MS12-006: SSL/TLS의 취약성으로 인한 정보 공개 문제: 2012년 1월 10일

이 보안 업데이트에 대한 도움말 및 지원을 구하는 방법

업데이트 설치 도움말: Microsoft Update 지원

IT 전문가용 보안 솔루션: TechNet 보안 문제 해결 및 지원

Windows 컴퓨터를 바이러스 및 맬웨어로부터 보호: 바이러스 솔루션 및 보안 센터

각 지역의 국가별 지원: 국가별 지원

Internet Explorer의 TLS 1.1에 대한 Fix it 솔루션

이 Fix it 솔루션을 사용하거나 사용하지 않도록 설정하려면 사용 또는 사용 안 함 제목 아래에서 Fix it 단추나 링크를 클릭합니다. 그런 다음 파일 다운로드 대화 상자에서 실행을 클릭하고 Fix it 마법사의 단계를 따릅니다.

Windows 기반 서버의 TLS 1.1에 대한 Fix it 솔루션

이 Fix it 솔루션을 사용하거나 사용하지 않도록 설정하려면 사용 또는 사용 안 함 제목 아래에서 Fix it 단추나 링크를 클릭합니다. 그런 다음 파일 다운로드 대화 상자에서 실행을 클릭하고 Fix it 마법사의 단계를 따릅니다.

이 보안 업데이트의 알려진 문제

이 보안 업데이트를 설치한 후에 인증이 실패하거나 일부 HTTPS 서버에 대한 연결이 끊어질 수 있습니다. 이 문제는 이 보안 업데이트가 HTTPS 서버로의 레코드 전송 방식을 변경하기 때문에 발생합니다.

이 보안 업데이트를 일시적으로 사용하거나 사용하지 않도록 설정하려면 보안 업데이트를 사용하지 않도록 설정 또는 보안 업데이트를 다시 사용하도록 설정 제목 아래의 Fix it 단추나 링크를 클릭합니다. 그런 다음 파일 다운로드 대화 상자에서 실행을 클릭하고 Fix it 마법사의 단계를 따릅니다.

참고

• 이러한 마법사는 영어로만 제공될 수 있습니다. 그러나 다른 언어 버전의 Windows에서도 자동 해결 기능을 사용할 수 있습니다.

• 현재 문제가 있는 컴퓨터에서 작업 중이지 않은 경우 자동 해결 기능을 플래시 드라이브 또는 CD에 저장한 후 해당 컴퓨터에서 실행할 수 있습니다.

다음 표에는 이러한 Fix it 솔루션으로 인해 SendExtraRecord 레지스트리 DWORD 항목에 적용되는 값이 표시됩니다.

참고 SendExtraRecord 설정은 Windows의 향후 릴리스에 포함됩니다.

레지스트리 정보

권장되지 않음 이 보안 업데이트를 사용하지 않도록 설정하는 데 다음 절차는 사용하지 마십시오. 그러나 이 보안 업데이트와 호환되지 않는 응용 프로그램을 사용하는 시나리오에는 이 절차를 진행하도록 합니다. 이 보안 업데이트는 모든 응용 프로그램의 SSL 레코드를 분할하도록 합니다.

중요 이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수도 있으므로 다음 단계를 주의하여 수행해야 합니다. 추가 보호 조치로 레지스트리를 수정하기 전에 해당 레지스트리를 백업하는 것이 좋습니다. 이렇게 하면 문제가 발생하는 경우 레지스트리를 복원할 수 있습니다. 레지스트리 백업 및 복원 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.

322756Windows에서 레지스트리를 백업 및 복원하는 방법

기본적으로 이 보안 업데이트는 응용 프로그램 호환성 문제 때문에 schannel 수준에서 옵트인(Opt-in) 모드를 설정합니다. 시스템 전체의 모든 응용 프로그램에 대해 이 보안 업데이트를 사용하지 않도록 설정하려면 값이 2인 DWORD 값 SendExtraRecord를 다음 레지스트리 하위 키에 추가해야 합니다.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL 이 schannel 레지스트리 항목을 추가하려면 같이 하십시오.

