Microsoft SmartScreen 및 EV(확장 유효성 검사) 코드 서명 인증서
오늘 Symantec과 DigiCert 등 2곳의 인증 기관(CA)에서 EV 코드 서명 인증서를 발표했습니다. 이는 정보의 도용을 줄이고 신뢰를 높인다는 측면에서 사용자와 기업 모두에게 긍정적인 효과가 있습니다. 이번 발표가 Microsoft의 SmartScreen 및 Windows 8 앱의 에코시스템에 어떤 의미가 있는지 자세히 설명하고자 합니다.
Windows 스토어 및 Windows 8 앱
Windows 스토어와 Windows 8 앱의 발표는 앱을 배포하여 수익을 창출하는 개발자에게 있어 매우 중요한 기회가 될 것입니다. Windows 8 앱은 Windows 스토어 개발자 등록 및 앱의 검토 과정을 거치도록 되어 있습니다. 이 과정은 사용자가 앱을 안심하고 구매하는 동시에 이를 간편하게 설치하는 것이 가능하도록 설계되었습니다. Windows 8 앱은 SmartScreen 앱 신뢰도 검사 또는 경고 대상에 포함되지 않으며, Windows 스토어에서 직접 검토되고, 코드 서명되고, 승인되어 배포됩니다.
데스크톱 앱
데스크톱 앱은 여전히 Windows 경험의 중요한 일부분으로 남게 되며, Microsoft는 데스크톱 경험 및 사용자의 보안성 확보에 전념하고 있습니다. 사용자는 Internet Explorer(IE) 외에도 다양한 경로를 통해 인터넷에서 앱을 다운로드할 수 있으므로, 이제 Windows 8은 인터넷에서 다운로드한 앱을 사용자가 처음 실행할 때 SmartScreen으로 앱에 대한 신뢰도 검사를 수행합니다.
SmartScreen의 활용 범위가 IE에서 시스템 전반으로 진화했다는 것은 Windows 사용자에게 있어 매우 중대한 발전입니다. 그리고 IE9에서는 이 기능으로 놀라운 결과를 확인할 수 있었습니다(자세한 내용은 여기와 여기를 참조). 이러한 새로운 경험에 힘입어 수백 만의 사용자가 맬웨어 감염을 예방할 수 있었으며, Microsoft는 어떤 브라우저를 사용하든 관계없이 Windows 사용자에게 이와 같은 보호책을 제공할 수 있게 되어 기쁘게 생각합니다. IE9 앱 신뢰도 기능 및 데이터 모델에 대한 자세한 내용은 이 게시글을 참조하세요. Windows 8(Windows SmartScreen 포함)에서의 보안 및 안전성에 대한 자세한 정보는 이 게시글을 참조하세요.
SmartScreen 앱 신뢰도에 대한 높은 수준의 통합이 구현됨으로써 데스크톱 앱 개발자들은 그들의 코드 서명으로 신뢰도를 추가로 높일 수 있게 됩니다. Microsoft는 이전부터 신뢰도를 구축하고 프로그램의 신뢰성을 제공하기 위해 필요한 디지털로 서명된 코드의 중요성에 대해 언급해 왔습니다. 그리고 이를 실제로 구현할 수 있도록 협조해 준 개발 커뮤니티의 도움에 감사드립니다. IE9에서 SmartScreen 앱 신뢰도 공개 이후로 오늘날 IE9 RTM에서 서명된 다운로드의 비율이 세계적으로 73%에서 83%로 10%나 증가했습니다.
과거에 논의했던 바와 같이 SmartScreen은 개별 프로그램 및 코드를 서명하는데 사용되는 인증서에 대해서도 신뢰도를 구축합니다. 더 높은 수준의 ID가 게시자에 의해 서명된 여러 프로그램에 대한 신뢰도의 구축을 가능하게 하기 때문에 코드 서명은 Microsoft의 신뢰도 정보에 있어서 매우 중요합니다. 또한 서명된 프로그램은 서명된 인증서의 신뢰도를 상속하기 때문에 게시자에게는 아주 중요한 의미를 가집니다. 즉 게시자가 배포하는 모든 프로그램에 개별적으로 신뢰도를 구축할 필요가 없음을 의미하기 때문입니다.
EV 코드 서명
오늘 Microsoft는 코드 서명의 중대한 발전에 도움이 될 EV 코드 서명 인증서를 발표하게 되었습니다. 또한 EV 코드 서명 인증서가 Internet Explorer 9, Internet Explorer 10 및 Windows 8에서 SmartScreen 앱 신뢰도 기술과 통합될 것임을 알려 드립니다.
