MS, 보안 앱의 윈도우11 커널 접근 막는다
마이크로소프트가 윈도우11의 보안을 한층 더 강화하겠다고 다시 한번 공언했다. 지난 7월 크라우드스트라이크 사태를 교훈 삼아 보안 솔루션의 윈도우 관리자 권한 이용을 제한하고, 드라이버와 앱의 설치에 대한 제어를 더 강화하기로 했다.
마이크로소프트는 최근 미국 시카고에서 개최한 연례 컨퍼런스 마이크로소프트 이그나이트 2024에서 윈도우11의 새 보안 기능을 발표했다.
마이크로소프트는 ‘윈도우 복원성 이니셔티브(Windows Resiliency Initiative)’를 도입한다고 밝혔다. 윈도우 복원성 이니셔티브는 신뢰성을 강화하고, 더 많은 앱과 사용자가 관리자권한 없이 실행되게 하며, 앱과 드라이버 실행의 통제를 강화하고, 피싱 공격을 방지하기 위해 신원 보호 기능이 개선된다.
우선 사용자의 윈도우11에 IT 관리자가 원격에서 접근해 복구할 수 있는 ‘퀵 머신 리커버리(Quick Machine Recovery)’를 선보인다. 관리자는 사용자 PC를 물리적으로 접속하지 않고, 혹은 부팅할 수 없는 상황에도 원격으로 접속할 수 있다. 이 기능은 내년초 윈도우 인사이더 채널에서 제공된다.
마이크로소프트는 또한 ‘마이크로소프트 바이러스 이니셔티브(MVI)’의 일환으로 엔드포인트 보안 파트너와 협력을 강화하기로 했다. 모든 보안 제품 업데이트는 점진적이어야 하고, 배포 링을 활용해야 하며, 업데이트의 부정적 영향을 최소화하기 위해 모니터링돼야 한다는 원칙을 강조했다.
지난 7월 크라우드스트라이크 사태처럼 외부 앱이 윈도우의 관리자권한을 활용한 커널모드에서 업데이트를 배포하는 것을 막겠다는 것이다. 마이크로소프트는 “보안 책임자가 커널 모드 외부에서 제품을 빌드할 수 있는 새 윈도우 기능을 개발하고 있다”며 “바이러스 백신 솔루션 같은 보안 제품은 일반 앱처럼 사용자 모드에서 실행된다”고 밝혔다.
이어 “이 변경 사항은 보안 개발자가 복구를 더 쉽게 하며, 충돌이나 실수 발생 시에도 윈도우에 미치는 영향을 줄인다”고 강조했다. 이 변경사항은 내년 7월 보안 제품 생태계에 비공개 미리보기로 제공된다.
마이크로소프트는 또한 ‘시큐어 퓨처 이니셔티브(SFI)’에 따라 안전한 프로그래밍 언어를 채택하고 있으며, 점진적으로 C++에서 러스트로 기능을 옮기고 있다고 강조했다.
마이크로소프트는 사용자와 앱의 과도한 관리자권한 활용을 해결하겠다고 밝혔다. 사용자와 앱이 과도하게 관리자권한을 이용하면 검증되지 않은 앱과 드라이버, 안전하지 않은 자격 증명과 인증 등의 문제가 발생한다. 2024 마이크로소프트 디지털 디펜스 보고서에 의하면, 사용자 권한을 남용하는 토큰 도난 사고는 하루 3만9000건 발생하는 것으로 추산된다.
관리자권한은 윈도우를 비롯한 운영체제(OS)의 오랜 숙제다. 관리자권한으로 기기를 실행하면 시간대조정, 레지스트리 변경, 애플리케이션 설치 등 여러 작업이 간편하다. 반면, 관리자계정이 악성코드에 감염되면, 중요한 자원에 악성코드가 직접 접근해 시스템 중단, 데이터 유출, 시스템 변경 등을 일으킬 수 있다.
표준 사용자 권한은 OS 제조사에서 권장하는 모드다. 표준 사용자 권한은 자원에 대한 사용자 접근을 기본적으로 차단하고, 악성코드나 앱의 기기 구성 자동 변경을 막는다. 그러나 주요 설정 변경이나 앱 설치가 불편해진다.
