[펌] 인터넷 익스플로러 고급 옵션(탭) 가이드

- 인터넷 옵션 고급 설정

인터넷익스플로러 옵션 고급[탭] 연구 [보안] ( 2005.12 )

http://tip.daum.net/openknow/3746432

 < 인터넷익스플로러 옵션 고급[탭] 연구 [보안] >

보안

+ 다운로드하는 프로그램의 서명 확인

인터넷에서 프로그램을 다운로드하거나 실행할 때, 일반적으로 사용자는 해당 프로그램의 원본이 알려진 것이고 믿을 수 있는 것인지 확인하려고 하는 것이 보통입니다. 이러한 사용자의 요구 때문에 Internet Explorer에는 사용자가 인터넷에서 컴퓨터로 프로그램을 다운로드하도록 선택할 때 Microsoft Authenticode 기술을 사용하여 프로그램의 ID를 확인하는 기능이 들어 있습니다. Authenticode 기술은 프로그램이 유효한 인증서를 갖고 있는지 확인합니다. 즉, 소프트웨어 게시자의 신원이 인증서와 일치하고 인증서가 유효한지 확인합니다. 이 기능은 잘못 작성된 프로그램을 시스템에 다운로드하거나 실행하는 경우를 방지하기 위한 것이라기 보다는, 의도적으로 프로그램을 변경시켜 해킹 등의 보안상의 문제를 일으키게 하거나, 시스템에 손상을 가져올 수 있는 프로그램을 다운로드하게 되는 기회를 줄이기 위한 것입니다.

인터넷에서 실행되는 여러 프로그램들은 기본값으로 아래의 디렉터리에 저장되도록 되어 있습니다.

%windir%Downloaded Program Files

이 기능은 아래와 같은 메시지와 관련이 있습니다만, 실제로는 다운로드하는 프로그램의 ID를 확인하는 작업을 하는 것이며, 아래의 메시지의 출력 유무를 결정하지 않습니다. 이 기능과 관련된 다른 메시지가 있는 것으로 보이며 필자는 아직 이 기능과 관련된 메시지를 접해본 적이 없습니다.

참고 : 아래 보안 경고창은 인터넷 옵션의 보안 탭의 설정에 영향을 받습니다.

이 기능이 실제로 확인하는 것은 아래의 정보입니다.

위 그림에서 블럭 표시된 부분이 이 기능으로 확인할 수 있는 프로그램 ID 입니다. 위 그림은 실제 %windir%Downloaded Program Files에 저장된 응용프로그램 중의 하나입니다. 보안상 중요한 기능이라고 볼 수 있습니다. 켜 둘 것을 권장합니다.

레지스트리 

키 : HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerDownload 

값 이름 : CheckExeSignatures 

값 형식 : 문자열 값 (REG_SZ) 

값 데이터 : yes or no - 권장값 : yes

평가 : 프로그램의 ID가 변조되거나 악용될 가능성은 게시자의 인증서와 밀접한 연관이 있기 때문에 희박하지만 보안상의 이유로 켜 둘 것을 권장합니다.

+ 발급자의 인증서 해지 확인

위 그림 중 보안 경고 메시지에서 동의하기 전에 소프트웨어 발급자(위의 경우 Macromedia Inc.)가 해당 소프트웨어를 발행하기 위해 발급받은 인증서가 다운로드하는 시점에서 해지되었는 지를 확인하는 기능입니다. 해당 인증서가 해지 되었을 경우 해지되었다는 메시지를 메시지창에 추가하여 보여주며 사용자로 하여금 선택할 수 있도록 합니다. 보안상의 이유로 이 기능은 켤 것을 권장합니다.

이 기능에 영향을 받는 것은 "1. 다운로드하는 프로그램의 서명 확인"처럼 %windir%Downloaded Program Files의 프로그램들입니다.

레지스트리 

키 : HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionWinTrustTrust ProvidersSoftware Publishing 

값 이름 : State 

값 형식 : DWORD 값 (REG_DWORD) 

값 데이터 : 0x00000001 or 0x00000000 - 권장값 : 0x00000001

평가 : 일반적인 경우에 해지된 인증서로 소트프웨어를 발급하는 경우는 드물지만 악용될 가능성을 배제할 수 없으므로 켜 둘 것을 권장합니다. 

　

+ 보안과 비보안 모드 사이를 전환할 때 경고

Internet Explorer에서 보안 모드와 비보안 모드의 구분은 https://... 또는 http://.. 로 접속하는가 하는 것을 구분할 뿐입니다. 이 기능은 단순 http:// 에서 https:// 로 전환할 때와 그 반대의 경우에 아래와 같은 메시지를 출력합니다.

http:// 에서 https:// 로 전환할 경우

https:// 에서 http:// 로 전환할 경우

위 메시지 창에서 "앞으로 이 경고 메시지 표시 안 함(I)"에 체크하면 이 설정을 끄게 됩니다.

