MSRC ppDocument 템플릿
Microsoft 보안 공지 3009008
SSL 3.0의 취약성으로 인한 정보 공개 문제
게시된 날짜: 2014년 10월 14일 | 업데이트된 날짜: 2015년 4월 14일
버전: 3.0
일반 정보
요약
Microsoft는 SSL 3.0의 취약성을 악용하는 새로운 방법을 설명하는 상세 정보가 공개된 사실을 확인했습니다. 이 취약성은 SSL 3.0 프로토콜 자체에 영향을 미치는 업계 전반의 취약성으로, Windows 운영 체제에 특정한 것이 아닙니다. 지원되는 모든 버전의 Microsoft Windows는 이 프로토콜을 구현하고 있으며 이 취약성의 영향을 받습니다. 현재까지 Microsoft는 보고된 취약성을 악용하려는 공격에 대해 보고받은 바 없습니다. 공격 시나리오를 감안할 때 이 취약성은 고객에게 높은 위험으로 여겨지지 않습니다.
Microsoft는 고객에게 보다 폭넓은 보호를 제공할 수 있도록 정보를 제공하기 위해 MAPP(Microsoft Active Protections Program) 파트너와 활발히 협력하고 있습니다.
2015년 4월 14일 보안 업데이트 3038314 릴리스에 따라 SSL 3.0이 Internet Explorer 11에서 기본적으로 사용되지 않음을 알려드립니다. 또한 향후 몇 개월 이후 Microsoft Online Services 전반에서 SSL 3.0이 사용되지 않게 됨을 알려드립니다. 고객은 TLS 1.0, TLS 1.1 또는 TLS 1.2 등 보다 안전한 보안 프로토콜로 클라이언트 및 서비스를 마이그레이션하는 것이 좋습니다.
완화 요소:
- 공격자는 수백 번의 HTTPS 요청이 이루어져야 공격을 성공시킬 수 있습니다.
- TLS 1.0, TLS 1.1, TLS 1.2, 그리고 CBC 모드를 사용하지 않는 모든 암호 그룹은 영향을 받지 않습니다.
권장 사항. SSL 3.0을 사용하지 않도록 설정하기 위한 해결 방법은 이 공지의 권장 조치 절을 참조하십시오. 고객들은 이러한 해결 방법을 이용하여 SSL 3.0 사용을 위해 해당 클라이언트 및 서비스를 테스트하고 이에 따라 마이그레이션을 시작하는 것이 좋습니다.
공지 세부 정보
문제 참고자료
이 문제에 대한 자세한 내용은 다음 참고자료를 참조하십시오.
참고자료 | ID |
---|---|
기술 자료 문서 | 3009008 |
CVE 참고 | CVE-2014-3566 |
운영 체제 |
---|
Windows Server 2003 서비스 팩 2 |
Windows Server 2003 x64 Edition 서비스 팩 2 |
Windows Server 2003 SP2(Itanium 기반 시스템용) |
Windows Vista 서비스 팩 2 |
Windows Vista x64 Edition 서비스 팩 2 |
Windows Server 2008(32비트 시스템용) 서비스 팩 2 |
Windows Server 2008(x64 기반 시스템용) 서비스 팩 2 |
Windows Server 2008(Itanium 기반 시스템용) 서비스 팩 2 |
Windows 7(32비트 시스템용) 서비스 팩 1 |
Windows 7(x64 기반 시스템용) 서비스 팩 1 |
Windows Server 2008 R2(x64 기반 시스템용) 서비스 팩 1 |
Windows Server 2008 R2(Itanium 기반 시스템용) 서비스 팩 1 |
Windows 8(32비트 시스템용) |
Windows 8(x64 기반 시스템용) |
Windows 8.1(32비트 시스템용) |
Windows 8.1(x64 기반 시스템용) |
Windows Server 2012 |
Windows Server 2012 R2 |
Windows RT |
Windows RT 8.1 |
Server Core 설치 옵션 |
Windows Server 2008(32비트 시스템용) 서비스 팩 2(Server Core 설치) |
Windows Server 2008(x64 기반 시스템용) 서비스 팩 2(Server Core 설치) |
Windows Server 2008 R2(x64 기반 시스템용) 서비스 팩 1(Server Core 설치) |
Windows Server 2012(Server Core 설치) |
Windows Server 2012 R2(Server Core 설치) |
그룹 정책에서 Internet Explorer에 대해 SSL 3.0 사용 안 함 및 TLS 1.0, TLS 1.1, TLS 1.2 사용
암호화 지원 해제 그룹 정책 개체를 수정하여 그룹 정책을 통해 Internet Explorer에서 SSL 3.0 프로토콜에 대한 지원을 사용하지 않게 설정할 수 있습니다.
