Windows 및 WSUS의 2019 SHA-2 코드 서명 지원 요구 사항

요약

Windows 운영 체제의 보안을 보호하기 위해 업데이트가 이전에 서명되었습니다(SHA-1 및 SHA-2 해시 알고리즘 모두 사용). 서명은 업데이트가 Microsoft에서 직접 제공된 것이고 배달 중에 변경되지 않았다는 인증에 사용됩니다. SHA-1 알고리즘의 약점 때문에 업계 표준에 맞게 Windows 업데이트의 서명을 변경하여 보다 안전한 SHA-2 알고리즘을 독점적으로 사용합니다. 이 변경은 원활한 마이그레이션을 허용하기 위해 2019년 4월부터 2019년 9월까지 단계적으로 수행되었습니다(변경 내용에 대한 자세한 내용은 "제품 업데이트 일정" 섹션 참조).

레거시 OS 버전(Windows 7 SP1, Windows Server 2008 R2 SP1 및 Windows Server 2008 SP2)을 실행하는 고객은 디바이스에 SHA-2 코드 서명 지원이 설치되어 2019년 7월 이후에 릴리스된 업데이트를 설치해야 합니다. SHA-2가 지원되지 않는 디바이스는 2019년 7월 또는 그 이후에 Windows 업데이트를 설치할 수 없습니다. 이러한 변경에 대비하기 위해 2019년 3월부터 SHA-2 로그인에 대한 지원을 릴리스하고 증분 개선을 진행했습니다. Windows Server Update Services(WSUS) 3.0 SP2는 SHA-2 서명된 업데이트를 안전하게 제공하기 위해 SHA-2 지원을 받게 됩니다. SHA-2만 마이그레이션 타임라인에 대한 "제품 업데이트 일정" 섹션을 참조하세요. 

배경 세부 정보

보안 해시 알고리즘 1(SHA-1)은 비가버 가능한 해시 함수로 개발되어 코드 서명의 일부로 널리 사용됩니다. 안타깝게도, SHA-1 해시 알고리즘의 보안은 알고리즘의 약점, 프로세서 성능 향상 및 클라우드 컴퓨팅의 출현으로 시간이 지날 때 안전하지 않습니다. 이제 보안 해시 알고리즘 2(SHA-2)와 같은 더 강력한 대안이 동일한 문제를 경험하지 못하기 때문에 강력하게 선호됩니다. SHA-1 사용 안 에 대한 자세한 내용은 해시 및 서명 알고리즘 을 참조하세요. 

제품 업데이트 일정

2019년 초부터 SHA-2 지원으로의 마이그레이션 프로세스가 단계적으로 시작된 후 독립 실행형 업데이트로 지원이 전달됩니다. Microsoft는 SHA-2 지원을 제공하기 위해 다음 일정을 대상으로 합니다. 다음 타임라인은 변경될 수 있습니다. 필요한 경우 이 페이지를 계속 업데이트합니다.

대상 날짜

이벤트

적용

2019년 3월 12일

독립 실행형 보안 업데이트 KB4474419KB4490628은 SHA-2 코드 기호 지원을 소개하기 위해 릴리스되었습니다.

Windows 7 SP1
Windows Server 2008 R2 SP1

2019년 3월 12일

독립 실행형 업데이트인 KB4484071은 SHA-2 서명된 업데이트 전달을 지원하는 WSUS 3.0 SP2용 Windows 업데이트 카탈로그에서 사용할 수 있습니다. WSUS 3.0 SP2를 사용하는 고객의 경우 이 업데이트는 2019년 6월 18일까지 수동으로 설치해야 합니다.

WSUS 3.0 SP2

2019년 4월 9일

SSU(서비스 스택)에 대한 SHA-2 코드 기호 지원을 소개하는 독립 실행형 업데이트인 KB4493730이 보안 업데이트로 릴리스되었습니다.

Windows Server 2008 SP2

2019년 5월 14일

독립 실행형 보안 업데이트 KB4474419가 SHA-2 코드 기호 지원을 소개하기 위해 릴리스되었습니다.