1. 시작, 실행을 차례로 클릭하고 열기 상자에 regedit를 입력한 다음 확인을 클릭합니다.

2. 레지스트리에서 다음 하위 키를 찾아 클릭합니다.

   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL

3. 편집 메뉴에서 새로 만들기를 가리킨 다음 DWORD 값을 클릭합니다.

4. DWORD 값의 이름으로 SendExtraRecord를 입력한 다음 Enter 키를 누릅니다.

5. SendExtraRecord를 마우스 오른쪽 단추로 클릭하고 수정을 클릭합니다.

6. 값 데이터 상자에 2를 입력하여 schannel의 레코드 분할을 비활성화한 다음 확인을 클릭합니다.

7. 레지스트리 편집기를 종료합니다.

이 레지스트리 항목에는 세 가지 값이 있으며, 각 값은 다음과 같은 다른 동작 모드를 제공합니다.

내부 테스트에 따르면 기업에서는 레지스트리 값을 1로 설정하지 못한다는 점이 확인되었습니다. 1로 설정하면 너무 많은 시나리오에 문제를 유발할 수 있기 때문입니다. 따라서 이 방법은 사용하지 않는 것이 좋습니다.

SendExtraRecord 레지스트리 항목을 사용하도록 설정할 때의 알려진 문제

• SendExtraRecord 레지스트리 값을 1로 설정하면 schannel의 데이터 암호화를 위해 강제로 모든 호출에서 레코드가 분할됩니다. 이러한 현상은 세션 초기화 중에 호출자가 보안 플래그를 전송했는지에 관계없이 나타납니다.

• schannel을 사용하는 대부분 응용 프로그램은 수신자 쪽에서 응용 프로그램 데이터가 단일 패킷으로 압축된다고 가정하도록 작성됩니다. 응용 프로그램이 암호 해독을 위해 schannel을 호출하더라도 이러한 현상이 나타납니다. 응용 프로그램은 schannel에 의해 설정된 플래그를 무시합니다. 이 플래그는 수신자가 암호를 해독하고 선택할 데이터가 추가로 있다는 것을 응용 프로그램에 알려줍니다. 이 방법은 schannel을 사용하라는, MSDN에서 미리 지정한 방법과는 다릅니다. 보안 업데이트는 강제로 레코드를 분할하므로 이러한 응용 프로그램을 손상시킵니다.

• 손상되는 응용 프로그램에는 Microsoft 제품과 기존 구성 요소가 포함됩니다. 다음은 SendExtraRecord 레지스트리 값을 1로 설정할 때 손상될 수 있는 시나리오의 예입니다.

• • 모든 SQL 제품과 SQL에 구축된 응용 프로그램.

  • NLA(네트워크 수준 인증)가 설정되어 있는 터미널 서버. 기본적으로 NLA는 Windows Vista 이상의 Windows 버전에서 사용할 수 있습니다.

  • 일부 RRAS(라우팅 원격 액세스 서비스) 시나리오.

SendExtraRecord 레지스트리 값을 1로 설정하면 Windows TLS/SSL을 사용하는 모든 응용 프로그램에 대한 보안 레코드 분할이 강제로 실행됩니다. 그러나 이 설정을 사용할 경우 응용 프로그램 호환성 문제가 나타날 수 있습니다. 따라서 고객은 이 레지스트리 설정을 사용하는 대신 TLS 1.1 및 TLS 1.2를 구성하는 것이 좋습니다. TLS 1.1 및 TLS 1.2는 이 문제에 취약하지 않습니다.

사용자는 이 레지스트리 설정을 사용하려는 경우 구현하기 전에 응용 프로그램 호환성 테스트를 포괄적으로 실시하는 것이 좋습니다. 이 설정의 영향을 받는 것으로 알려진 일반 제품에는 Microsoft SQL 제품, Windows 터미널 서버, Windows 원격 액세스 서버 등이 있습니다.