그룹 정책 관리를 엽니다.
수정할 그룹 정책 개체를 선택하고 마우스 오른쪽 단추를 클릭한 후 편집을 선택합니다.
그룹 정책 관리 편집기에서 다음 설정을 찾습니다.
컴퓨터 구성 -> 관리 템플릿 -> Windows 구성 요소 -> Internet Explorer -> 인터넷 제어판 -> 고급 페이지 -> 암호화 지원 해제
암호화 지원 해제 설정을 두 번 클릭하여 설정을 편집합니다.
사용을 클릭합니다.
옵션 창에서 보안 프로토콜 조합 설정을 "TLS 1.0, TLS 1.1 및 TLS 1.2 사용"으로 변경합니다.
참고 연속 버전을 선택해야 합니다. 연속 버전을 선택하지 않으면(예: TLS 1.0 및 1.2는 선택하지만 1.1은 선택 안 함) 연결 오류가 발생할 수 있습니다.
확인을 클릭합니다.
참고 관리자는 사용자의 환경에서 GPO를 적절한 OU에 연결하여 이 그룹 정책이 적절히 적용되는지 확인해야 합니다.
참고 이 해결 방법을 적용하면 Internet Explorer가 SSL 3.0 이하만을 지원하고 TLS 1.0, TLS 1.1, TLS 1.2를 지원하지 않는 웹 서버에 연결하지 못합니다.
해결 방법을 실행 취소하는 방법. SSL 3.0 정책 설정을 사용하지 않도록 설정하려면 다음 단계를 수행하십시오.
그룹 정책 관리를 엽니다.
수정할 그룹 정책 개체를 선택하고 마우스 오른쪽 단추를 클릭한 후 편집을 선택합니다.
그룹 정책 관리 편집기에서 다음 설정을 찾습니다.
컴퓨터 구성 -> 관리 템플릿 -> Windows 구성 요소 -> Internet Explorer -> 인터넷 제어판 -> 고급 페이지 -> 암호화 지원 해제
암호화 지원 해제 설정을 두 번 클릭하여 설정을 편집합니다.
사용 안 함을 클릭합니다.
확인을 클릭합니다.
Windows에서 SSL 3.0 사용 안 함
서버 소프트웨어
다음 단계를 수행하여 Windows에서 SSL 3.0 프로토콜에 대한 지원을 사용하지 않도록 설정할 수 있습니다.
시작, 실행을 차례로 클릭하고 regedt32나 regedit를 입력한 다음 확인을 클릭합니다.
레지스트리 편집기에서 다음 레지스트리 키를 찾습니다.
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
참고 전체 레지스트리 키 경로가 존재하지 않는 경우 사용 가능한 키를 확장하고 편집 메뉴에서 새로 만들기 -> 키 옵션을 사용하여 이 경로를 만들 수 있습니다.
편집 메뉴에서 값추가를 클릭합니다.
데이터형식 목록에서 DWORD를 클릭합니다.
값이름 상자에 Enabled를 입력한 다음 확인을 클릭합니다.
참고 이 값이 있으면 두 번 클릭하여 이 값의 현재 값을 편집하십시오.
DWORD(32비트) 값 편집 대화 상자에서 0을 입력합니다.
확인을 클릭합니다. 컴퓨터를 다시 시작합니다.
참고 이 해결 방법은 IIS를 비롯하여 시스템에 설치된 모든 서버 소프트웨어에 대해 SSL 3.0을 사용하지 않게 설정합니다.
