울지않는벌새 : Security, Movie & Society

파일 다운로드시 서명이 손상되었거나 잘못되었다는 메시지 생성 문제 (2016.1.14)

벌새::Security

마이크로소프트(Microsoft) 업체에서 배포한 2016년 1월 정기 보안 업데이트를 설치한 이후 Internet Explorer 웹 브라우저를 이용하여 파일 다운로드시 "○○○.exe의 서명이 손상되었거나 잘못되었습니다."라는 경고 메시지가 생성되는 경우가 발생하는 이슈가 있습니다.

대표적인 증상이 발생하고 있는 앱체크(AppCheck) 설치 파일을 확인해보면 설치 파일에 포함된 정상적인 SHA-1 디지털 서명이 포함되어 있는 것을 알 수 있습니다.

그렇다면 어떤 보안 패치로 인하여 문제가 발생하는지 조사를 해보면 "x64기반 시스템용 Windows 8.1 보안 업데이트(KB3123479)" 보안 패치가 설치된 경우 발생하는 것을 확인할 수 있습니다.

 

KB3123479 보안 패치는 마이크로소프트 루트 인증서(Microsoft Root Certificate) 프로그램에서 SHA-1 알고리즘을 허용하지 않도록 정책을 변경한 것으로 "Windows Enforcement of Authenticode Code Signing and Timestamping" 내용을 통해 변경되는 정책을 공지하고 있습니다.

 

내용을 간단하게 확인해보면 2016년 1월 1일부터 Windows 7 버전 및 상위 버전, Windows Server 운영 체제에서는 새롭게 서명된 SHA-1 코드로 서명된 인증서를 신뢰할 수 없다고 밝히고 있으며, 2017년 1월 1일까지 SHA-2 코드로 변경을 해야 한다는 것이 핵심입니다.

 

현재 Internet Explorer 웹 브라우저와는 다르게 Chrome, Mozilla Firefox 웹 브라우저는 2016년 7월 1일부터 해당 정책이 적용될 예정이며, 만약 서명 교체가 이루어지지 않을 경우에는 소프트웨어 패키지 및 SSL 인증서가 포함된 웹 사이트에서는 인증서 관련 오류로 다운로드, 실행, 접속 등이 정상적으로 이루어지지 않을 수 있습니다.

 

Internet Explorer 웹 브라우저에서 발생하는 서명 손상과 관련된 메시지와 별개로 파일은 정상적으로 다운로드 폴더에 다운로드되고 있으므로 해당 문제는 소프트웨어 제작사에서 해결해야 하므로 사용자는 불편을 유발한다고 KB3123479 보안 패치를 삭제하는 일이 없도록 하시기 바랍니다.