윈도우11은 ‘관리자 보호(Administrator protection)’ 기능을 제공한다. 미리보기 상태인 이 기능은 사용자가 기본적으로 표준 사용자 권한을 갖지만 필요한 경우 앱 설치 등의 시스템 변경을 간소화해 주는 기능이다. 관리자 보호를 사용하면 관리자권한을 요구하는 경우 ‘윈도우헬로’ 인증을 거쳐 임시로 격리된 관리자 토큰을 만들게 된다. 임시 토큰은 작업 완료 후 바로 파기된다. 특정 윈도우헬로 승인 없이는 커널이나 주요 시스템 보안에 직접 접근할 수 없게 된다.
또한 윈도우11의 다중인증(MFA)도 강화된다. 윈도우헬로는 패스키를 지원하게 된다. 윈도우헬로는 리콜과 개인데이터암호화 보호에도 사용된다.
신뢰할 수 없는 앱과 드라이버 설치에 대한 보호 방안도 마련된다.
스마트 앱 컨트롤과 앱 컨트롤 포 비즈니스 정책은 검증된 앱만 기기에서 실행되게 한다. 특히 AI를 활용해 신뢰할 수 있는 앱과 드라이버를 골라낸다. 관리자는 앱 제어 마법사에서 ‘서명되고 신뢰할 수 있는 정책’ 템플릿을 선택하면 된다. 배포 위치에 상관없이 수백만개 검증된 앱을 실행할 수 있다.
인쇄 드라이버의 경우 ‘윈도우 프로텍티드 프린트’를 사용할 것을 조언했다. 윈도우 프로텍티드 프린트는 모프리아(mopria) 인증 기기와 작동하며, 별도 제3의 드라이버가 필요없다.
윈도우11 엔터프라이즈는 윈도우헬로 인증을 사용해 바탕화면, 문서, 사진 등의 폴더에 저장된 파일을 보호하는 ‘알려진 폴더에 대한 개인 데이터 암호화’ 기능을 제공한다. 보호된 파일은 잠금 아이콘으로 표시된다. 기기 관리자의 윈도우헬로 인증 전까지 파일을 암호화 상태로 유지하고 파일의 내용도 볼 수 없게 한다. 마이크로소프트 인튠 등 관리도구로 폴더 전체나 하위 집합에 개인 데이터 암호화를 적용할 수 있다. 이는 비트로커와도 별개로 사용가능하다.
윈도우11 엔터프라이즈 24H2와 윈도우365에도 윈도우 ‘핫패치’가 도입된다. 시스템 재시작없이 주요 보안 업데이트를 적용할 수 있게 하는 기능으로, 현재 미리보기 상태다.
제로트러스트 DNS도 도입된다. 이 기능은 윈도우 기기를 보호된 DNS 서버에만 연결하게 한다. 관리자 허용없이는 아웃바운드 IPv4나 IPv6 트래픽을 차단한다.
‘구성파일 새로고침(Config Refresh)’은 사용자나 앱이 시스템 레지스트리를 변경할 때 시스템 설정을 선호하는 구성으로 자동 반환한다. MDM에 연결할 필요 없이 로컬로 작동한다.
사티아 나델라 마이크로소프트 최고경영자는 “새롭게 발표된 윈도우 복원성 이니셔티브는 매우 중요한 부분”이라며 “모든 미션크리티컬 워크로드를 지원하기 위해 윈도우를 더욱 안전하고 신뢰할 수 있도록 만드는 데 전념하고 있다”고 밝혔다.
그는 “이 작업의 일환으로, 로우레벨 OS 접근 방식에 변화를 주고 있으며, 생태계 전반과 협력해 새로운 기능을 도입하고 안전한 배포 관행을 위한 새로운 지침을 수립하고 있다”며 “클라우드와 클라이언트 전반에서 윈도우의 보안과 복원성을 지속적으로 강화하고 있다”고 강조했다.
글. 바이라인네트워크
<김우용 기자>yong2@byline.network