Microsoft는 2013년 1월 4일(한국시각)에 사기성 디지털 인증서를 이용한 공격을 차단하기 위하여 Microsoft 보안 권고 2798897 을 발표하였습니다.
Microsoft 보안 권고 - 2798897 사기성 디지털 인증서로 인한 스푸핑 문제점
요약
Microsoft는 신뢰할 수 있는 루트 인증 기관 저장소에 있는 CA인 TURKTRUST Inc.에서 발급된 1개의 사기성 디지털 인증서를 이용한 실제 공격에 대한 보고를 받았습니다. 이사기성 인증서는 콘텐츠 스푸핑, 피싱 공격, MITM(Man-in-the-Middle) 공격에 사용될 수 있습니다. 이 문제는 모든 지원 대상인 Microsoft Windows 릴리스에 영향을 미칩니다.
TURKTRUST Inc.에서 보조 인증 기관(CA) 두 곳(*.EGO.GOV.TR 및 e-islem.kktcmerkezbankasi.org)을 잘못 만들었습니다. *.EGO.GOV.TR 보조 CA는 *.google.com을 대상으로 한 사기성 디지털 인증서를 발급하는 데 사용되었습니다. 이 사기성 인증서는 Google 웹 자산에 대한 콘텐츠 스푸핑, 피싱 공격, MITM(Man-in-the-Middle) 공격에 사용될 수 있습니다.
Microsoft는 이 사기성 디지털 인증서의 사용으로부터 고객을 보호하기 위해, 인증서 신뢰 목록(CTL)을 업데이트하고 있으며 지원 대상인 모든 Microsoft Windows 릴리스에 대해 업데이트를 제공하고 있습니다.
이 업데이트를 통해 문제를 일으킨 인증서에 대한 신뢰를 제거할 수 있습니다.
권장 사항
Windows 8, Windows RT, Windows Server 2012 및 Windows Phone 8을 실행하는 장치 등의 해지 인증서 자동 업데이트를 사용하는 시스템의 경우(자세한 내용은 Microsoft 기술 자료
문서 2677070참조) 자동으로 보호되므로 추가 작업이 필요하지 않습니다.
Windows XP 및 Windows Server 2003을 사용하고 있거나 해지 인증서 자동 업데이트 설치를 선택하지 않은 고객의 경우 업데이트 관리 소프트웨어를 이용하여 즉시 2798897 업데이트를 적용할
것을 권장합니다. Microsoft Update 서비스를 통해 업데이트를 확인하거나, 수동으로 업데이트를 다운로드하여 적용하십시오. 자세한 내용은 이 권고의 "권장 조치" 항목을 참조하십시오.
이 문제점에 대해 영향을 받는 구성요소, 조치 사항 및 자주 제기되는 질문 사항(FAQ) 항목 등에 대한 자세한 설명은 Microsoft 보안 권고 2798897문서를 살펴보시기 바랍니다.
추가 정보
- Microsoft 보안 권고 2798897 사기성 디지털 인증서로 인한 스푸핑 문제점 - http://technet.microsoft.com/security/advisory/2798897
- Microsoft 기술 문서 2677070 - http://support.microsoft.com/kb/2677070
- Microsoft Security Response Center (MSRC) Blog: http://blogs.technet.com/msrc
- Microsoft Malware Protection Center (MMPC) Blog: http://blogs.technet.com/mmpc
- Security Research & Defense (SRD) Blog: http://blogs.technet.com/srd
정보의 일관성
본 메일과 웹 페이지를 통하여 가급적 정확한 내용을 제공하기 위하여 노력하고 있습니다. 웹에 게시된 보안 공지는 최신의 정보를 반영하기 위해 수정되는 경우가 있습니다.
이러한 이유로 본 메일의 정보와 웹 기반의 보안 공지 간에 내용이 불 일치하는 일이 생긴다면, 웹에 게시된 보안 공지의 정보가 더 신뢰할 수 있는 정보입니다.
기술 지원은 지역번호 없이 전화 1577-9700을 통해 한국마이크로소프트 고객지원센터에서 받을 수 있습니다.
보안 업데이트와 관련된 기술 지원 통화는 무료입니다.
감사합니다.
한국마이크로소프트 고객지원부