Microsoft는 EV 코드 서명 인증서를 사용할 수 있도록 지난 일년간 CA 업체들과 협력해 왔습니다. 이 코드 서명 표준은 안전성과 독자성의 관점에서 두 가지 핵심적인 발전 내용을 포함하고 있습니다. 첫 번째로, 이들은 보다 철저한 조회 및 오늘날 사용되는 EV SSL 인증서와 유사한 인증 절차를 요구합니다. 이 절차는 포괄적인 ID 검증 및 각 개발자에 대한 인증 절차를 요구합니다. 두 번째로, EV 코드 서명 인증서는 앱을 서명하는데 있어 하드웨어의 사용을 요구합니다. 이 하드웨어 요구는 도난이나 코드 서명 인증서의 의도하지 않은 사용에 대한 추가적인 보호책이라고 할 수 있습니다.
EV 코드 서명 인증서에 의해 서명된 프로그램은 파일이나 게시자에 대한 기존의 신뢰도가 없다 하더라도 SmartScreen 신뢰도 서비스로 즉시 신뢰도를 구축할 수 있습니다. 다른 요소들은 신뢰도를 생성하거나 제품 경험을 결정할 때 적용되며, EV 서명된 프로그램은 지속적으로 상세하게 모니터링됩니다. 이들 인증서의 조회 및 보안상의 향상은 사용자와 개발자 모두에게 커다란 진전이라 할 수 있습니다.
오늘부터 EV 코드 서명 인증서는 Symantec 및 DigiCert에 의해 발행되며, SmartScreen과의 통합은 이미 활성화되어 있습니다(IE9, IE10 및 Win8).
이러한 변화에 비판적인 분들은 SmartScreen 때문에 개발자들이 지출해야 할 인증서 관련 비용이 증가할 것이라고 주장할 수 있습니다. 따라서 SmartScreen으로 신뢰도를 구축하거나 유지하기 위해 EV 코드 서명 인증서가 요구되지 않는다는 점이 강조되어야 합니다. 작년에 IE9에서 앱 신뢰도가 도입된 이후 표준 코드 서명 인증서로 서명된 파일과 더불어 서명되지 않은 파일도 지속적으로 신뢰도를 구축하고 있습니다. 하지만 EV 코드 서명 인증서의 존재는 철저한 유효성 검사 과정을 통과한 엔터티에 의해 서명되고, Microsoft 시스템이 서명되지 않았거나 EV 코드가 아닌 서명 프로그램보다 빠르게 엔터티에 대해 신뢰도 구축을 가능하게 하는 하드웨어로 서명된 파일을 가리키는 강력한 지표입니다.
우수 사례
개발자들의 경우 우리가 이전 블로그 글에서 소개한 모범 사례를 계속 따르는 것이 좋습니다. 우리는 Windows 스토어를 통한 앱 배포의 추가 옵션 및 EV 코드 서명의 옵션을 지침서에 추가했습니다.
Windows 스토어를 통해 앱 배포하기
Windows 8 앱은 Windows 스토어 개발자 등록 및 앱 검토 과정을 통과하도록 되어 있습니다. Windows 8 앱은 Windows 8에서 SmartScreen 앱 신뢰도 검사 또는 경고 대상에 포함되지 않습니다.디지털 방식으로 프로그램 서명하기(표준 또는 EV 코드 서명)
신뢰도는 특정 파일뿐만 아니라 디지털 인증서에도 생성되고 할당됩니다. 디지털 인증서는 데이터가 많은 개별 프로그램보다는 단일 인증서에 통합되고 할당되도록 되어 있습니다. 반드시 요구되는 것은 아니지만, EV 코드 서명 인증서에 의해 서명된 프로그램은 해당 파일이나 게시자에 대한 기존 신뢰도가 없다 하더라도 SmartScreen 신뢰도 서비스로 즉시 신뢰도를 구축할 수 있습니다. EV 코드 서명 인증서는 또한 인증서 갱신의 경우에도 신뢰도를 쉽게 유지할 수 있도록 하는 고유한 식별자를 가지고 있습니다. Windows 루트 인증서 프로그램의 멤버인 CA에 의해 발행된 Authenticode 인증서만이 신뢰도를 구축할 수 있습니다.악성 코드를 서명하거나 배포하지 마세요
악성으로 검출된 코드를 배포하는 것은 파일의 신뢰도를 없애며, EV 코드 서명 인증서로 서명된 경우라 하더라도 연관된 디지털 인증서에서의 모든 신뢰도를 함께 떨어뜨리게 됩니다.Windows 로고 또는 Windows 8 데스크톱 앱 인증에 대한 적용
이 프로그램에 대한 자세한 내용은 다음을 참조하세요.- Windows 8 데스크톱 앱 인증(Windows 스토어 등록 시 요구됨)
- Windows 로고 프로그램
Microsoft는 오늘부터 EV 코드 서명 인증서를 제공합니다. 조만간 Windows 8을 통해 새로운 Windows 사용자들에게 SmartScreen 앱 신뢰도를 제공할 수 있게 되어 기쁘게 생각합니다.
- SmartScreen 수석 프로그램 관리자, Jeb Haber