참고 이 해결 방법을 적용한 후, SSL 3.0에만 의존하는 클라이언트는 서버와 통신할 수 없게 됩니다.
해결 방법을 실행 취소하는 방법. Windows 서버 소프트웨어에서 SSL 3.0을 사용하지 않도록 설정하려면 다음 단계를 수행하십시오.
레지스트리 편집기를 엽니다.
다음 레지스트리 하위 키를 찾아 클릭합니다.
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server
편집 메뉴에서 삭제를 클릭합니다.
메시지가 표시되면 예를 클릭합니다.
레지스트리 편집기를 종료합니다.
시스템을 다시 시작합니다.
클라이언트 소프트웨어
다음 단계를 수행하여 Windows에서 SSL 3.0 프로토콜에 대한 지원을 사용하지 않도록 설정할 수 있습니다.
시작, 실행을 차례로 클릭하고 regedt32나 regedit를 입력한 다음 확인을 클릭합니다.
레지스트리 편집기에서 다음 레지스트리 키를 찾습니다.
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client
참고 전체 레지스트리 키 경로가 존재하지 않는 경우 사용 가능한 키를 확장하고 편집 메뉴에서 새로 만들기 -> 키 옵션을 사용하여 이 경로를 만들 수 있습니다.
- 편집 메뉴에서 값추가를 클릭합니다.
- 데이터형식 목록에서 DWORD를 클릭합니다.
- 값이름 상자에 Enabled를 입력한 다음 확인을 클릭합니다.
참고 이 값이 있으면 두 번 클릭하여 이 값의 현재 값을 편집하십시오.
DWORD(32비트) 값 편집 대화 상자에서 0을 입력합니다.
확인을 클릭합니다. 컴퓨터를 다시 시작합니다.
참고 이 해결 방법은 시스템에 설치된 모든 클라이언트 소프트웨어에 대해 SSL 3.0을 사용하지 않게 설정합니다.
참고 이 해결 방법을 적용한 후, 이 컴퓨터의 클라이언트 응용 프로그램은 SSL 3.0만 지원하는 다른 서버와 통신할 수 없게 됩니다.
해결 방법을 실행 취소하는 방법. Windows 클라이언트 소프트웨어에서 SSL 3.0을 사용하지 않도록 설정하려면 다음 단계를 수행하십시오.
레지스트리 편집기를 엽니다.
다음 레지스트리 하위 키를 찾아 클릭합니다.
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client
편집 메뉴에서 삭제를 클릭합니다.
메시지가 표시되면 예를 클릭합니다.
레지스트리 편집기를 종료합니다.
시스템을 다시 시작합니다.
추가 권장 조치
PC 보호
Microsoft에서 제공하는 컴퓨터 보호 지침에 따라 방화벽을 사용하고 소프트웨어 업데이트를 다운로드하고 바이러스 백신 소프트웨어를 설치할 것을 권장합니다. 자세한 내용은 Microsoft 안전 및 보안 센터를 참조하십시오.
Microsoft 소프트웨어 업데이트 상태 유지
Microsoft 소프트웨어 사용자는 최신 Microsoft 보안 업데이트를 적용하여 보호 수준을 최신 상태로 유지해야 합니다. 소프트웨어가 최신 상태인지 잘 모르는 경우 Microsoft Update를 방문하여 컴퓨터에 사용 가능한 업데이트가 있는지 검색하고, 제공되는 중요 업데이트를 모두 설치합니다. 자동 업데이트를 사용하고 Microsoft 제품에 업데이트를 제공하도록 구성한 경우 업데이트가 출시됨과 동시에 사용자에게 전달되지만, 설치가 되었는지 확인해야 합니다.
감사의 말
Microsoft는 고객 보호를 위해 함께 노력해주신 다음 분들께 감사를 전합니다.
