이 글의 목적은 기업·기관의 프록시 및 SSL 검사 환경에서 Microsoft Office 설치 프로그램과 업데이트 클라이언트가 다운로드에 실패하는 문제를 체계적으로 진단하고 재현 가능한 해결 절차를 제공하는 것이다.
프록시 환경에서 Office 다운로드가 실패하는 구조 이해
Office 설치·업데이트는 Click-to-Run(이하 C2R) 엔진이 CDN 및 마이크로소프트 서비스 엔드포인트에 접속하여 스트리밍 방식으로 패키지를 내려받는 구조이다. 클라이언트 프로세스는 사용자 컨텍스트(WinINet) 또는 시스템 컨텍스트(WinHTTP) 프록시를 사용하며, 배포 도구·업데이트 서비스·MDM/관리도구에 따라 사용하는 스택이 다를 수 있다. 이 차이를 이해하지 못하면 사용자 브라우저는 정상인데 설치기만 실패하는 현상이 반복된다.
전형적 증상과 원인 매핑
| 증상 | 가능 원인 | 핵심 점검 포인트 |
|---|---|---|
| 사용자 브라우저는 인터넷 접속되나 C2R 다운로드만 실패하다. | WinHTTP 시스템 프록시 미설정 또는 서비스 계정 프록시 누락 | netsh winhttp show proxy 출력 확인 |
| 오류 코드 0-1011, 30029-** 등 네트워크 실패 코드가 반복되다. | 프록시 인증(407) 요구, PAC 경로 차단, 인증서 가로채기 | 프록시 인증 정책, PAC 가용성, TLS 검사 예외 목록 |
| 회사 내 일부 PC만 설치·업데이트가 지연되다. | 레지스트리 기반 C2R 업데이트 경로 충돌 또는 손상된 캐시 | 업데이트 경로 레지스트리, 로컬 캐시 정리 |
| 관리도구(SCCM/Intune) 배포는 실패하나 수동설치는 성공하다. | 로컬시스템 계정 환경에서 WinHTTP 프록시 미설정 | 로컬시스템 컨텍스트 프록시 상속 여부 |
| PAC 사용 시 간헐적 실패 | PAC 서버/URL 차단 또는 PAC 반환 값에 Office CDN 빠짐 | PAC URL 접근성, DIRECT 및 예외 처리 |
엔드포인트·도메인 전략
프록시·방화벽·TLS 검사 예외로 아래 범주를 허용하는 것이 일반적이다. 조직 정책에 맞게 야간 윈도우에서 단계적 허용 후 최소 권한으로 축소하는 방식을 권장한다.
- Office 콘텐츠 배포:
*.officecdn.microsoft.com,officecdn.microsoft.com - 리디렉션 및 다운로드 지시:
go.microsoft.com - 설치기·업데이트 조정:
officeclient.microsoft.com - 인증·계정(필요 시):
login.microsoftonline.com,*.microsoftonline.com - 기타 CDN 경유 환경 대비: 조직에서 사용하는 글로벌 CDN 도메인 와일드카드
주의 : TLS 가로채기(SSL Inspection)를 적용하면 C2R 또는 일부 서비스가 실패할 수 있다. 위 도메인에 대해 인증서 검사 우회 예외를 설정하는 것이 안정적이다.
진단 플로우: 10분 내 원인 수렴
- 사용자 컨텍스트 프록시 확인: 인터넷 옵션 또는
reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings"로 WinINet 설정을 확인한다. - 시스템(WinHTTP) 프록시 확인:
netsh winhttp show proxy로 확인한다. Direct access가 나오면 시스템 컨텍스트는 프록시를 쓰지 않는다. - PAC 경로 확인: PAC를 사용한다면
netsh winhttp show proxy에 Automatically Detect 또는 Proxy Server(s)가 표시되는지 확인하고 PAC URL에 접근 가능한지 테스트한다. - 407/401 응답 여부: 프록시 인증이 필요한 환경이면 시스템 계정에서 인증이 불가하여 실패한다. 인증 방식과 예외 정책을 확인한다.
- TLS 검사 예외: 보안 게이트웨이에서 상기 도메인에 대해 복호화 예외를 준다.
- 엔드포인트 접근 테스트: 아래 파워셸로 조직 프록시를 명시해 접근성을 확인한다.
# 사용자 컨텍스트에서 엔드포인트 확인 $proxy = "http://proxy.company.local:8080" $test = "https://officecdn.microsoft.com" try { Invoke-WebRequest -Uri $test -Proxy $proxy -UseBasicParsing -Method Head -TimeoutSec 15 "OK: reachable via proxy" } catch { "FAIL: $($_.Exception.Message)" }
시스템 컨텍스트 테스트(로컬시스템로 스케줄드태스크 실행 권장)
schtasks /Create ... /RU "SYSTEM"로 동일 스크립트 실행하여 결과 파일로 저장해결책 1: 시스템 프록시(WinHTTP) 정확히 설정
관리 배포나 서비스 계정은 WinHTTP를 따른다. 사용자 IE/브라우저 프록시만 설정하면 설치기는 실패한다.