요즘의 대부분의 금융기관 등의 사이트는 자체 보안 모드를 가지고 있어 https:// 프로토콜을 사용하지 않는 것이 일반적입니다. 특별히 보안에 신경을 많이 쓴다면 이 기능을 켜 두고, 이 기능을 켜 두더라도 실제 보안에는 거의 영향을 미치지 않으므로 꺼 둘 것을 권장합니다.

레지스트리 

키 : HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settings 

값 이름 : WarnonZoneCrossing 

값 형식 : DWORD 값 (REG_DWORD) 

값 데이터 : 0x00000001 or 0x00000000 - 권장값 : 0x00000000

평가 : 실제로 이 기능으로 보안에 직접적인 도움이 되는 것은 아니므로 끌 것을 권장합니다.

+ 브라우저를 닫을 때 임시 인터넷 파일 폴더 비우기

이 기능은 보는 바와 같이 열려져 있는 Internet Explorer 창 하나를 닫으면 그 창을 닫기 전까지 탐색한 웹페이지로부터 저장된 모든 임시 인터넷 파일들을 지웁니다. 하드 디스크 용량이 부족하거나 보안상 노출되지 말아야 할 중요한 정보가 있다면 수시로 임시 인터넷 파일들을 지워주기 때문에 유용할 수 있지만, 일반적으로는 대부분의 하드디스크 용량이 충분하고 또한 보안상의 문제가 될 만한 점은 찾기 힘들므로 이 기능은 끌 것을 권장합니다. 임시 인터넷 파일을 지울 경우에는 인터넷 옵션 중 일반 탭의 파일 삭제 또는 Windows의 디스크 정리 기능을 이용해 수동으로 지우는 것이 더 낳습니다. 웹 서핑 속도에 생각보다 많은 영향을 미칩니다.

임시 인터넷 파일은 일반적으로 아래의 디렉터리에 저장됩니다. 

%userprofile%Local SettingsTemporary Internet Files 

%userprofile% 은 일반적으로 C:nulls and SettingsUsername 입니다. 정확한 디렉터리는 시작->실행->%userprofile%->확인을 누르면 됩니다.

레지스트리 

키 : HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsCache 

값 이름 : Persistent 

값 형식 : DWORD 값 (REG_DWORD) 

값 데이터 : 0x00000001 or 0x00000000 - 권장값 : 0x00000000

평가 : 하드디스크 용량이 충분하다면 웹 서핑 속도에 영향을 많이 미치므로 이 기능은 켜 둘 것을 권장합니다.

　

+ 사이트 인증서가 유효하지 않은 경우에 경고

이 기능은 "보안과 비보안 모드 사이를 전환할 때 경고"와 같이 https 로 시작하는 사이트에 관한 것입니다. https 로 시작하는 사이트는 웹 브라우저에게 자신이 보안 사이트이며, 정상적으로 인증 기관으로부터 발급받은 유효한 인증서를 제출해야 해당 브라우저가 보안 모드로 작동하게 됩니다. 이 때 이 인증서가 유효하지 않을 경우 웹 브라우저는 사용자에게 이를 알려 정보교환에 유의할 것을 경고합니다.

보안이 유지되어야 할 대부분의 사이트는 현재 https 를 사용하지 않고 자체적인 보안 프로토콜을 사용하기 때문에 일반적인 사용에서 이러한 메시지를 볼 확률은 상당히 낮습니다. 보안에 특별히 신경을 쓰는 사람이거나 https 프로토콜을 이용한 사이트를 자주 이용하는 사람이 아니라면 이 기능을 꺼 둘 것을 권장합니다.

레지스트리 

키 : HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settings 

값 이름 : WarnonBadCertRecving 

값 형식 : DWORD 값 (REG_DWORD) 

값 데이터 : 0x00000001 or 0x00000000 - 권장값 : 0x00000000

평가 : https 를 사용하는 웹사이트를 이용하는 경우에는 켜 두고, 그렇지 않을 경우에는 필요없는 기능이므로 꺼 둘 것을 권장합니다.