Windows Server 2008 SP2

2019년 6월 11일

독립 실행형 보안 업데이트 KB4474419가누락된 MSI SHA-2 코드 기호 지원을 추가하기 위해 다시 릴리스되었습니다.

Windows Server 2008 SP2

2019년 6월 18일

Windows 10 업데이트 서명은 이중 서명(SHA-1/SHA-2)에서 SHA-2로만 변경됩니다. 고객 작업이 필요하지 않습니다.

Windows 10, 버전 1709
Windows 10, 버전 1803
Windows 10, 버전 1809
Windows Server 2019

2019년 6월 18일

필수: WSUS 3.0 SP2를 사용하는 고객의 경우 SHA-2 업데이트를 지원하려면 이 날짜까지 KB4484071을 수동으로 설치해야 합니다.

WSUS 3.0 SP2

2019년 7월 9일

필수: 레거시 Windows 버전에 대한 업데이트는 SHA-2 코드 서명 지원을 설치해야 합니다. 이러한 버전의 Windows에 대한 업데이트를 계속 받기 위해 4월과 5월에 릴리스된지원(KB4493730KB4474419)이필요합니다.

모든 레거시 Windows 업데이트 서명은 SHA1에서 듀얼 서명(SHA-1/SHA-2)에서 현재만 SHA-2로 변경됩니다.

Windows Server 2008 SP2

2019년 7월 16일

Windows 10 업데이트 서명은 이중 서명(SHA-1/SHA-2)에서 SHA-2로만 변경됩니다. 고객 작업이 필요하지 않습니다.

Windows 10, 버전 1507
Windows 10, 버전 1607
Windows Server 2016
Windows 10, 버전 1703

2019년 8월 13일

필수: 레거시 Windows 버전에 대한 업데이트는 SHA-2 코드 서명 지원을 설치해야 합니다. 이러한 버전의 Windows에 대한 업데이트를 계속 받기 위해 3월에 릴리스된지원(KB4474419KB4490628)이필요합니다. EFI 부팅을 사용하는 디바이스 또는 VM이 있는 경우 디바이스가 시작되지 않을 수 있는 문제를 방지하기 위해 추가 단계에 대한 FAQ 섹션을 참조하세요.

모든 레거시 Windows 업데이트 서명은 SHA-1에서 듀얼 서명(SHA-1/SHA-2)에서 현재만 SHA-2로 변경됩니다.

Windows 7 SP1
Windows Server 2008 R2 SP1

2019년 9월 10일

레거시 Windows 업데이트 서명은 이중 서명(SHA-1/SHA-2)에서 SHA-2로만 변경되었습니다. 고객 작업이 필요하지 않습니다.


Windows Server 2012 Windows 8.1
Windows Server 2012 R2

2019년 9월 10일

독립 실행형 보안 업데이트 KB4474419가 누락된 EFI 부팅 매거진을 추가하기 위해 다시 릴리스되었습니다. 이 버전이 설치되어 있는지 확인합니다.

Windows 7 SP1
Windows Server 2008 R2 SP1
Windows Server 2008 SP2

2020년 1월 28일

Microsoft 신뢰할 수 있는 루트 프로그램의 CTL(인증서 신뢰 목록)의 서명은 이중 서명(SHA-1/SHA-2)에서 SHA-2로만 변경됩니다. 고객 작업이 필요하지 않습니다.

지원되는 모든 Windows 플랫폼

2020년 8월

Windows 업데이트 SHA-1 기반 서비스 엔드포인트는 중단됩니다. 이는 적절한 보안 업데이트로 업데이트되지 않은 이전 Windows 디바이스에만 영향을 미치게 됩니다. 자세한 내용은 KB4569557 을 참조하세요.

Windows 7
Windows 7 SP1
Windows Server 2008
Windows Server 2008 SP2
Windows Server 2008 R2
Windows Server 2008 R2 SP1

2020년 8월 3일

Microsoft 다운로드 센터에서 보안 해시 알고리즘 1(SHA-1)에 대해 Windows에 서명된 Microsoft 사용 중지된 콘텐츠입니다. 자세한 내용은 2020년 8월 3일사용 중지될 Windows IT pro 블로그 SHA-1 Windows 콘텐츠를 참조하세요.