# 현재 시스템(WinHTTP) 프록시 확인 netsh winhttp show proxy
IE(WinINet) 설정을 WinHTTP로 복사(단발성 환경에서 유용)
netsh winhttp import proxy source=ie
명시적으로 수동 프록시 지정
netsh winhttp set proxy proxy-server="http=proxy.company.local:8080;https=proxy.company.local:8080" bypass-list=".company.local;10.;192.168.*;localhost"
PAC 사용
netsh winhttp set proxy source=dhcp
netsh winhttp set proxy source=auto
또는
netsh winhttp set proxy proxy-server="http=proxy.company.local:8080" && netsh winhttp set proxy proxy-bypass-list=""
원복
netsh winhttp reset proxy 주의 : 일부 프록시는 인증을 요구한다. WinHTTP는 사용자 자격 증명을 자동 전송하지 않는다. 설치·업데이트를 시스템 컨텍스트로 운영하는 경우 프록시에서 특정 도메인 무인통과(unauthenticated allow)를 설정하거나 게이트웨이 정책에서 로컬시스템/서버 IP 예외를 부여해야 한다.
해결책 2: ODT(Office Deployment Tool)로 안정적인 오프라인 다운로드
프록시 제약이 심한 환경은 오프라인 원본을 사전 캐시하는 것이 가장 견고하다. 다음 구성으로 콘텐츠를 파일서버에 캐시하고 내부 경로에서 설치·업데이트하도록 설계한다.
<Configuration> <Add OfficeClientEdition="64" Channel="Current" SourcePath="\\fileserver\OfficeCache" AllowCdnFallback="FALSE"> <Product ID="O365ProPlusRetail"> <Language ID="ko-kr"/> </Product> </Add> <Updates Enabled="TRUE" UpdatePath="\\fileserver\OfficeCache" /> <Display Level="None" AcceptEULA="TRUE"/> <Property Name="SharedComputerLicensing" Value="0"/> </Configuration># 1) 캐시 다운로드(프록시 허용 가능한 관리 PC에서 1회 수행) setup.exe /download config.xml
2) 내부 배포
setup.exe /configure config.xml주의 :
AllowCdnFallback="FALSE"로 지정하지 않으면 내부 경로 장애 시 외부 CDN으로 우회하여 다시 프록시에 막힐 수 있다.해결책 3: C2R 업데이트 경로 강제
조직 표준으로 내부 업데이트 공유를 지정하면 프록시 영향을 제거할 수 있다.
레지스트리 경로: HKLM\SOFTWARE\Policies\Microsoft\Office\16.0\Common\OfficeUpdate - UpdatePath (REG_SZ) = \\fileserver\OfficeCache - UpdateChannel (REG_SZ) = Current - OfficeMgmtCOM (DWORD) = 1 # 관리도구 사용 시그룹정책 템플릿(ADMX) 사용 시 “업데이트 경로” 정책으로 동일 설정을 배포한다.
해결책 4: 프록시 인증·PAC 안정화
- PAC 검증: PAC URL이 시스템 컨텍스트에서도 접근 가능한 위치에 있어야 한다. 파일 경로 또는 인증이 필요 없는 웹 경로를 권장한다.
- 도메인 예외: PAC 반환에서 Office CDN 범주에 대해
DIRECT또는 인증 면제를 적용한다. - 인증 정책: NTLM/Kerberos만 허용하는 프록시에서 시스템 계정 인증 실패가 발생한다. 무인 예외 또는 소스 IP 기반 허용을 검토한다.
해결책 5: 배포 도구별 체크리스트
| 도구 | 실행 컨텍스트 | 필수 설정 | 특이점 |
|---|---|---|---|
| SCCM/ConfigMgr | 로컬시스템 | WinHTTP 프록시, 배포 패키지 소스 내부화 | 사용자 프록시와 무관, BITS 제한 영향 |
| Intune Win32 앱 | 로컬시스템 | 콘텐츠 사전패키징 또는 WinHTTP 프록시 | 네트워크 규정 준수 정책과 연동 고려 |
| 수동 설치(사용자) | 사용자 | 브라우저/WinINet 프록시, 인증 세션 유지 | UAC 상승 시 컨텍스트 변환 주의 |
| 스크립트 배포 | 혼합 | psexec -s 등으로 로컬시스템 테스트 | 환경변수 기반 프록시는 신뢰하지 않음 |
해결책 6: 환경변수 프록시의 한계와 사용 시나리오
C2R와 ODT는 기본적으로 WinINet/WinHTTP를 따른다. HTTP_PROXY, HTTPS_PROXY 환경변수는 일부 도구에서만 동작한다. 임시 진단용으로만 사용한다.
