Office 2003 및 2007 Office 제품군의 ActiveX 컨트롤 및 OLE 개체에 대한 보안 설정

Office COM Kill Bit

보안 업데이트 MS10-036에 소개된 Office COM kill bit를 사용하여 특정 COM 개체가 Office 응용 프로그램 내에서 실행되지 못하게 할 수 있습니다. 이러한 특정 COM 개체에는 ActiveX 컨트롤과 OLE 개체가 포함됩니다. 이제는 레지스트리를 통해, Office를 사용할 때 실행되지 못하도록 차단되는 ActiveX 및 OLE 개체를 독립적으로 제어할 수 있습니다.

중요 참고

• Office COM Kill Bit가 OLE 개체용 레지스트리에 설정되어 있으면 해당 개체는 로드되지 않으며 어떤 상황에서도 로드할 수 없게 됩니다.

• Office 2007에서는 다음과 같은 오류 메시지가 나타납니다.
  

  
  외부 연결 OLE 파일에 대한 참조가 차단되었습니다.
  

• Office 2003에서는 다음과 같은 오류 메시지가 나타납니다.
  

  클래스 개체를 만들 수 없습니다. 액세스가 거부되었습니다.
  

  
  

로드하지 못한 CLSID를 확인하려면 TechNet의 프로세스 모니터를 사용하십시오. 프로세스 모니터 로그 파일에서 Internet Explorer kill-bit 설정을 찾아 보십시오.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>
참고 COM 개체용으로 설정된 kill bit를 제거하는 것은 권장되지 않습니다. 취소할 경우 보안 취약성이 생길 수 있습니다. kill bit는 일반적으로 중요한 이유로 설정되며 따라서 ActiveX 컨트롤 중지를 취소(unkill)할 때는 주의해야 합니다.

새 ActiveX 컨트롤의 CLSID를 Office COM kill bit가 적용된 ActiveX 컨트롤의 CLSID와 연관지어야 하며 이 ActiveX 컨트롤이 보안 위협을 줄이기 위해 수정된 경우 AlternateCLSID(“Phoenix bit”라고도 함)를 추가할 수 있습니다. Office에서는 ActiveX 컨트롤 COM 개체가 사용될 때만 AlternateCLSID를 지원합니다.

참고 이 Office용 kill-bit 목록은 Internet Explorer용 kill-bit 목록보다 우선적으로 고려됩니다. 예를 들어 동일한 ActiveX 컨트롤에 대해 Office COM kill bit와 Internet Explorer ActiveX kill bit가 모두 설정될 수 있습니다. 그렇지만 AlternateCLSID는 Internet Explorer용 목록에만 설정됩니다. 이 시나리오에서는 두 설정 간에 충돌이 발생합니다. 이러한 경우 Office COM kill-bit 설정이 우선적으로 고려되고 해당 컨트롤은 로드되지 않습니다.

Office COM Kill Bit 설정

중요 이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수도 있으므로 다음 단계를 주의하여 수행해야 합니다. 추가 보호 조치로 레지스트리를 수정하기 전에 해당 레지스트리를 백업하는 것이 좋습니다. 이렇게 하면 문제가 발생하는 경우 레지스트리를 복원할 수 있습니다. 레지스트리 백업 및 복원 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.

322756Windows XP 및 Windows Server 2003에서 레지스트리를 백업, 편집 및 복원하는 방법레지스트리에서 Office COM kill bit 설정 위치는 다음과 같습니다.

HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}이 경우 CLSID는 COM 개체에 대한 클래스 식별자입니다. Office COM kill bit를 사용하도록 설정하려면 로드되지 못하게 차단하려는 ActiveX 컨트롤 또는 OLE 개체의 CLSID를 포함하는 레지스트리 하위 키를 추가해야 합니다. 또한 Compatibility Flag의 REG_DWORD 값을 0x00000400으로 설정해야 합니다.

예를 들어 CLSID가 {77061A9C-2F18-4f38-B294-F6BCC8443D24}인 개체에 대해 Office COM kill bit를 설정하려면 다음 하위 키를 찾은 후 REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24}를 추가합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility이 경우 경로는 다음과 같습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} 값 0x00000400을 포함하는 하위 키를 {CLSID} 키에 추가하면 Office COM kill bit가 설정됩니다. 64비트 및 32비트 개체와 해당 kill bit는 다른 레지스트리 위치에 있습니다.

자세한 내용은 다음 Microsoft 웹 페이지에서 Kill-Bit FAQ를 참조하십시오.

