한국마이크로소프트(Microsoft)는 9월 16일 서울 종로구 한국마이크로소프트 본사에서 미디어 라운드테이블 행사를 열고, 최신 운영체제인 윈도우 10이 제공하는 보안 기능에 대해 소개하는 자리를 가졌다.

이 자리에서 마이크로소프트는 윈도우 10이 계정보호와 정보보호, 위협방어 등 세 가지 영역에서 모두 보안이 강화되어, 역사상 가장 강력한 보안 기능을 갖추고 있다고 소개했다.

윈도우 10의 보안은 계정 보호와 데이터 보호, 위협 방어와 하드웨어 보안에 이르는 모든 영역에서 다양한 방법으로 보안성을 강화해, 더욱 개인화된 컴퓨팅 환경을 제공한다. 계정 보호를 위해서는 ‘마이크로소프트 패스포트’를 통해 패스워드가 인증을 위해 서버로 가는 과정에서 일어날 수 있는 보안 위협을 없애며, PIN 방식 사용에서 입력 정보로 생체 정보를 활용할 수 있고, 개인 키의 보관은 하드웨어 레벨의 TPM 칩이나 가상화를 활용한 보안 공간을 이용한다.

기업 환경에서는 EDP(Enterprise Data Protection)을 통해 디바이스, 사용자, 애플리케이션, 데이터 유형에 따른 다양한 조건을 걸어 보안 정책을 적용할 수 있으며, 관리자가 보안 정책에 따라 회사에서 쓰는 프로그램 및 네트워크를 지정하고 업무용 데이터를 개인 영역으로 보내는 경우까지 정책을 지정할 수 있다. 또한 위협 방어 측면에서는 기본적으로 윈도우 디펜더를 내장하고 있으며, 디바이스 가드를 통해 인증된 앱만 실행하도록 해 장치를 보호할 수 있다.

▲ 한국마이크로소프트 개발자 플랫폼 사업본부 백승주 부장

한국마이크로소프트 개발자 플랫폼 사업본부 백승주 부장은 이 자리에서, 최근에는 기존보다 더 복잡하고 다양한 형태의 각종 악성코드, 멀웨어, 피싱, 파밍 등이 존재하며, 이에 맞춘 강화된 보안 기능들이 필요하다고 소개했다. 또한 보안의 강화와 사용자의 편의성도 함께 만족시킬 수 있어야 하며, 기존의 기업 환경에서도 다양한 보안 솔루션을 가지고 있지만 다양한 시스템을 사일로 형태로 도입함으로써 보안 헛점과 함께 사용자를 불편하게 만들기도 했다고 지적했다.

윈도우 10은 고도로 개인화된 컴퓨팅 시대를 위한 새로운 윈도우로, 지금까지의 윈도우 중 가장 강력한 보안 기능을 갖추고 있으며, 현재의 상황인 모든 디바이스가 인터넷 및 상호 연결된다는 점을 전제로 했다고 소개했다. 또한 모든 디바이스가 연결되고 그 반대편에는 클라우드 등의 서비스가 있으며, 보안 서비스 또한 클라이언트와 서버가 함께 구성되어 추가적인 기능을 제공하고 있고, 이런 상황에서 보안의 시작은 ‘사용자 인증’ 부터 시작한다고 제시했다.

윈도우 10의 주요 보안 기능들은 크게 계정 보호, 데이터 보호, 위협 방어, 하드웨어 보안 등 네 가지로 구성된다. 이 중 계정 보호에는 Microsoft Passport, Windows Hello 등의 기술이 이용되며, 데이터 보호에는 BitLocker와 함께 엔터프라이즈 환경에서의 EDP(Enterprise Data Protection)가 소개되었다. 위협 방어 측면에서는 Windows Defender와 함께 아예 신뢰된 앱만 실행되도록 시스템을 잠글 수 있는 Device Guard가 소개되었다. 이 외에도 하드웨어 보안에는 UEFI Secure Boot, TPM 2.0과 가상화 기능 등을 활용한다.

▲ 마이크로소프트 패스포트는 PIN 방식을 활용해 패스워드의 대체안을 제시한다.