- 이 문제점을 해결하기 위해 협력해 주신 Google Security Team의 Bodo Möller
기타 정보
MAPP(Microsoft Active Protections Program)
고객을 위한 보안을 강화하기 위해 Microsoft는 각각의 월별 보안 업데이트를 배포하기 전에 주요 보안 소프트웨어 제공업체에 취약성 정보를 제공합니다. 보안 소프트웨어 제공업체는 이 취약성 정보를 사용하여 바이러스 백신, 네트워크 기반 침입 탐지 시스템 또는 호스트 기반 침임 방지 시스템 등 자사의 보안 소프트웨어나 장치를 통해 업데이트된 보호 기능을 고객에게 제공할 수 있습니다. 보안 소프트웨어 제공업체가 활성 보호 기능을 제공하는지 확인하려면 Microsoft MAPP(Active Protections Program) 파트너에 나열된 프로그램 파트너가 제공하는 활성 보호 기능 웹 사이트를 참조하십시오.
피드백
- Microsoft 도움말 및 지원 양식, 고객 서비스 문의처를 작성하여 피드백을 보낼 수 있습니다.
지원
- 기술 지원은 1577-9700을 통해 Microsoft 고객 지원 센터에서 받을 수 있습니다. 자세한 내용은 Microsoft 도움말 및 지원 웹 사이트를 참조하십시오.
- 기타 지역에 거주하는 고객은 해당 Microsoft 지사에서 지원을 받을 수 있습니다. 자세한 내용은 국가별 지원 웹 사이트를 참조하십시오.
- Microsoft TechNet 보안은 Microsoft 제품의 보안에 대한 추가 정보를 제공합니다.
고지 사항
이 공지에서 제공되는 정보는 어떠한 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 상품성과 특정 목적에 대한 적합성의 보증을 포함하여 명시적이거나 묵시적인 모든 보증을 부인합니다. Microsoft Corporation 또는 그 공급자는 모든 직접적, 간접적, 부수적, 파생적 손해 또는 영업 이익 손실 또는 특수한 손실에 대하여 어떠한 경우에도 책임을 지지 않으며, 이는 Microsoft Corporation과 그 공급자가 그와 같은 손해의 가능성을 사전에 알고 있던 경우에도 마찬가지입니다. 일부 지역에서는 파생적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 위 제한은 귀하에게 적용되지 않을 수도 있습니다.
수정 내역
- V1.0(2014년 10월 14일): 공지가 게시되었습니다.
- V1.1(2014년 10월 15일): Windows에서 SSL 3.0 프로토콜을 사용하지 않도록 설정하기 위한 해결 방법을 포함하기 위해 공지가 개정되었습니다.
- V2.0(2014년 10월 29일): SSL 3.0 사용 중단을 알리고, Windows 서버 및 Windows 클라이언트에서 SSL 3.0을 사용하지 않도록 설정하기 위한 해결 방법 지침을 명확하게 설명하고, Internet Explorer에서 Microsoft Fix it 솔루션이 제공됨을 알리기 위해 공지가 개정되었습니다. 자세한 내용은 기술 자료 문서 3009008을 참조하십시오.
- V2.1(2014년 12월 9일): Internet Explorer 11에서 SSL 3.0 대체 경고가 제공됨을 알려드립니다. 자세한 내용은 기술 자료 문서 3013210을 참조하십시오.
- V2.2(2015년 2월 10일): Internet Explorer 11에서 SSL 3.0 대체 시도가 기본적으로 사용되지 않음을 알려드립니다. 자세한 내용은 Microsoft 기술 자료 문서 3021952를 참조하십시오.
- V2.3(2015년 2월 16일): Internet Explorer 11에서 기본적으로 SSL 3.0을 사용하지 않도록 설정하기 위해 계획된 날짜를 알리기 위해 공지가 개정되었습니다.
- V3.0(2015년 4월 14일): 2015년 4월 14일 보안 업데이트 3038314 릴리스에 따라 SSL 3.0이 Internet Explorer 11에서 기본적으로 사용되지 않음을 알리고, 해결 방법을 실행 취소하는 방법에 대한 지침을 추가하기 위해 공지가 개정되었습니다.
2015-04-07 14:32Z-07:00에 페이지가 생성되었습니다.