Windows Server 2000
Windows XP
Windows Server 2003
Windows Vista
Windows Server 2008
Windows 7
Windows Server 2008 R2
Windows 8

Windows Server 2012 Windows 8.1
Windows Server 2012 R2
Windows 10
Windows 10 Server

현재 상태

Windows 7 SP1 및 Windows Server 2008 R2 SP1

다음 필수 업데이트를 설치한 다음 2019년 8월 13일 이후 릴리스된 업데이트를 설치하기 전에 디바이스를 다시 시작해야 합니다. 필요한 업데이트의 새 버전이 없는 한 필요한 업데이트를 순서대로 설치할 수 있으며 다시 설치할 필요가 없습니다.

  • SSU(서비스 스택 업데이트)(KB4490628). Windows 업데이트를 사용하는 경우 필요한 SSU가 자동으로 제공됩니다.

  • SHA-2업데이트(KB4474419)는 2019년 9월10일 릴리스되었습니다. Windows 업데이트를 사용하는 경우 필요한 SHA-2 업데이트가 자동으로 제공됩니다.

중요 월간 롤업, 보안 전용 업데이트, 월간 롤업 미리 보기 또는 독립 실행형 업데이트를 설치하기 전에 필요한 모든 업데이트를 설치한 후 디바이스를 다시 시작해야 합니다.

Windows Server 2008 SP2

다음 업데이트를 설치한 다음, 2019년 9월 10일 이후 릴리스된 롤업을 설치하기 전에 디바이스를 다시 시작해야 합니다. 필요한 업데이트의 새 버전이 없는 한 필요한 업데이트를 순서대로 설치할 수 있으며 다시 설치할 필요가 없습니다.

  • SSU(서비스 스택 업데이트)(KB4493730). Windows 업데이트를 사용하는 경우 필요한 SSU 업데이트가 자동으로 제공됩니다.

  • 최신 SHA-2업데이트(KB4474419)는 2019년 9월10일 릴리스되었습니다. Windows 업데이트를 사용하는 경우 필요한 SHA-2 업데이트가 자동으로 제공됩니다.

중요 월간 롤업, 보안 전용 업데이트, 월간 롤업 미리 보기 또는 독립 실행형 업데이트를 설치하기 전에 필요한 모든 업데이트를 설치한 후 디바이스를 다시 시작해야 합니다.

질문하기

일반 정보, 계획 및 문제 방지

SHA-2 코드 서명 지원은 대부분의 고객이 이러한 시스템에 대한 업데이트에 대한 SHA-2 서명을 변경하기 전까지 지원이 잘 되도록 초기에 제공되었습니다. 독립 실행형 업데이트에는 몇 가지 추가 수정이 포함되어 있으며 모든 SHA-2 업데이트가 소수의 쉽게 식별할 수 있도록 사용할 수 있습니다. 이러한 OS에 대한 시스템 이미지를 유지 관리하는 고객은 이러한 업데이트를 이미지에 적용하는 것이 좋습니다.

WSUS 4.0을 시작으로 Windows Server 2012 WSUS는 SHA-2 서명된 업데이트를 이미 지원하며 이러한 버전에 대해 고객 작업이 필요하지 않습니다.

WSUS 3.0 SP2만이 SHA2 서명된 업데이트만 지원하기 위해 KB4484071이설치되어 필요합니다.

Windows Server 2008 SP2를 실행했다고 가정합니다. Windows Server 2008 R2 SP1/Windows 7 SP1을 통해 듀얼 부팅하는 경우 이 유형의 시스템에 대한 부팅 관리자는 Windows Server 2008 R2/Windows 7 시스템입니다. SHA-2 지원을 사용하기 위해 이러한 두 시스템을 모두 성공적으로 업데이트하려면 먼저 Windows Server 2008 R2/Windows 7 시스템을 업데이트하여 부팅 관리자가 SHA-2를 지원하는 버전으로 업데이트되어야 합니다. 그런 다음 SHA-2 지원을 통해 Windows Server 2008 SP2 시스템을 업데이트합니다.

