾습니다.

      컴퓨터 구성 -> 관리 템플릿 -> Windows 구성 요소 -> Internet Explorer -> 인터넷 제어판 -> 고급 페이지 -> 암호화 지원 해제

    4. 암호화 지원 해제 설정을 두 번 클릭하여 설정을 편집합니다.

    5. 사용을 클릭합니다.

    6. 옵션 창에서 보안 프로토콜 조합 설정을 "TLS 1.0, TLS 1.1 및 TLS 1.2 사용"으로 변경합니다.

    7. 참고 연속 버전을 선택해야 합니다. 연속 버전을 선택하지 않으면(예: TLS 1.0 및 1.2는 선택하지만 1.1은 선택 안 함) 연결 오류가 발생할 수 있습니다.

    8. 확인을 클릭합니다.

     

참고 관리자는 사용자의 환경에서 GPO를 적절한 OU에 연결하여 이 그룹 정책이 적절히 적용되는지 확인해야 합니다.

참고 이 해결 방법을 적용하면 Internet Explorer가 SSL 3.0 이하만을 지원하고 TLS 1.0, TLS 1.1, TLS 1.2를 지원하지 않는 웹 서버에 연결하지 못합니다. 

해결 방법을 실행 취소하는 방법. SSL 3.0 정책 설정을 사용하지 않도록 설정하려면 다음 단계를 수행하십시오.

  1. 그룹 정책 관리를 엽니다.

  2. 수정할 그룹 정책 개체를 선택하고 마우스 오른쪽 단추를 클릭한 후 편집을 선택합니다.

  3. 그룹 정책 관리 편집기에서 다음 설정을 찾습니다.

    컴퓨터 구성 -> 관리 템플릿 -> Windows 구성 요소 -> Internet Explorer -> 인터넷 제어판 -> 고급 페이지 -> 암호화 지원 해제

  4. 암호화 지원 해제 설정을 두 번 클릭하여 설정을 편집합니다.

  5. 사용 안 함을 클릭합니다.

  6. 확인을 클릭합니다.

  • Windows에서 SSL 3.0 사용 안 함

    서버 소프트웨어

    다음 단계를 수행하여 Windows에서 SSL 3.0 프로토콜에 대한 지원을 사용하지 않도록 설정할 수 있습니다.

    1. 시작, 실행을 차례로 클릭하고 regedt32regedit를 입력한 다음 확인을 클릭합니다.

    2. 레지스트리 편집기에서 다음 레지스트리 키를 찾습니다.

      HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server

      참고 전체 레지스트리 키 경로가 존재하지 않는 경우 사용 가능한 키를 확장하고 편집 메뉴에서 새로 만들기 -> 옵션을 사용하여 이 경로를 만들 수 있습니다.

    3. 편집 메뉴에서 값추가를 클릭합니다.

    4. 데이터형식 목록에서 DWORD를 클릭합니다.

    5. 값이름 상자에 Enabled를 입력한 다음 확인을 클릭합니다.

      참고 이 값이 있으면 두 번 클릭하여 이 값의 현재 값을 편집하십시오.

    6. DWORD(32비트) 값 편집 대화 상자에서 0을 입력합니다.

    7. 확인을 클릭합니다. 컴퓨터를 다시 시작합니다.

     

참고 이 해결 방법은 IIS를 비롯하여 시스템에 설치된 모든 서버 소프트웨어에 대해 SSL 3.0을 사용하지 않게 설정합니다.

참고 이 해결 방법을 적용한 후, SSL 3.0에만 의존하는 클라이언트는 서버와 통신할 수 없게 됩니다.

해결 방법을 실행 취소하는 방법. Windows 서버 소프트웨어에서 SSL 3.0을 사용하지 않도록 설정하려면 다음 단계를 수행하십시오.

  1. 레지스트리 편집기를 엽니다.

  2. 다음 레지스트리 하위 키를 찾아 클릭합니다.

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server

  3. 편집 메뉴에서 삭제를 클릭합니다.

  4. 메시지가 표시되면 를 클릭합니다.

  5. 레지스트리 편집기를 종료합니다.

  6. 시스템을 다시 시작합니다.

클라이언트 소프트웨어

다음 단계를 수행하여 Windows에서 SSL 3.0 프로토콜에 대한 지원을 사용하지 않도록 설정할 수 있습니다.

  1. 시작, 실행을 차례로 클릭하고 regedt32regedit를 입력한 다음 확인을 클릭합니다.

  2. 레지스트리 편집기에서 다음 레지스트리 키를 찾습니다.

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client

참고 전체 레지스트리 키 경로가 존재하지 않는 경우 사용 가능한 키를 확장하고 편집 메뉴에서 새로 만들기 -> 옵션을 사용하여 이 경로를 만들 수 있습니다.

  1. 편집 메뉴에서 값추가를 클릭합니다.
  2. 데이터형식 목록에서 DWORD를 클릭합니다.
  3. 값이름 상자에 Enabled를 입력한 다음 확인을 클릭합니다.

참고 이 값이 있으면 두 번 클릭하여 이 값의 현재 값을 편집하십시오.

  1. DWORD(32비트) 값 편집 대화 상자에서 0을 입력합니다.

  2. 확인을 클릭합니다. 컴퓨터를 다시 시작합니다.

     

참고 이 해결 방법은 시스템에 설치된 모든 클라이언트 소프트웨어에 대해 SSL 3.0을 사용하지 않게 설정합니다.

참고 이 해결 방법을 적용한 후, 이 컴퓨터의 클라이언트 응용 프로그램은 SSL 3.0만 지원하는 다른 서버와 통신할 수 없게 됩니다.

