[공지] SHA-1 코드 사인 인증서 중단에 따른 지원 가이드
1. 개요
Microsoft의 SHA-1 인증서 지원 중단과 관련하여 안랩은 다음과 같이 권고합니다.
2. 내용
1) Microsoft의 SHA-1 지원 중단
2016년 6월, 미국 NIST는 보안성이 강화된 SHA-2 디지털 인증서 사용 및 SHA-1의 사용 금지를 권고했으며, Microsoft는 운영체제(OS)에서 SHA-1 인증서에 대한 지원을 중단하였습니다.
* NIST : National Institute of Standards and Technology
2) 안랩의 대응 및 권고사항
안랩은 안정적인 제품의 지원을 위해 SHA-1과 SHA-2 인증서를 이중 서명하여 문제가 없도록 제품을 공급해왔으나, “전 세계 인증서 발행기관의 SHA-1 인증서 발급 중단” 및 “운영체제(OS)의 지원 중단”에 따라 SHA-2를 지원하지 않는 운영체제에서는 더 이상 제품 및 엔진의 업데이트가 불가하며, 정상적인 동작이 어려울 수 있습니다.
이에 보안 제품의 지속적인 사용을 위해 현재 사용중인 운영체제의 종류와 버전을 확인하여 운영체제(OS)의 업그레이드 후 사용할 것을 권고해드립니다.
Microsoft Windows별 SHA-2 지원 상황은 아래 내용을 참고바랍니다.
2-1) Microsoft Windows SHA256 지원 현황의 SHA-1 지원 중단
사용 중인 운영체제를 확인하여 SHA256을 지원하는 운영체제로 업그레이드 후 사용할 것을 권고해 드리며, 2020년 12월 8일부터 SHA256을 지원하지 않는 운영체제에서는 더 이상 제품 및 엔진의 업데이트가 불가하며, 정상적인 동작이 어려울 수 있습니다.
구분 |
해당 OS |
지원여부 |
(1) SHA-2 미지원 (서명검증 X) |
ㆍWin XP ㆍWin Server 2003 / 2003 R2 |
OS 업그레이드 필수 제품의 정상 동작 불가 |
ㆍWin Vista(x86) SP0 / SP1 / SP2 ㆍWin Server 2008(x86) SP0 / SP1 / SP2 |
||
ㆍWin 7 (x86) SP0 / SP1 ㆍWin Server 2008 R2(x86) SP0 / SP1 |
||
(2) SHA-2 미지원 (서명검증 O) |
ㆍWin Vista(x64) SP0 / SP1 / SP2 ㆍWin Server 2008(x64) SP0 / SP1 / SP2 |
|
ㆍWin 7(x64) SP0 / SP1 ㆍWin Server 2008 R2(x64) SP0 / SP1 |
||
(3) SHA-2 지원 |
ㆍWin Server 2008(x86/x64) SP2 + KB설치(KB4493730+KB4474419) |
공식 지원, 정상 동작 |
ㆍWin 7(x86/x64) SP1 + KB설치(KB4490628+KB4474419) ㆍWin Server 2008 R2 (x86/x64) SP1 + KB설치(KB4490628+KB4474419) |
||
ㆍ Win 8/8.1/10 ㆍWin Server 2012/2012 R2/2016/2019 |
[표1. Microsoft 운영체제별 SHA256 지원현황]
2-2) 제품 기능 및 업데이트 영향도
미지원 운영체제에 한하여 제품별 하기와 같은 기능 상의 제약이 발생하며, 상황에 따라 예기치 못한 오류가 발생할 수 있습니다.
EMS(APC) 제품군 |
EPP 제품군 |
MDS 제품군 |
V3 제품군 |
|
|
|
|
[표2. 제품별 기능 영향도]
2-3) 제품 대응 가이드
- SHA256 미지원 운영체제 업그레이드
공식적으로 SHA256 미지원 운영체제의 지원이 종료됨으로, KB패키지 설치 또는 지원 운영체제로 업그레이드하시길 바랍니다.
- EMS/EPP 관리콘솔에서 ‘사용자 정의 보고서’를 통해 미지원 운영체제 단말 확인이 가능합니다.
(IP/MAC/컴퓨터이름/OS/OS ServicePack 정보/KB패키지 설치 여부/OS 업그레이드 여부를 목록 확인)
APM/EPM을 사용하는 경우 패치실행 또는 Creator Update 기능을 통해 업그레이드가 가능하고,
APM/EPM을 사용하지 않을 경우 일반 SW 배포 기능을 통해 KB패키지 배포/설치 가능합니다.
- 제품별 패치 가이드
2020년 12월 8일 전에 Update 최신 모듈이 탑재된 제품버전(이상)으로 설치 및 패치 되어야 하며,
신규 설치 시에도 해당 제품버전(이상) 마스터로 설치해야 2020년 12월 8일 이후 문제가 발생하지 않습니다.
- 지원/미지원 운영체제 모두 업데이트 되어야 합니다.
EMS(APC) 제품군 |
EPP 제품군 |
MDS 제품군 |
V3 제품군 |
2020.08.07 Release 이상
|
2020.09.10 Release 이상
|
2020.09.28 Release(예정) 이상
|
2020.10.27일부터 배포 예정
2020.10.20일 Release(예정)
|
[표3. 제품별 SHA256지원 버전정보]