본문 바로가기

벌새::Security

파일 다운로드시 서명이 손상되었거나 잘못되었다는 메시지 생성 문제 (2016.1.14)

반응형

마이크로소프트(Microsoft) 업체에서 배포한 2016년 1월 정기 보안 업데이트를 설치한 이후 Internet Explorer 웹 브라우저를 이용하여 파일 다운로드시 "○○○.exe의 서명이 손상되었거나 잘못되었습니다."라는 경고 메시지가 생성되는 경우가 발생하는 이슈가 있습니다.

대표적인 증상이 발생하고 있는 앱체크(AppCheck) 설치 파일을 확인해보면 설치 파일에 포함된 정상적인 SHA-1 디지털 서명이 포함되어 있는 것을 알 수 있습니다.

그렇다면 어떤 보안 패치로 인하여 문제가 발생하는지 조사를 해보면 "x64기반 시스템용 Windows 8.1 보안 업데이트(KB3123479)" 보안 패치가 설치된 경우 발생하는 것을 확인할 수 있습니다.

 

KB3123479 보안 패치는 마이크로소프트 루트 인증서(Microsoft Root Certificate) 프로그램에서 SHA-1 알고리즘을 허용하지 않도록 정책을 변경한 것으로 "Windows Enforcement of Authenticode Code Signing and Timestamping" 내용을 통해 변경되는 정책을 공지하고 있습니다.

 

내용을 간단하게 확인해보면 2016년 1월 1일부터 Windows 7 버전 및 상위 버전, Windows Server 운영 체제에서는 새롭게 서명된 SHA-1 코드로 서명된 인증서를 신뢰할 수 없다고 밝히고 있으며, 2017년 1월 1일까지 SHA-2 코드로 변경을 해야 한다는 것이 핵심입니다.

 

현재 Internet Explorer 웹 브라우저와는 다르게 Chrome, Mozilla Firefox 웹 브라우저는 2016년 7월 1일부터 해당 정책이 적용될 예정이며, 만약 서명 교체가 이루어지지 않을 경우에는 소프트웨어 패키지 및 SSL 인증서가 포함된 웹 사이트에서는 인증서 관련 오류로 다운로드, 실행, 접속 등이 정상적으로 이루어지지 않을 수 있습니다.

 

Internet Explorer 웹 브라우저에서 발생하는 서명 손상과 관련된 메시지와 별개로 파일은 정상적으로 다운로드 폴더에 다운로드되고 있으므로 해당 문제는 소프트웨어 제작사에서 해결해야 하므로 사용자는 불편을 유발한다고 KB3123479 보안 패치를 삭제하는 일이 없도록 하시기 바랍니다.

728x90
반응형