DetailPage-MSS-KB

기술 자료

기술 자료: 2643584 - 마지막 검토: 2014년 4월 22일 화요일 - 수정: 5.0

이 페이지에서

소개

Microsoft는 보안 공지 MS12-006을 발표했습니다. 보안 공지 전체 내용을 보려면 다음 Microsoft 웹 사이트 중 하나로 이동하십시오.

이 보안 업데이트에 대한 도움말 및 지원을 구하는 방법

업데이트 설치 도움말: Microsoft Update 지원 (http://support.microsoft.com/ph/6527/ko)

IT 전문가용 보안 솔루션: TechNet 보안 문제 해결 및 지원 (http://technet.microsoft.com/ko-kr/security/bb980617.aspx)

Windows 컴퓨터를 바이러스 및 맬웨어로부터 보호: 바이러스 솔루션 및 보안 센터 (http://support.microsoft.com/contactus/cu_sc_virsec_master?ln=ko)

각 지역의 국가별 지원: 국가별 지원 (http://support.microsoft.com/common/international.aspx?ln=ko)

해결 지원

다음 두 가지 Fix it 솔루션을 사용할 수 있습니다.
  • Internet Explorer의 TLS(전송 계층 보안) 1.1에 대한 Fix it 솔루션: 이 솔루션은 Windows Internet Explorer에서 해당 취약성의 영향을 받지 않는 TLS 1.1을 사용하도록 설정합니다. 대부분의 일반 사용자는 이 Fix it 솔루션을 설치하는 것이 좋습니다.
  • Windows 기반 서버의 TLS 1.1에 대한 Fix it 솔루션: 이 솔루션은 해당 취약성의 영향을 받지 않는 TLS 1.1을 사용하도록 설정합니다.
이 절에 설명된 이 Fix it 솔루션은 보안 업데이트를 대신할 목적으로 제공되지 않습니다. 항상 최신 보안 업데이트를 설치하는 것이 좋습니다. 그러나 이러한 Fix it 솔루션을 일부 시나리오에 대한 해결 방법으로 제공합니다.

해결 방법에 대한 자세한 내용은 보안 공지 MS12-006을 참조하십시오.
http://technet.microsoft.com/ko-kr/security/bulletin/ms12-006 (http://technet.microsoft.com/ko-kr/security/bulletin/ms12-006)
The bulletin provides more information about the issue and includes the following:
  • 해결 방법을 적용할 수 있는 시나리오 및 적용할 수 없는 시나리오
  • 완화 요소
  • 해결 방법
  • FAQ
특히 이 정보를 보려면 취약점 정보 절을 찾은 다음 SSL 및 TLS 프로토콜 취약점(CVE-2011-3389) 단락 아래의 대안 단락을 확장하십시오.

Internet Explorer의 TLS 1.1에 대한 Fix it 솔루션

이 Fix it 솔루션을 사용하거나 사용하지 않도록 설정하려면 사용 또는 사용 안 함 제목 아래에서 Fix it 단추나 링크를 클릭합니다. 그런 다음 파일 다운로드 대화 상자에서 실행을 클릭하고 Fix it 마법사의 단계를 따릅니다.
표 축소표 확대
사용사용 안 함
문제 자동 해결
Microsoft Fix it 50773
문제 자동 해결
Microsoft Fix it 50772

참고

  • 이러한 마법사는 영어로만 제공될 수 있습니다. 그러나 다른 언어 버전의 Windows에서도 자동 해결 기능을 사용할 수 있습니다.
  • 현재 문제가 있는 컴퓨터에서 작업 중이지 않은 경우 자동 해결 기능을 플래시 드라이브 또는 CD에 저장한 후 해당 컴퓨터에서 실행할 수 있습니다.

Windows 기반 서버의 TLS 1.1에 대한 Fix it 솔루션

이 Fix it 솔루션을 사용하거나 사용하지 않도록 설정하려면 사용 또는 사용 안 함 제목 아래에서 Fix it 단추나 링크를 클릭합니다. 그런 다음 파일 다운로드 대화 상자에서 실행을 클릭하고 Fix it 마법사의 단계를 따릅니다.
표 축소표 확대
사용사용 안 함
문제 자동 해결
Microsoft Fix it 50774
문제 자동 해결
Microsoft Fix it 50775

참고

  • 이러한 마법사는 영어로만 제공될 수 있습니다. 그러나 다른 언어 버전의 Windows에서도 자동 해결 기능을 사용할 수 있습니다.
  • 현재 문제가 있는 컴퓨터에서 작업 중이지 않은 경우 자동 해결 기능을 플래시 드라이브 또는 CD에 저장한 후 해당 컴퓨터에서 실행할 수 있습니다.