듀얼 부팅 시나리오와 마찬가지로 Windows 7 PE 환경을 SHA-2 지원으로 업데이트해야 합니다. 그런 다음 Windows Server 2008 SP2 시스템을 SHA-2 지원으로 업데이트해야 합니다.

  1. 2019년 8월 13일 이상 업데이트를 설치하기 전에 Windows 설치를 실행하여 완료하고 Windows로 부팅합니다.

  2. 관리자 명령 프롬프트 창을 열고 를 bcdboot.exe. 이렇게 하면 Windows 디렉터리에서 부팅 파일을 복사하고 부팅 환경을 설정합니다. 자세한 내용은 BCDBoot Command-Line 옵션을 참조하세요.

  3. 추가 업데이트를 설치하기 전에 Windows 7 SP1 및 Windows Server 2008 R2 SP1용 KB4474419KB4490628의 2019년 8월 13일 재 릴리스를 설치합니다.

  4. 운영 체제를 다시 시작합니다. 이 다시 시작이 필요합니다.

  5. 나머지 업데이트를 설치합니다.

  1. 디스크에 이미지를 설치하고 Windows로 부팅합니다.

  2. 명령 프롬프트에서 를 bcdboot.exe. 이렇게 하면 Windows 디렉터리에서 부팅 파일을 복사하고 부팅 환경을 설정합니다. 자세한 내용은 BCDBoot Command-Line 옵션을 참조하세요.

  3. 추가 업데이트를 설치하기 전에 Windows 7 SP1 및 Windows Server 2008 R2 SP1용 KB4474419KB4490628의 2019년 9월 23일 재 릴리스를 설치합니다.

  4. 운영 체제를 다시 시작합니다. 이 다시 시작이 필요합니다.

  5. 나머지 업데이트를 설치합니다.

예,SSU(KB4490628)및 SHA-2업데이트(KB4474419)를진행하기 전에 필요한 업데이트를 설치해야 합니다.  또한 추가 업데이트를 설치하기 전에 필요한 업데이트를 설치한 후 디바이스를 다시 시작해야 합니다.

Windows 10 버전 1903은 릴리스 중이기 때문에 SHA-2를 지원하며 모든 업데이트는 이미 SHA-2만 서명되어 있습니다.  이 버전의 Windows에는 작업이 필요하지 않습니다.

Windows 7 SP1 및 Windows Server 2008 R2 SP1

  1. 2019년 8월 13일 이상 업데이트를 설치하기 전에 Windows로 부팅합니다.

  2. 추가 업데이트를 설치하기 전에 Windows 7 SP1 및 Windows Server 2008 R2 SP1용 KB4474419KB4490628의2019년 9월 23일 재 릴리스를 설치합니다.

  3. 운영 체제를 다시 시작합니다. 이 다시 시작이 필요합니다.

  4. 나머지 업데이트를 설치합니다.

Windows Server 2008 SP2

  1. 2019년 7월 9일 이상 업데이트를 설치하기 전에 Windows로 부팅합니다.

  2. 추가 업데이트를 설치하기 전에 Windows Server 2008 SP2용 KB4474419KB4493730의 2019년 9월 23일 재 릴리스를 설치합니다.

  3. 운영 체제를 다시 시작합니다. 이 다시 시작이 필요합니다.

  4. 나머지 업데이트를 설치합니다.

문제 복구

"Windows에서 이 0xc0000428 디지털 서명을 확인할 수 없습니다. 최근 하드웨어 또는 소프트웨어 변경으로 잘못 서명되거나 손상된 파일이 설치되거나 알 수 없는 원본의 악의적인 소프트웨어일 수 있습니다." 복구를 위해 다음 단계를 따르세요.

  1. 복구 미디어를 사용하여 운영 체제를 시작합니다.

  2. 추가 업데이트를 설치하기 전에 Windows 7 SP1 및 Windows Server 2008 R2 SP1용 배포 이미지 서비스 및관리(DISM)를사용하여 2019년 9월 23일 또는 이후 날짜인 업데이트 KB4474419를 설치합니다.

