일단은, 결론부터 내려보면 현실적으로 "보안 경고창"을 없애는 것은 불가능하다고 봅니다. 왜냐하면, 클라이언트로 내려가는 윈도우즈 Application이고, 국내 고객들의 까다로운 요구 사항을 만족시키기 위해서는 "Internet Zone"과 같은 제한된 권한으로는 불가능하기 때문입니다.
어찌되었거나, 단지 ClickOnce 배포에 대한 이해를 높이는 취지에서 이 글을 써봅니다.(사실 ^^; 이거 관련해서 질문도 많이 오고.)
여기서 사용된 응용 프로그램은, 아무 역할도 하지 않는 - 달랑 폼 하나만 띄우는 기본 WinForm Application입니다. (고객의 요구 사항에 따라 보안 요구에 대한 만족은 언제든지 깨질 수 있습니다.)
WinForm 응용 프로그램을 만들어서, 그대로 "Publish" 명령을 이용해서 웹 사이트로 배포를 한 후, 클라이언트 측에서 실행시키면 다음과 같은 보안 경고창이 활성화 됩니다.
과연 어떤 보안 요건을 만족시키지 못했기에 그런 창이 뜨는 지에 대해서는 오른쪽 하단의 "More Information..." 링크를 클릭하면 됩니다. 보통, 아래와 같은 팝업이 뜹니다.
보시면, 크게 3가지 보안 기준 - Publisher, Machine Access, Installation을 만족하지 못한 것으로 나옵니다. 그렇다면, 이것들을 모두 만족시키면 그러한 보안 경고창이 뜨지 않는다는 것인데요. 하나씩 해결해 보도록 하겠습니다.
- Publisher
"The publisher of this application cannot be verified. Only run applications from publishers that you trust."
말 그대로, 알지도 못하는 배포자가 만들어 놓은 응용 프로그램을 설치하는 것이니 경고가 날 수밖에 없습니다. 이것을 해결하는 것은 간단합니다. 돈 좀 ^^ 써서 verisign 같은 곳으로부터 SW 코드 사인을 할 수 있는 인증서를 받으시면 됩니다. 또는 자체 CA 인증 서버를 구동하고, CA Root 인증서를 모든 클라이언트로 설치할 수만 있다면 해당 CA 인증 서버로부터 코드 사인을 할 수 있는 인증서를 받을 수 있습니다.
그렇게 생성된 인증서로 다음과 같이 "Singing" 탭에서 지정하면 "Publisher"에 대해서는 문제가 해결이 됩니다. 화면은, 저희 회사(.NETXPERT)에서 사용중인 인증서를 지정한 것입니다.
- Machine Access
"This application will gain access to additional resources on your computer, such as your file system or your network connection. This may put your computer at risk. Do not approve unless you trust the application's publisher."
이 부분이 현실적으로 많이 위배될 수 있는 보안 정책입니다. 위에서 했던 manifest 서명 여부에 상관없이 무조건 로컬 자원에 대한 액세스가 가능한 프로그램이기 때문에 한번 더 신중해야 한다는 것인데요. 이를 만족시키기 위해서는 프로그램 측에서 "Zone"에서 허용되는 권한 이상으로 로컬 자원에 대한 액세스를 하지 않겠다는 "의지"를 나타내야 합니다. 물론, 그 방법은 CAS 허가 설정을 통해서 가능합니다.
이를 만족하기 위해서는 "Local Intranet" 또는 "Internet Zone"으로 설정하고 해당 영역에서 제공하는 보안 기준 내에 적합하기만 하면 됩니다. 그 외의 추가적인 보안을 요구하게 되면 "Machine Access" 항목은 만족할 수 없습니다.
결국, 다음과 같이 Security를 설정해 주시면 됩니다.
- Installation
"This application will be installed on your computer. It will add a shortcut to your Start menu and will be added to the Add or Remove Programs list."
가장 쉬운 설정입니다. 현재 설정은 "프로그램 추가 / 삭제" 및 "시작" 메뉴에 포함이 되기 때문에 - 엄밀히 보안과는 다소 상관이 없습니다. 실제로 보안 경고창에서도 이 부분은 "느낌표" 그림으로 나옵니다. - 그것을 안 하도록 설정해 주면 됩니다. 이것은 2가지 방식으로 가능한데, ClickOnce 배포 마법사 화면에서 설정하는 것이 있고, 프로젝트 속성 창에서 해주는 방법이 있습니다. 편의를 위해서 프로젝트 속성 창에서 하는 것이 좋습니다. 아래와 같이 "Install Mode and Settings"에서 "The application is available online only"로 설정해 주시면 됩니다.
자, 이제 모든 준비는 완료되었습니다. 빌드와 배포를 한 후, 다른 컴퓨터에서 접근해 보시면 정상적으로 아무런 경고 없이 프로그램이 뜨는 것을 확인할 수 있습니다.