기존의 계정 보호 방식으로 사용되던 패스워드 확인은 네트워크 등을 통한 패스워드 노출이 증가하고, 이를 보완하기 위한 추가 솔루션의 다단계 인증 방식이 주는 번거로움 등이 문제로 지적되었다. 마이크로소프트는 이를 해결하기 위해 양단의 암호화된 인증서를 서로 상호인증하는 방식의 ‘마이크로소프트 패스포트’를 사용한다. 이 인증서를 보호하기 위한 개인 키로 PIN을 이용하며, PIN 및 사용자의 패스워드는 네트워크로 전송되지 않는다.

그리고 윈도우 10에서는 ‘윈도우 헬로우(Windows Hello)’ 를 이용, PIN 입력 정보로 숫자 조합 이외에도 기존의 지문 인식, 혹은 안면 인식 등을 활용할 수 있도록 했다. 이 중 화제가 되는 안면 인식의 경우 인텔의 리얼센스(RealSense) 기술을 활용하는데, 총 3개의 카메라를 사용해 이미지와 적외선 카메라를 통한 열감지, 적외선 레이저를 통한 굴곡 등을 판단해 각종 위조, 허위 인증 시도를 막고 편리한 사용 환경을 제공한다.

윈도우 헬로우의 보안 요구 사항은 비등록자를 등록자로 잘못 수락하는 오수락율 1/100,000, 등록된 사용자를 잘못 거부하는 오거부율 2~4%, 그리고 실제로 사람인지 파악하기 위한 열감지 기능과 이미지 이외에 윤곽 등의 정보를 통해 허위 인증 시도를 막을 수 있어야 한다고 소개되었다. 그리고 해외에서 40쌍의 일란성 쌍둥이를 대상으로 한 안면인식 실험에서도 모두 정확히 인식할 수 있었다고 덧붙였다.

▲ 가상화를 이용한 보안 영역을 활용해 더욱 안전한 환경을 제공한다.

마이크로소프트 패스포트나 비트락커(BitLocker) 등에서 사용되는 개인키 등 보안에 관련된 주요 정보들은 하드웨어로 구현되는 TPM을 활용해 저장하며, TPM이 없을 경우에는 OS만 접근할 수 있는 보안 영역을 설정해 저장하게 된다. 그리고 이 경우 예전 윈도우 8.1까지는 이 영역이 커널 단에 있어, 멀웨어가 커널 단까지 들어올 경우에 중요 영역에 접근할 가능성이 있었지만, 윈도우 10에서는 이들 영역을 가상화 기술을 통해 분리함으로써 보안성을 강화했다고 밝혔다.

윈도우 환경에서의 계정 보호를 위한 다단계 인증 기술은 마이크로소프트의 클라우드 서비스와 연동해 제공된다. 이를 통해 2차 인증에서 문자나 전화 등의 기본적인 방법이 제공되며, 혹은 모바일 앱을 이용한 방법도 사용할 수 있다. 그리고 의심되는 로그온 시도에 대한 확인도 애저 AD 기반에서 확인할 수 있으며, 이는 기업 내부에 설치해 활용할 수 있는 ATA(Advanced Threat Analytics) 로도 제공되고 있다.

▲ EDP는 윈도우 기반에서도 개인용, 업무용 정보의 완전한 분리를 가능하게 한다.

▲ 개인 데이터와 조직 데이터의 분리는 컨테이너를 활용한다.

EDP(Enterprise Data Protection)은 기업에서 디바이스, 사용자, 애플리케이션과 데이터 유형에 따라 다양한 조건을 걸어 접근 제어와 보안 정책 준수를 가능하게 한다. 이 기술을 활용하면 관리자가 보안 정책에 따라 회사에서 쓰는 프로그램 및 네트워크를 지정하고, 업무용 앱의 데이터와 개인용 데이터의 영역을 구분하고 이 영역간 이동을 어떻게 할 지에 대한 정책을 결정할 수 있다. 또한 디바이스 하나에서 비즈니스 앱 및 데이터, 개인 앱 및 데이터를 구분해 관리할 수 있다.