  3. 명령 프롬프트에서 를 bcdboot.exe. 이렇게 하면 Windows 디렉터리에서 부팅 파일을 복사하고 부팅 환경을 설정합니다. 자세한 내용은 BCDBoot Command-Line 옵션을 참조하세요.

  4. 운영 체제를 다시 시작합니다.

  1. 다른 디바이스에 배포를 중단하고 아직 다시 시작하지 않은 디바이스 또는 VM을 다시 시작하지 않습니다.

  2. 업데이트가 2019년 8월 13일 이상 릴리스된 상태로 다시 시작 보류 중인 상태의 디바이스 및 VM 식별 및 상승된 명령 프롬프트 열기

  3. 해당 업데이트에 대한 KB 번호를 사용하여 제거하려는 업데이트의 패키지 ID 찾기(4512506을 대상으로 하는 KB 번호로 바꾸기, 2019년 8월 13일 릴리스된 월간 롤업이 아닌 경우): dism /online/get-package | findstr 4512506

  4. 다음 명령을 사용하여 업데이트 제거를 <패키지 ID를>/online/remove-package/packagename:Dism.exe /online/remove-package/packagename:< 패키지 ID>

  5.  이제 설치하려는 업데이트의 이 업데이트 섹션 또는 이 문서의 현재 상태 섹션에 나열된 필수 업데이트를 설치해야 합니다.

참고현재 오류 메시지가 표시되거나 복구 환경으로 0xc0000428 디바이스 또는 VM은 오류 해결을 위해 FAQ 질문의 단계를 0xc0000428.

이러한 오류가 발생하는 경우 설치하려는 업데이트의 이 업데이트 또는 이 문서의 현재 상태 섹션에 나열된 필수 업데이트를 다운로드하는 방법 섹션에 나열된 필수 업데이트를 설치해야 합니다.

"Windows에서 이 0xc0000428 디지털 서명을 확인할 수 없습니다. 최근 하드웨어 또는 소프트웨어 변경으로 잘못 서명되거나 손상된 파일이 설치되거나 알 수 없는 원본의 악의적인 소프트웨어일 수 있습니다." 복구를 위해 다음 단계를 따르세요.

  1. 복구 미디어를 사용하여 운영 체제를 시작합니다.

  2. Windows 7 SP1 및 Windows Server 2008 R2 SP1용 배포 이미지 서비스 및관리(DISM)를사용하여 2019년 8월 13일 또는 그 후에 릴리스된 최신 SHA-2업데이트(KB4474419)를설치합니다.

  3. 복구 미디어로 다시 부팅합니다. 이 다시 시작이 필요합니다.

  4. 명령 프롬프트에서 를 bcdboot.exe. 이렇게 하면 Windows 디렉터리에서 부팅 파일을 복사하고 부팅 환경을 설정합니다. 자세한 내용은 BCDBoot Command-Line 옵션을 참조하세요.

  5. 운영 체제를 다시 시작합니다.

이 문제가 발생하면 명령 프롬프트 창을 열고 다음 명령을 실행하여 업데이트를 설치합니다(<msu 위치> 자리 표시자에 실제 위치 및 파일 이름으로 바)를 실행할 수 있습니다.

wusa.exe <msu 위치> /quiet

이 문제는 2019년 10월 8일 릴리스된 KB4474419에서 해결되었습니다. 이 업데이트는 Windows 업데이트 및 WSUS(Windows Server Update Services)에서 자동으로 설치됩니다. 이 업데이트를 수동으로 설치해야 하는 경우 위의 해결 방법을 사용해야 합니다. 

참고 이전에 KB4474419가 2019년 9월 23일 릴리스된 경우 이 업데이트의 최신 버전이 이미 있으며 다시 설치할 필요가 없습니다.

추가 도움이 필요하신가요?

기술 향상
교육 살펴보기
새로운 기능 우선 가져오기
Microsoft Insider 참가

이 정보가 유용한가요?

소중한 의견에 감사드립니다.

×