　

+ 서버 인증서 해지 확인(다시 시작해야 함)

이 기능은 "발급자의 인증서 해지 확인"과 중복된 면이 있지만 실제로 웹 브라우저가 이 기능을 수행하는 절차는 전혀 다릅니다. 발급자의 인증서를 발급자 스스로 해지하지 않았지만 해당 인증서를 통해 잘못되거나 유해한 정보가 사용될 경우, 그리고 인증서 발급 기관이 이러한 일이 발생한 것을 감지해서 그 인증서를 해지했을 경우 인증서 발급기관에 접속하지 않고는 이런 사실을 알 수 없게 됩니다. 이 기능은 인증서 발급 기관에 접속해 발급자의 인증서 해지 여부와 관계없이, 인증서 발급 기관이 해당 인증서의 해지하였는가의 여부를 판단하여 사용자에게 경고하는 기능입니다. 대부분의 소프트웨어 발급자에게는 해당 사항이 없으나 특정 인증서를 위조하거나 할 경우를 전혀 배제할 수는 없습니다. 필자는 실제로 Microsoft가 발급자인 것처럼 보인 인증서를 받아 본 적이 있고 이 기능 때문에 그것이 위조된 것임을 안 적이 있기 때문에 이 기능을 켜 놓고 있습니다. 개인적으로는 이 기능을 켜 둘 것을 권장합니다.

레지스트리 

키 : HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settings 

값 이름 : CertificateRevocation 

값 형식 : DWORD 값 (REG_DWORD) 

값 데이터 : 0x00000001 or 0x00000000 - 권장값 : 0x00000001

평가 : 보안상의 문제로 이 기능을 켜 둘 것을 권장합니다.

+ 암호화된 페이지를 디스크에 저장 안 함

이 기능도 https 로 시작되는 사이트와 관련된 기능입니다. 해당 사이트에서 수집된 정보를 인터넷 임시 파일 폴더에 저장하지 않도록 함으로써 중요한 정보를 디스크에 남기지 않도록 합니다. 요즘은 대부분 https 로 시작되는 사이트 수가 적으므로 실질적인 효과는 그다지 크지 않습니다. 인터넷 캐쉬 실행에 부하만 줄 뿐 별다른 잇점은 없으므로 이 기능은 꺼 둘 것을 권장합니다.

참고 : 이 기능을 켜 두고 https 를 사용하는 사이트에 접속한 경우 다운로드가 정상적으로 수행되지 않을 수 있습니다.

레지스트리 

키 : HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settings 

값 이름 : DisableCachingOfSSLPages 

값 형식 : DWORD 값 (REG_DWORD) 

값 데이터 : 0x00000001 or 0x00000000 - 권장값 : 0x00000000

평가 : 보안상 별다른 잇점이 없는 기능입니다. 꺼 둘 것을 권장합니다.

　

+ 통합된 Windows 인증 사용(다시 시작해야 함)

Integrated Windows authentification 또는 Kerberos authentification 은 Internet Information Service(IIS) 5.0에 새로이 도입된 인증 방식입니다. IIS를 사용한 웹 서버에 위의 인증 방법을 사용해서 사용자 인증을 취득해 로그온 과정 없이 해당 사이트에 접속할 수 있습니다. 대부분의 사용자는 IIS를 사용한 웹 서버에서 위와 같은 인증 방법을 취득하는 경우는 거의 없습니다. 이는 사용자 ID와 비밀번호를 넣고 사이트에 접속하는 것과는 전혀 다른 것이므로 일반적으로는 거의 사용하지 않는 방법입니다. 따라서, 이 기능은 꺼 둘 것을 권장합니다.

레지스트리 

키 : HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settings 

값 이름 : EnableNegotiate 

값 형식 : DWORD 값 (REG_DWORD) 

값 데이터 : 0x00000001 or 0x00000000 - 권장값 : 0x00000000

평가 : 이 기능을 사용하고 있는 지 모르거나 이 기능에 대해 아는 바가 없다면 꺼 둘 것을 권장합니다.

　

+ 폼 전송이 리디렉션되는 경우에 경고

특정 웹사이트에 등록하게 될 경우 주민등록번호 등 많은 개인 정보를 일정한 양식(폼)에 따라 입력하게 됩니다. 이 때 웹사이트에서 정보 노출이 아닌 다른 목적으로 해당 정보를 사용자가 전송하는 것과 동시에 다른 웹 사이트 (해당 웹사이트와 연관된 것일 수도 있고 아닐 수도 있음)로 보낼 수 있습니다. 일반적으로 리디렉션이란 정보의 출력 방향을 다른 곳으로 바꾸거나, 다른 곳과 병행하는 것을 말합니다. 인터넷에서만 사용되는 기능은 아닙니다. 다만, 여기서 말하는 인터넷 또는 인트라넷 기반의 웹사이트에 한정된 내용입니다. 물론, 이 기능을 사용하여 악의적인 목적을 가진 사람이 의도적으로 리디렉션 시킬 수도 있습니다. 이런 일을 방지하기 위해, 해당 정보가 다른 곳으로도 전송될 경우 이를 경고해 주는 것입니다. 따라서, 특정 사이트에서 예상치 못한 정보의 리디렉션이 일어날 경우를 대비해 이 기능은 켜 둘 것을 권장합니다. 참고로 필자는 이런 메시지를 본 적은 없으나, 언제나 켜 두고 사용하고 있습니다.

