본문 바로가기

벌새::Computer & IT

리브레오피스(LibreOffice) 4.0.1.2 업데이트와 디지털 서명 문제

반응형

오픈 소스(LGPLv3) 라이센스로 배포가 이루어지고 있는 무료 오피스 프로그램 리브레오피스(LibreOffice) 제품이 최근 LibreOffice 4.0.1.2 버전으로 업데이트가 이루어졌습니다.

  Release Notes : LibreOffice 4.0.1 Final (2013-03-06)

 

이번 업데이트 릴리즈 정보를 확인해보면 "Our Windows binaries are digitally signed by The Document Foundation." 내용을 통해 LibreOffice 프로그램 파일에 "The Document Foundation" 디지털 서명을 했다는 내용이 포함되어 있습니다.

 

이미 LibreOffice 4.0.0.3 초기 버전의 설치 파일을 비롯하여 바이너리 파일에는 디지털 서명이 포함되어 있었으며, 이 부분에 대해 공식적으로 언급하여 파일을 살펴보게 되었습니다.

우선 LibreOffice 프로그램의 설치 파일에 포함된 디지털 서명에는 "The Document Foundation" 이름으로 전자 메일, 서명 시간, 연대 서명까지 정상적으로 등록된 유효한 디지털 서명을 포함하고 있습니다.

C:\Program Files\LibreOffice 4.0\program\scalc.exe

그런데 프로그램 설치를 통해 생성된 파일에 추가된 디지털 서명에는 서명 시간과 연대 서명이 제외되어 있는 문제로 유효하지 않은 디지털 서명으로 표시되고 있습니다.

더 자세히 살펴보면 인증서 정보에서 발급 대상, 발급자, 유효 기간은 유효하지만 "해당 개체의 디지털 서명을 확인하지 못했습니다."라고 표시되어 부적절한 디지털 서명을 사용하고 있다고 볼 수 있습니다.

 

해당 문제는 LibreOffice 4.0.0.3 / 4.0.1.2 버전 모두에서 동일하게 확인되고 있는 문제이지만, 특별히 프로그램 설치 및 사용 과정에서 디지털 서명으로 인한 이슈는 발생하지 않고 있습니다.

 

LibreOffice 3.6.5.2 버전에 사용된 디지털 서명

 

추가적으로 과거 배포되었던 LibreOffice 3.6.5.2 버전의 설치 파일과 생성된 바이너리 파일에서 확인된 디지털 서명 정보를 확인해 보았습니다.(※ 해당 버전은 LibreOffice 3의 마지막 버전입니다.)

우선 LibreOffice 3.6.5.2 버전의 설치 파일에는 "The Document Foundation" 디지털 서명이 포함되어 있으며, 서명 시간과 연대 서명은 제외되어 있지만 유효한 디지털 서명으로 표시되고 있습니다.

C:\Program Files\LibreOffice 3.6\program\swriter.exe

반면 LibreOffice 3.6.5.2 버전 설치를 통해 생성된 파일에는 디지털 서명이 포함되어 있지 않았던 것으로 확인됩니다.

 

이로 인해 파일 유효성 검증 강화를 목적으로 LibreOffice 4.0.0.3 버전부터 생성된 바이너리 파일에 디지털 서명을 추가한 것으로 보이지만, 서명 시간과 연대 서명 제외로 인해 디지털 서명에 문제가 있는 것으로 보입니다.

728x90
반응형