이 보안 업데이트의 알려진 문제

이 보안 업데이트를 설치한 후에 인증이 실패하거나 일부 HTTPS 서버에 대한 연결이 끊어질 수 있습니다. 이 문제는 이 보안 업데이트가 HTTPS 서버로의 레코드 전송 방식을 변경하기 때문에 발생합니다.

이 보안 업데이트를 일시적으로 사용하거나 사용하지 않도록 설정하려면 보안 업데이트를 사용하지 않도록 설정 또는 보안 업데이트를 다시 사용하도록 설정 제목 아래의 Fix it 단추나 링크를 클릭합니다. 그런 다음 파일 다운로드 대화 상자에서 실행을 클릭하고 Fix it 마법사의 단계를 따릅니다.
표 축소표 확대
보안 업데이트를 사용하지 않도록 설정 보안 업데이트를 다시 사용하도록 설정
문제 자동 해결
Microsoft Fix it 50824
문제 자동 해결
Microsoft Fix it 50825
참고
  • 이러한 마법사는 영어로만 제공될 수 있습니다. 그러나 다른 언어 버전의 Windows에서도 자동 해결 기능을 사용할 수 있습니다.
  • 현재 문제가 있는 컴퓨터에서 작업 중이지 않은 경우 자동 해결 기능을 플래시 드라이브 또는 CD에 저장한 후 해당 컴퓨터에서 실행할 수 있습니다.
다음 표에는 이러한 Fix it 솔루션으로 인해 SendExtraRecord 레지스트리 DWORD 항목에 적용되는 값이 표시됩니다.
표 축소표 확대
제목 SendExtraRecord 항목에 적용되는 값
보안 업데이트를 사용하지 않도록 설정 2
보안 업데이트를 다시 사용하도록 설정 0
참고 SendExtraRecord 설정은 Windows의 향후 릴리스에 포함됩니다.

이 보안 업데이트에 대한 알려진 문제 및 추가 정보

다음 문서에는 개별 제품 버전과 관련된 이 보안 업데이트에 대한 추가 정보가 나와 있습니다. 문서에는 알려진 문제 정보가 포함될 수 있습니다. 이러한 경우 알려진 문제는 각 문서 링크 아래에 표시됩니다.
  • 2585542  (http://support.microsoft.com/kb/2585542/ko/ ) MS12-006: 2012년 1월 10일자 Windows Webio, Winhttp 및 schannel의 보안 업데이트에 대한 설명
  • 2638806  (http://support.microsoft.com/kb/2638806/ko/ ) MS12-006: 2012년 1월 10일자 Windows Server 2003 및 Windows XP Professional x64 Edition Winhttp의 보안 업데이트에 대한 설명

레지스트리 정보

권장되지 않음 이 보안 업데이트를 사용하지 않도록 설정하는 데 다음 절차는 사용하지 마십시오. 그러나 이 보안 업데이트와 호환되지 않는 응용 프로그램을 사용하는 시나리오에는 이 절차를 진행하도록 합니다. 이 보안 업데이트는 모든 응용 프로그램의 SSL 레코드를 분할하도록 합니다.

중요 이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수도 있으므로 다음 단계를 주의하여 수행해야 합니다. 추가 보호 조치로 레지스트리를 수정하기 전에 해당 레지스트리를 백업하는 것이 좋습니다. 이렇게 하면 문제가 발생하는 경우 레지스트리를 복원할 수 있습니다. 레지스트리 백업 및 복원 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
322756  (http://support.microsoft.com/kb/322756/ko/ ) Windows에서 레지스트리를 백업 및 복원하는 방법


