소개
Microsoft SHA(Secure Hash Algorithm)-1 사용 중단 정책에 따라 Windows 업데이트 2020년 7월 말에 SHA-1 기반 엔드포인트를 중단합니다. 즉, SHA-2로 업데이트되지 않은 이전 Windows 디바이스는 더 이상 Windows 업데이트 통해 업데이트를 받지 않습니다. 이전 Windows 디바이스는 업데이트를 사용하도록 설정하는 특정 SHA-2를 수동으로 설치하여 Windows 업데이트 계속 사용할 수 있습니다.
다른 모든 Windows 플랫폼은 SHA-2 서비스 엔드포인트에 연결하기 때문에 항상 Windows 업데이트 통해 업데이트를 계속 받습니다.
이 변경이 발생하는 이유는 무엇인가요?
이전 플랫폼에만 사용되는 오래된 Windows 업데이트 서비스 엔드포인트가 중단되고 있습니다. 이 변경은 SHA-1 해시 알고리즘의 약점과 업계 표준에 부합하기 때문에 발생합니다.
SHA-1 엔드포인트가 중단되더라도 최신 Windows 디바이스는 더 안전한 SHA-2 알고리즘을 사용하기 때문에 Windows 업데이트 통해 업데이트를 계속 수신합니다. 디바이스가 영향을 받았는지 확인하려면 "영향을 받은 Windows 디바이스" 섹션의 표를 참조하세요.
이 변경에 대한 자세한 내용은 Windows 및 WSUS에 대한 2019 SHA-2 코드 서명 지원 요구 사항을 참조하세요.
영향을 받은 Windows 디바이스는 무엇입니까?
대부분의 사용자는 이 변경의 영향을 받지 않습니다. Windows 8 Desktop 및 Windows Server 2012 시작하여 Windows 업데이트 서비스 엔드포인트에 대한 연결은 SHA-256(최신 알고리즘)을 사용합니다. 이전 버전의 Windows는 보안이 낮은 SHA-1 알고리즘을 사용하여 Windows 업데이트 서비스 엔드포인트에 연결합니다.
영향을 받는 대부분의 Windows 버전의 경우 SHA-2 업데이트는 Windows 업데이트 통해 업데이트를 계속 받는 데 필요한 지원을 추가합니다. 다음 표에서는 다양한 버전의 Windows에 미치는 영향을 보여줍니다. 일부 플랫폼은 더 이상 지원되지 않으므로 업데이트되지 않습니다.
Windows 데스크톱 |
지원 상태 |
Windows 2000 |
디바이스가 지원되지 않습니다. Windows 업데이트 더 이상 지원되지 않습니다. |
Windows XP 64비트 버전 |
|
Windows XP SP3 |
|
Windows Vista |
|
Windows Vista SP1 |
|
Windows Vista SP2 |
|
Windows 7 |
Windows 업데이트 지원이 영향을 받게 됩니다. KB를 수동으로 설치하여 완화할 수 있습니다. |
Windows 7 SP1 |
|
Windows 8 이상 버전 |
영향을 받지 않음 업데이트할 필요가 없습니다. |
Windows Server |
지원 상태 |
Windows 2000 Server |
디바이스가 지원되지 않습니다. Windows 업데이트 더 이상 지원되지 않습니다. |
Windows Server 2003 |
|
Windows Server 2003 SP2 |
|
Windows Server 2008 |
Windows 업데이트 지원이 영향을 받게 됩니다. KB를 수동으로 설치하여 완화할 수 있습니다. |
Windows Server 2008 SP2 |
|
Windows Server 2008 R2 |
|
Windows Server 2008 R2 SP1 |
|
Windows 2012 이상 버전 |
영향을 받지 않음 업데이트할 필요가 없습니다. |
영향을 받은 디바이스는 어떻게 됩니까?
이전 표에 따르면 SHA-2로 업데이트되지 않은 이전 Windows 디바이스만 이 변경의 영향을 받습니다. 영향을 받는 디바이스는 SHA-2로 수동으로 업데이트할 때까지 Windows 업데이트 통해 더 이상 업데이트를 받을 수 없습니다. Windows 디바이스를 수동으로 업데이트하려면 "Windows 디바이스를 SHA-2로 업데이트하는 방법" 섹션을 참조하세요.
SHA-2로 업데이트되지 않은 Windows 디바이스는 업데이트를 검색하려고 시도하며 다음 오류 중 하나를 반환합니다.
-
오류 코드 80072ee2: 디바이스가 Windows 업데이트 연결할 수 없습니다.
-
오류 코드 8024402c: 디바이스에서 Windows 업데이트 찾을 수 없습니다.
-
오류 코드 80244019: 디바이스가 Windows 업데이트 연결할 수 없습니다.
일부 업데이트 검사는 자동 업데이트, 디바이스 드라이버, Defender 바이러스 백신 서명, Microsoft Office 업데이트 등과 같은 UI와의 직접적인 사용자 상호 작용 없이 발생합니다. 이러한 "백그라운드" 검사의 경우 이러한 실패는 명확하지 않습니다. 이 경우 0x8024402c, 8024402c, 0x80072ee2, 80072ee2, 0x80244019 또는 80244019 오류 코드에 대해 Windows 업데이트 로그 파일(c:\windows\windowsupdate.log)을 검사 수 있습니다.
Windows 디바이스를 SHA-2로 업데이트하는 방법
이전 Windows 디바이스에 Windows 업데이트 계속 사용하려면 다음 두 가지 특정 업데이트를 다운로드하여 설치해야 합니다.
업데이트 1: SHA-2 코드 서명 지원
이 업데이트를 적용하면 보다 안전한 SHA-2 해시 알고리즘을 사용하여 서명의 유효성을 검사하기 위한 지원이 추가됩니다. Windows 디바이스에 적합한 업데이트만 적용합니다.-
KB4474419: SHA-2 코드 서명 지원 업데이트 적용 대상: Windows 7 SP1, Windows Server 2008 R2 SP1 및 Windows Server 2008 SP2
-
KB4484071: WINDOWS SERVER UPDATE SERVICES 대한 SHA2 지원 적용 대상: Windows Server Update Services 3.0 SP1 및 Windows Server Update Services 3.2
참고 대부분의 사용자는 업데이트 KB4474419 설치해야 합니다. 엔터프라이즈 관리자는 업데이트 KB4484071 설치할 수도 있습니다.
업데이트 2: SHA-2 관련 서비스 스택 업데이트
이 업데이트를 적용하면 SHA-2 서명의 유효성을 검사하기 위해 지원이 Windows 업데이트 서비스 스택에 추가되고 영향을 받는 Windows 디바이스가 최신 SHA-2 기반 서비스 엔드포인트와 통신하도록 Windows 업데이트. Windows 디바이스에 적합한 업데이트만 적용합니다.