해결 방법을 실행 취소하는 방법. Windows 클라이언트 소프트웨어에서 SSL 3.0을 사용하지 않도록 설정하려면 다음 단계를 수행하십시오.

  1. 레지스트리 편집기를 엽니다.

  2. 다음 레지스트리 하위 키를 찾아 클릭합니다.

    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client

  3. 편집 메뉴에서 삭제를 클릭합니다.

  4. 메시지가 표시되면 를 클릭합니다.

  5. 레지스트리 편집기를 종료합니다.

  6. 시스템을 다시 시작합니다.

추가 권장 조치

  • PC 보호

    Microsoft에서 제공하는 컴퓨터 보호 지침에 따라 방화벽을 사용하고 소프트웨어 업데이트를 다운로드하고 바이러스 백신 소프트웨어를 설치할 것을 권장합니다. 자세한 내용은 Microsoft 안전 및 보안 센터를 참조하십시오.

  • Microsoft 소프트웨어 업데이트 상태 유지

    Microsoft 소프트웨어 사용자는 최신 Microsoft 보안 업데이트를 적용하여 보호 수준을 최신 상태로 유지해야 합니다. 소프트웨어가 최신 상태인지 잘 모르는 경우 Microsoft Update를 방문하여 컴퓨터에 사용 가능한 업데이트가 있는지 검색하고, 제공되는 중요 업데이트를 모두 설치합니다. 자동 업데이트를 사용하고 Microsoft 제품에 업데이트를 제공하도록 구성한 경우 업데이트가 출시됨과 동시에 사용자에게 전달되지만, 설치가 되었는지 확인해야 합니다.

감사의 말

Microsoft는 고객 보호를 위해 함께 노력해주신 다음 분들께 감사를 전합니다.

기타 정보

MAPP(Microsoft Active Protections Program)

고객을 위한 보안을 강화하기 위해 Microsoft는 각각의 월별 보안 업데이트를 배포하기 전에 주요 보안 소프트웨어 제공업체에 취약성 정보를 제공합니다. 보안 소프트웨어 제공업체는 이 취약성 정보를 사용하여 바이러스 백신, 네트워크 기반 침입 탐지 시스템 또는 호스트 기반 침임 방지 시스템 등 자사의 보안 소프트웨어나 장치를 통해 업데이트된 보호 기능을 고객에게 제공할 수 있습니다. 보안 소프트웨어 제공업체가 활성 보호 기능을 제공하는지 확인하려면 Microsoft MAPP(Active Protections Program) 파트너에 나열된 프로그램 파트너가 제공하는 활성 보호 기능 웹 사이트를 참조하십시오.

피드백

지원

  • 기술 지원은 1577-9700을 통해 Microsoft 고객 지원 센터에서 받을 수 있습니다. 자세한 내용은 Microsoft 도움말 및 지원 웹 사이트를 참조하십시오.
  • 기타 지역에 거주하는 고객은 해당 Microsoft 지사에서 지원을 받을 수 있습니다. 자세한 내용은 국가별 지원 웹 사이트를 참조하십시오.
  • Microsoft TechNet 보안은 Microsoft 제품의 보안에 대한 추가 정보를 제공합니다.

고지 사항

이 공지에서 제공되는 정보는 어떠한 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 상품성과 특정 목적에 대한 적합성의 보증을 포함하여 명시적이거나 묵시적인 모든 보증을 부인합니다. Microsoft Corporation 또는 그 공급자는 모든 직접적, 간접적, 부수적, 파생적 손해 또는 영업 이익 손실 또는 특수한 손실에 대하여 어떠한 경우에도 책임을 지지 않으며, 이는 Microsoft Corporation과 그 공급자가 그와 같은 손해의 가능성을 사전에 알고 있던 경우에도 마찬가지입니다. 일부 지역에서는 파생적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 위 제한은 귀하에게 적용되지 않을 수도 있습니다.

수정 내역

  • V1.0(2014년 10월 14일): 공지가 게시되었습니다.
  • V1.1(2014년 10월 15일): Windows에서 SSL 3.0 프로토콜을 사용하지 않도록 설정하기 위한 해결 방법을 포함하기 위해 공지가 개정되었습니다.
  • V2.0(2014년 10월 29일): SSL 3.0 사용 중단을 알리고, Windows 서버 및 Windows 클라이언트에서 SSL 3.0을 사용하지 않도록 설정하기 위한 해결 방법 지침을 명확하게 설명하고, Internet Explorer에서 Microsoft Fix it 솔루션이 제공됨을 알리기 위해 공지가 개정되었습니다. 자세한 내용은 기술 자료 문서 3009008을 참조하십시오.
  • V2.1(2014년 12월 9일): Internet Explorer 11에서 SSL 3.0 대체 경고가 제공됨을 알려드립니다. 자세한 내용은 기술 자료 문서 3013210을 참조하십시오.
  • V2.2(2015년 2월 10일): Internet Explorer 11에서 SSL 3.0 대체 시도가 기본적으로 사용되지 않음을 알려드립니다. 자세한 내용은 Microsoft 기술 자료 문서 3021952를 참조하십시오.
  • V2.3(2015년 2월 16일): Internet Explorer 11에서 기본적으로 SSL 3.0을 사용하지 않도록 설정하기 위해 계획된 날짜를 알리기 위해 공지가 개정되었습니다.
  • V3.0(2015년 4월 14일): 2015년 4월 14일 보안 업데이트 3038314 릴리스에 따라 SSL 3.0이 Internet Explorer 11에서 기본적으로 사용되지 않음을 알리고, 해결 방법을 실행 취소하는 방법에 대한 지침을 추가하기 위해 공지가 개정되었습니다.

2015-04-07 14:32Z-07:00에 페이지가 생성되었습니다.