기본적으로 이 보안 업데이트는 응용 프로그램 호환성 문제 때문에 schannel 수준에서 옵트인(Opt-in) 모드를 설정합니다. 시스템 전체의 모든 응용 프로그램에 대해 이 보안 업데이트를 사용하지 않도록 설정하려면 값이 2인 DWORD 값 SendExtraRecord를 다음 레지스트리 하위 키에 추가해야 합니다.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
이 schannel 레지스트리 항목을 추가하려면 같이 하십시오.
  1. 시작, 실행을 차례로 클릭하고 열기 상자에 regedit를 입력한 다음 확인을 클릭합니다.
  2. 레지스트리에서 다음 하위 키를 찾아 클릭합니다.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  3. 편집 메뉴에서 새로 만들기를 가리킨 다음 DWORD 값을 클릭합니다.
  4. DWORD 값의 이름으로 SendExtraRecord를 입력한 다음 Enter 키를 누릅니다.
  5. SendExtraRecord를 마우스 오른쪽 단추로 클릭하고 수정을 클릭합니다.
  6. 값 데이터 상자에 2를 입력하여 schannel의 레코드 분할을 비활성화한 다음 확인을 클릭합니다.
  7. 레지스트리 편집기를 종료합니다.
이 레지스트리 항목에는 세 가지 값이 있으며, 각 값은 다음과 같은 다른 동작 모드를 제공합니다.
표 축소표 확대
레지스트리 키 값 설명
0기본적으로 schannel이 "옵트인 모드"(Optin Mode)로 포함됩니다. 즉, 이 보안 업데이트는 보안 플래그를 schannel로 전송하는 모든 호출자에 적합합니다. 보안 패키지는 "SendExtraRecord" schannel 레지스트리 항목을 만들지 않습니다. 따라서 어떤 schannel 레지스트리 항목을 지정해도 시스템이 이 모드를 실행하지 않습니다. 누군가가 이 레지스트리 키를 만들고 해당 값을 0으로 설정하면 schannel은 이 모드에서 다시 실행됩니다.

이렇게 설정하면 이 레지스트리 항목을 만들지 않은 것과 결과가 같습니다. 세션 초기화 중에 schannel로 보안 플래그를 전송하는 응용 프로그램은 고정된 보안 코드 경로만 사용합니다. 다른 응용 프로그램에서 schannel 동작은 달라지지 않습니다.

또한 이 보안 업데이트는 Internet Explorer를 통해 보안 플래그를 전송함으로써, 웹 검색에 사용되는 응용 프로그램 계층을 고정합니다. 브라우저가 사용되는 시나리오의 보안을 유지하기 위함입니다.

참고 Windows Server 2003에는 반드시 보안 업데이트 2638806을 설치해야 WinHTTP API를 사용하는 HTTP 클라이언트 응용 프로그램을 보호할 수 있습니다. 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
2638806  (http://support.microsoft.com/kb/2638806/ko/ ) MS12-006: 2012년 1월 10일자 Windows Server 2003 및 Windows XP Professional x64 Edition Winhttp의 보안 업데이트에 대한 설명
1 이 값을 1로 설정하면 "모두에 대해 사용"하는 것으로 설정됩니다. 즉, 호출자는 플래그를 전송할 필요가 없으며 schannel은 모든 SSL 레코드를 분할합니다. 이 값이 설정되면 응용 프로그램은 어떤 변경도 수행할 필요가 없습니다. 시스템 보안에 아주 민감함 고객은 이 레지스트리 키를 설정하여 시스템 보안을 강화할 수 있습니다.
2 이 값을 2로 설정하면 "모두에 대해 사용 안 하는 것"으로 설정됩니다. 즉, schannel은 응용 프로그램이 수행하는 모든 암호화 호출의 레코드를 분할하지 않습니다. 이 모드에서는 응용 프로그램이 전송하는 보안 플래그가 적용되지 않습니다.
내부 테스트에 따르면 기업에서는 레지스트리 값을 1로 설정하지 못한다는 점이 확인되었습니다. 1로 설정하면 너무 많은 시나리오에 문제를 유발할 수 있기 때문입니다. 따라서 이 방법은 사용하지 않는 것이 좋습니다.

