1. 개요

Microsoft의 SHA-1 인증서 지원 중단과 관련하여 안랩은 다음과 같이 권고합니다.

2. 내용

1) Microsoft의 SHA-1 지원 중단

2016년 6월, 미국 NIST는 보안성이 강화된 SHA-2 디지털 인증서 사용 및 SHA-1의 사용 금지를 권고했으며, Microsoft는 운영체제(OS)에서 SHA-1 인증서에 대한 지원을 중단하였습니다.

* NIST : National Institute of Standards and Technology

2) 안랩의 대응 및 권고사항

안랩은 안정적인 제품의 지원을 위해 SHA-1과 SHA-2 인증서를 이중 서명하여 문제가 없도록 제품을 공급해왔으나, “전 세계 인증서 발행기관의 SHA-1 인증서 발급 중단” 및 “운영체제(OS)의 지원 중단”에 따라 SHA-2를 지원하지 않는 운영체제에서는 더 이상 제품 및 엔진의 업데이트가 불가하며, 정상적인 동작이 어려울 수 있습니다.

이에 보안 제품의 지속적인 사용을 위해 현재 사용중인 운영체제의 종류와 버전을 확인하여 운영체제(OS)의 업그레이드 후 사용할 것을 권고해드립니다.

Microsoft Windows별 SHA-2 지원 상황은 아래 내용을 참고바랍니다.

2-1) Microsoft Windows SHA256 지원 현황의 SHA-1 지원 중단

사용 중인 운영체제를 확인하여 SHA256을 지원하는 운영체제로 업그레이드 후 사용할 것을 권고해 드리며, 2020년 12월 8일부터 SHA256을 지원하지 않는 운영체제에서는 더 이상 제품 및 엔진의 업데이트가 불가하며, 정상적인 동작이 어려울 수 있습니다.

                                                                                              [표1. Microsoft 운영체제별 SHA256 지원현황]

2-2) 제품 기능 및 업데이트 영향도

미지원 운영체제에 한하여 제품별 하기와 같은 기능 상의 제약이 발생하며, 상황에 따라 예기치 못한 오류가 발생할 수 있습니다.

                                                                                                              [표2. 제품별 기능 영향도]

2-3) 제품 대응 가이드

- SHA256 미지원 운영체제 업그레이드
공식적으로 SHA256 미지원 운영체제의 지원이 종료됨으로, KB패키지 설치 또는 지원 운영체제로 업그레이드하시길 바랍니다.

- EMS/EPP 관리콘솔에서 ‘사용자 정의 보고서’를 통해 미지원 운영체제 단말 확인이 가능합니다.
(IP/MAC/컴퓨터이름/OS/OS ServicePack 정보/KB패키지 설치 여부/OS 업그레이드 여부를 목록 확인)
APM/EPM을 사용하는 경우 패치실행 또는 Creator Update 기능을 통해 업그레이드가 가능하고,
APM/EPM을 사용하지 않을 경우 일반 SW 배포 기능을 통해 KB패키지 배포/설치 가능합니다.

- 제품별 패치 가이드
2020년 12월 8일 전에 Update 최신 모듈이 탑재된 제품버전(이상)으로 설치 및 패치 되어야 하며,
신규 설치 시에도 해당 제품버전(이상) 마스터로 설치해야 2020년 12월 8일 이후 문제가 발생하지 않습니다.

- 지원/미지원 운영체제 모두 업데이트 되어야 합니다.

                                                                                                        [표3. 제품별 SHA256지원 버전정보]