정책을 통한 다양한 활용 방안으로는, 업무용으로 지정된 파일을 이메일로 보내거나 할 때 정책에 의거해 복사나 이동을 허용하지 않거나 경고와 유출에 대한 로그 정보를 서버에 남겨 관리자가 확인할 수 있도록 할 수 있으며, 업무용 데이터는 무조건 암호화한 형태로 저장되도록 할 수 있다. 또한 디바이스 하나에서 컨테이너를 활용, 개인 영역과 조직 데이터를 분리해 관리할 수 있고, 시스템과 개인 데이터에 영향 없이 업무 데이터를 삭제할 수도 있다.

이 외에도 외부 사용자와의 메시지 송수신시 암호화 정책을 사용한 경우, 이를 외부에서 보기 위해 일회용 키를 활용하도록 설정할 수 있다. IRM/DRM 기술과 플랫폼의 모든 파일에 적용 가능한 애저 권한 관리 서비스(RMS), 오피스365 메시지 암호화를 통한 외부 사용자와의 간편하고 안전한 데이터 공유도 지원된다. 애저 RMS는 이를 적용한 문서의 암호화 및 추적, 폐기 등의 기능을 지원한다.

한편 이들 기술은 MDM 기술과의 결합으로 구현되어 사용자와 디바이스의 현재 상태 및 정책에 따른 제어를 제공한다. 정책은 마이크로소프트 인튠(Intune) 혹은 시스템센터 설정 매니저(System Center Configuration Manager) 등을 활용해 설정할 수 있으며, 윈도우 10은 관리를 위한 MDM API를 공개하고 있어 이를 지원하는 서드파티의 MDM 기술에서도 활용할 수 있다. 이들 정책은 윈도우 10의 회사 액세스 기술을 이용해 디바이스 등록 이후 정책을 내려받아 적용하게 된다.

▲ 사전 인증, 실행 허용된 앱만 실행할 수 있게 하는 ‘디바이스 가드’

윈도우 10의 위협 방어 측면에서 가장 기본적인 요소는 윈도우 디펜더다. 기본 내장된 백신인 윈도우 디펜더는 다른 백신이 동작하고 제대로 업데이트 될 경우 따로 동작하지 않지만, 업데이트가 3일 이상 되지 않는다고 인식되면 윈도우 디펜더가 동작하게 되는 구조를 가지고 있다. 그리고 이런 백신을 통한 방법을 넘어선, 모바일 플랫폼과 유사한 폐쇄적인 플랫폼 구성으로 외부 위협을 원천 차단할 수 있는 방법으로 ‘디바이스 가드(Device Guard)’ 가 소개되었다.

디바이스 가드는 인증된 앱만 실행하도록 해서 장치를 보호하는 기술이다. 예를 들어 인증되지 않은 사이트에서 다운로드 받은 파일을 열려고 하면 ‘이 프로그램은 디바이스 가드에서 차단되었다’라는 메시지와 함께 동작하지 않는다. 이 기능은 기업에서 관리자가 실행 가능한 목록을 업데이트 해서 관리할 수 있으며, 정상적인 앱스토어에서 받은 앱만 실행되도록 설정할 수 있다. 또한 이 기술은 UEFI, TPM, 가상화 등의 기술과 연계해 더욱 강력한 보호를 가능하게 한다.

한편 디바이스 가드는 단순한 앱 실행 수준의 차단이 아니며, 디바이스가 켜졌을 때부터 시작해 앱이 실행되는 단계까지 모두 적용되고, 하드웨어 업계의 표준 기술과 윈도우의 보안 기술이 상호 연동되어 구성된다. 운영 체제의 무결성 보장을 위해서는 디바이스, 플랫폼, 앱에 대한 무결성 모두가 필요하며, 이에 대한 지속적인 확인도 필요하다. 이에 하드웨어 수준의 시큐어부트, TPM 기술과 함께 윈도우 레벨의 가상화 기반 UMCI(User Mode Code Integrity) 등이 모두 활용된다.

Copyright ⓒ Acrofan All Right Reserved