SendExtraRecord 레지스트리 항목을 사용하도록 설정할 때의 알려진 문제

  • SendExtraRecord 레지스트리 값을 1로 설정하면 schannel의 데이터 암호화를 위해 강제로 모든 호출에서 레코드가 분할됩니다. 이러한 현상은 세션 초기화 중에 호출자가 보안 플래그를 전송했는지에 관계없이 나타납니다.
  • schannel을 사용하는 대부분 응용 프로그램은 수신자 쪽에서 응용 프로그램 데이터가 단일 패킷으로 압축된다고 가정하도록 작성됩니다. 응용 프로그램이 암호 해독을 위해 schannel을 호출하더라도 이러한 현상이 나타납니다. 응용 프로그램은 schannel에 의해 설정된 플래그를 무시합니다. 이 플래그는 수신자가 암호를 해독하고 선택할 데이터가 추가로 있다는 것을 응용 프로그램에 알려줍니다. 이 방법은 schannel을 사용하라는, MSDN에서 미리 지정한 방법과는 다릅니다. 보안 업데이트는 강제로 레코드를 분할하므로 이러한 응용 프로그램을 손상시킵니다.
  • 손상되는 응용 프로그램에는 Microsoft 제품과 기존 구성 요소가 포함됩니다. 다음은 SendExtraRecord 레지스트리 값을 1로 설정할 때 손상될 수 있는 시나리오의 예입니다.
    • 모든 SQL 제품과 SQL에 구축된 응용 프로그램.
    • NLA(네트워크 수준 인증)가 설정되어 있는 터미널 서버. 기본적으로 NLA는 Windows Vista 이상의 Windows 버전에서 사용할 수 있습니다.
    • 일부 RRAS(라우팅 원격 액세스 서비스) 시나리오.

SendExtraRecord 레지스트리 값을 1로 설정하면 Windows TLS/SSL을 사용하는 모든 응용 프로그램에 대한 보안 레코드 분할이 강제로 실행됩니다. 그러나 이 설정을 사용할 경우 응용 프로그램 호환성 문제가 나타날 수 있습니다. 따라서 고객은 이 레지스트리 설정을 사용하는 대신 TLS 1.1 및 TLS 1.2를 구성하는 것이 좋습니다. TLS 1.1 및 TLS 1.2는 이 문제에 취약하지 않습니다.

사용자는 이 레지스트리 설정을 사용하려는 경우 구현하기 전에 응용 프로그램 호환성 테스트를 포괄적으로 실시하는 것이 좋습니다. 이 설정의 영향을 받는 것으로 알려진 일반 제품에는 Microsoft SQL 제품, Windows 터미널 서버, Windows 원격 액세스 서버 등이 있습니다.

FAQ

질문: Microsoft는 서버쪽 응용 프로그램 문제 해결을 위해 어떤 도움을 제공하고 있습니까?
답변: 아래 RFC에 설명된 것처럼 사용 중인 응용 프로그램이 SSL/TLS 응용 프로그램 기록을 조각화할 수 있는지 확인하십시오.
참고 이것은 Microsoft 기술 지원 서비스 내에서 직접 작성한 “빠른 게시” 문서입니다. 여기에 포함된 정보는 발생한 문제에 대해 있는 그대로 제공됩니다. 이 문서는 즉시 참조할 수 있도록 빠르게 작성되어서 표기상의 오류가 포함되어 있을 수 있고 언제든지 예고 없이 수정될 수 있습니다. 기타 고려 사항은사용 약관 (http://go.microsoft.com/fwlink/?LinkId=151500) 을 참조하십시오. 정보

본 문서의 정보는 다음의 제품에 적용됩니다.
  • Windows 7 Service Pack 1 을(를) 다음과 함께 사용했을 때
    • Windows 7 Enterprise
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1 을(를) 다음과 함께 사용했을 때
    • Windows Server 2008 R2 Datacenter
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Standard
  • Windows Server 2008 Service Pack 2 을(를) 다음과 함께 사용했을 때
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Microsoft Windows Server 2003 Service Pack 2 을(를) 다음과 함께 사용했을 때
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
키워드: 
atdownload kbfix kbbug kbexpertiseinter kbsecurity kbsecbulletin kbsecvulnerability kbsurveynew KB2643584
공유
추가 지원 옵션
Microsoft Community 지원 포럼
직접 문의하기
Microsoft Certified Partner 찾기
Microsoft Store
소기업이 아닙니까?
다음에서 팔로우하십시오.