# 사용자 프로필에 임시 지정(진단) setx HTTP_PROXY http://proxy.company.local:8080 setx HTTPS_PROXY http://proxy.company.local:8080
PowerShell 세션 한정
$env:HTTP_PROXY="http://proxy.company.local:8080"
$env:HTTPS_PROXY="http://proxy.company.local:8080"주의 : 환경변수 프록시는 서비스나 로컬시스템 컨텍스트에서 무시되는 경우가 많다. 최종 해결은 WinHTTP 또는 네트워크 정책 변경이 핵심이다.
문제 재현 및 로그 수집
- C2R 로그:
%ProgramData%\Microsoft\ClickToRun\Log경로에서*.log수집한다. - 네트워크 캡처:
netsh trace start capture=yes로 OS 네이티브 캡처를 수행하고netsh trace stop으로 종료한다. - 프록시 로그: 해당 시간대에 클라이언트 IP가
officecdn.microsoft.com으로 요청을 보냈는지, 407 또는 5xx가 발생했는지 확인한다.
장애 회피 설계: 내부 미러·캐시 운영
대규모 조직은 다음을 표준화하면 프록시로 인한 장애를 구조적으로 제거할 수 있다.
- 야간에 ODT로 채널별·언어별 최신 빌드를 내부 공유에 캐시한다.
- GPO로 업데이트 경로를 내부 공유로 고정한다.
- 관리 배포는 인터넷 접속을 요구하지 않도록 패키지 구성물을 완결한다.
- CDN 예외는 최소화하되 패치 윈도우 동안만 임시 개방하여 캐시를 갱신한다.
현장 점검 체크리스트
| 항목 | 체크 방법 | 합격 기준 |
|---|---|---|
| WinHTTP 프록시 설정 | netsh winhttp show proxy | 조직 표준 프록시 또는 PAC로 표시 |
| PAC 접근성 | Invoke-WebRequest <PAC URL> | 200 OK, 지연 < 200ms |
| TLS 검사 예외 | 보안 게이트웨이 정책 | *.officecdn.microsoft.com 예외 존재 |
| 내부 캐시 경로 | 파일공유 접근 | 읽기 가능, 최신 빌드 동기화 |
| 정책 배포 | GPO/MDM 리포트 | 업데이트 경로·채널 고정 정책 적용 |
빠른 복구 절차(현장 15분 버전)
- 시스템 프록시 미설정이면 즉시 아래 명령으로 임시 설정한다.
netsh winhttp set proxy proxy-server="http=proxy.company.local:8080;https=proxy.company.local:8080" bypass-list="*.company.local;localhost"- TLS 검사 예외에
*.officecdn.microsoft.com,go.microsoft.com,officeclient.microsoft.com을 추가한다. - ODT로 오프라인 캐시를 생성하여 내부 공유에서 설치한다.
- 설치 후 업데이트 경로를 내부로 고정하고 재부팅한다.
자주 묻는 질문
FAQ
프록시 인증을 유지하면서도 시스템 컨텍스트 설치를 성공시키는 방법이 있나?
가능하다. 프록시에서 특정 도메인에 대한 무인 예외를 구성하거나 소스 IP 기반 허용을 사용한다. 또는 설치·업데이트를 내부 캐시로 전환하여 프록시 통과를 제거한다.
PAC만 사용하는 조직인데 설치가 간헐적으로 실패한다.
PAC 반환 로직의 조건부 분기에서 CDN 도메인이 누락되었을 가능성이 높다. PAC 테스트 도구로 특정 URL에 대한 반환값을 검증하고 DIRECT 또는 지정 프록시를 명시한다.
환경변수 HTTP_PROXY로 해결 가능한가?
일부 도구에서는 동작하나 C2R/ODT의 기본 동작은 WinINet/WinHTTP를 참조한다. 근본 해결은 WinHTTP 설정 또는 내부 캐시 운영이다.
오프라인 캐시가 오래되어 설치 후 즉시 대규모 업데이트가 발생한다.
야간 작업으로 최신 빌드를 미리 내려 최신 상태로 유지한다. 채널별로 동일한 폴더 구조를 유지하고 스크립트로 변경분만 동기화한다.
설치기는 되지만 업데이트가 실패한다.
업데이트 경로가 CDN으로 남아있을 가능성이 있다. 레지스트리 또는 GPO로 내부 경로를 강제하고, 서비스 재시작 후 OfficeC2RClient.exe /update user를 수행한다.