Kill-Bit FAQ: 1/3부

OLE 개체용 Internet Explorer kill-bit 목록을 재정의하는 방법

(영문) IE kill-bit 목록 재정의 옵션을 사용하면 Office 내에서 로드할 수 있게 허용할 Internet Explorer kill-bit 목록의 OLE 개체를 구체적으로 지정할 수 있습니다. IE kill-bit 목록 재정의 옵션은 해당 OLE 개체를 Office에서 로드해도 확실히 안전할 경우에만 사용하십시오. Office에서는 IE kill-bit 목록 재정의 설정을 확인할 때 Office COM kill bit가 사용하도록 설정되었는지 여부도 확인합니다. Office COM kill bit가 사용하도록 설정되면 OLE 개체는 로드되지 않습니다.

IE kill-bit 목록 재정의 옵션을 사용하도록 설정하려면 OLE 개체를 올바르게 분류해야 합니다. 레지스트리에서 해당 하위 키가 아직 없는 경우 Implemented Categories라는 하위 키를 COM 개체의 CLSID에 추가합니다. 그런 후 OLE 개체용 범주 ID(CATID)가 들어 있는 하위 키 {F3E0281E-C257-444E-87E7-F3DC29B62BBD}를 Implemented Categories 키에 추가합니다.

예를 들어 OLE 개체를 지우도록 Internet Explorer를 설정할 수 있지만 이 개체를 Office는 계속 사용하려고 할 수 있습니다. 이 경우 먼저 레지스트리의 다음 위치에서 해당 OLE 개체에 대한 CLSID를 조회해야 합니다.

HKEY_CLASSES_ROOT\CLSID 예를 들어 Microsoft Graph Chart용 CLSID는 {00020803-0000-0000-C000-000000000046}일 수 있습니다. 또한 해당 키 Implemented Categories가 이미 있는지 여부를 확인하고, 존재하지 않을 경우 만들어야 합니다. 이 예제에서 경로는 다음과 같습니다.

HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories 마지막으로 Implemented Categories 키에 CATID OLE 개체에 대한 새 하위 키를 추가합니다. 다음은 이 예에 해당하는 경로입니다.

HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}
참고 OLE 개체에 대한 범주 ID(CATID)는 {F3E0281E-C257-444E-87E7-F3DC29B62BBD}이며 중괄호( { } )는 반드시 사용해야 합니다.

ATL 완화를 사용하지 않도록 설정하는 방법

ATL 완화가 사용하도록 설정되면 OleLoadFromStreamsuch를 사용하는 컨트롤이 작동하지 않게 되며 제어 정보는 손실됩니다. 예를 들어 VB6/Windows 일반 컨트롤이 이 문제의 영향을 받습니다.

경고 이 해결 방법으로 인해 컴퓨터나 네트워크가 악의적인 사용자나 바이러스와 같은 악성 소프트웨어의 공격에 취약해질 수 있습니다. 이 해결 방법을 권장하지는 않지만 사용자 판단에 따라 해결 방법을 구현할 수 있도록 이에 대한 정보를 제공하고 있습니다. 이 해결 방법의 사용에 따른 모든 책임은 사용자에게 있습니다.

ATL 완화는 광범위한 영역에 적용되므로 꼭 필요한 경우가 아니면 사용하지 않도록 설정하지 않는 것이 좋습니다. ATL 완화를 사용하지 않도록 설정할 경우 보안 취약성이 발생할 수 있습니다. ATL 완화를 사용하지 않도록 설정한 경우 신뢰할 수 없는 원본에서 받았거나 신뢰할 수 있는 원본에서 갑자기 받은 Microsoft Office 파일은 열지 않는 것이 좋습니다.

ATL 취약성을 나타내는 완화를 사용하지 않도록 설정하려면 다음 레지스트리 하위 키에서 NoOLELoadFromStreamChecks REG_DWORD를 값 00000001로 설정하십시오.

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security
참고 이 레지스트리 하위 키가 없는 경우 REG_DWORD 유형으로 만들어야 합니다.

Office 응용 프로그램용 스크립트릿 컨트롤 사용 안 함

이 보안 업데이트를 설치한 후에는 Office 응용 프로그용 스크립트릿을 사용하지 않도록 설정해야 합니다. 그래야 Internet Explorer 동작이 달라지지 않습니다.

Office 응용 프로그램용 스크립트릿을 사용하지 않도록 설정하려면 다음 레지스트리 하위 키에서 Compatibility Flag의 REG_DWORD를 00000400 값으로 설정하십시오.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}
다음은 Office 거부 목록에 넣을 수 있는 기타 컨트롤 목록입니다.