레지스트리 

키 : HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionInternet Settings 

값 이름 : WarnOnPostRedirect 

값 형식 : DWORD 값 (REG_DWORD) 

값 데이터 : 0x00000001 or 0x00000000 - 권장값 : 0x00000001

평가 : 보안상의 이유로 이 기능은 켜 둘 것을 권장합니다.

　

+ 프로필 관리자 사용

이 기능은 Internet Explorer에 포함된 프로필 관리자라는 기능과 연관되어 있습니다. 프로필 관리자는 현재 사용자의 정보를 저장하고 이를 관리하는 도구 입니다. 프로필 관리자를 실행하려면 인터넷 옵션의 내용 탭을 누르고 내 프로필을 누르면 됩니다.

이 기능을 사용해 자신에 관한 많은 정보를 저장하고 이를 사용할 수 있습니다. "프로필 관리자 사용"이라는 기능은 특정 웹사이트에서 프로필 관리자에 저장되어 있는 사용자의 정보를 요구할 때 이를 사용할 지의 여부를 선택합니다. 웹사이트에서 프로필 관리자를 요청하게 되면 어떤 정보를 웹사이트와 공유할 지를 사용자가 결정하도록 하며, 사용자의 허락 없이는 프로필 관리자의 정보를 내 보내지 않는다고는 하지만, 일반적인 사용자는 프로필 관리자를 사용해 자신의 정보를 만드는 일을 거의 하지 않으며, 따라서 이 기능을 사용하는 웹사이트 역시 그 수가 아주 적을 것으로 추측됩니다. 필자는 지금껏 이 프로필 관리자의 정보를 요구하는 사이트를 가 본 적이 없습니다. 심지어 마이크로소프트의 웹사이트 조차 이 기능을 사용하지 않는 것으로 보였습니다. 이 기능을 사용하더라도 보안상의 헛점은 없을 것으로 생각되지만, 사용빈도가 아주 낮으므로 꺼 둘 것을 권장합니다.

레지스트리 

키 : HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerSecurityP3Global 

값 이름 : Enabled 

값 형식 : DWORD 값 (REG_DWORD) 

값 데이터 : 0x00000001 or 0x00000000 - 권장값 : 0x00000000

평가 : 프로필 관리자에 등록된 정보를 요구하는 사이트를 사용하지 않거나 프로필 관리자를 사용해서 자신의 정보를 만들어 놓지 않은 사용자라면 이 기능은 꺼 둘 것을 권장합니다.

　

+ SSL 2.0 사용 

+ SSL 3.0 사용 

+ TLS 1.0 사용

SSL(Secure Socket Layer), TLS(Transfort Layer Security) 는 http(Hyper Text Transfer Protocol) 로 정보를 교환할 경우에 전송되는 정보를 암호화시켜 주는 보안 프로토콜입니다. SSL은 TLS 를 계승한 것으로 좀 더 발전적인 보안 알고리즘을 가지고 있습니다. Internet Explorer 대부분의 보안 옵션이 HTTPS 에서만 작동하는 것과는 달리 이 보안 프로토콜들은 HTTP 에서도 작동되는 경우가 상당히 있었습니다. 자체적인 보안 전문회사의 보안 프로토콜(대표적으로 XecureWeb Client Control)을 가지고 있지 않는 쇼핑몰 등에서 SSL을 이용해서 사용자 정보를 암호화하고 있었습니다. TLS는 현재로서는 거의 쓰이고 있지 않는 것으로 보입니다. 따라서 SSL 2.0과 SSL 3.0은 되도록 켜 두시고, TLS 1.0 은 꺼 두고 쓰다가 특정 사이트에 로그인이나 가입이 되지 않을 경우 해당 사이트에서 TLS를 사용할 수도 있으니 이 때 켜는 것이 바람직할 듯 합니다. 특히, 신용카드 번호 같은 것을 기입해야 하는 데도 불구하고, 자체적인 보안 시스템이 없는 쇼핑몰 등 주요 정보를 노출해야 할 사이트에 접속했을 때, 위의 기능을 모두 꺼 둔 상태에서도 정상적으로 가입이 되거나, 신용카드번호가 입력되고 등록된다면 이는 해당 사이트가 아무런 보안 대책이 없다고 볼 수 있습니다.

주의 : 이 옵션은 레지스트리 값이 11,12,13의 설정에 따라 같은 값 이름이 규칙적으로 변합니다만 혼동을 피하기 위해 여기서는 적지 않겠습니다.

평가 : SSL 2.0과 SSL 3.0을 켜 놓고, TLS 1.0은 꺼 두었다가 특정 사이트에 로그인이 되지 않거나 등록시 오류가 난다면 TLS 1.0 을 켜 보시기 바랍니다. 귀찮으신 분들은 모두 켜 놓고 쓰셔도 무방할 듯 합니다.