2015.09.24

윈도우 10의 기업 보안 신기능 '디바이스 가드'와 '크리덴셜 가드'란?

Fahmida Y. Rashid | InfoWorld
마이크로소프트가 윈도우 10 엔터프라이즈 사용자들을 위해 혁신적인 보안 기능 2가지를 추가시켰다고 밝혔다. 


현재까지 가장 큰 관심이 쏠리고 있는 기능은 얼굴과 지문 인식을 지원하는 윈도우 헬로우(Windows Hello)다. 그러나 윈도우 10에서 가장 중요한 2가지 보안 기능은 디바이스 가드(Device Guard)와 크리덴셜 가드(Credential Guard)다. 이들은 악성코드로부터 핵심 커널을 보호하고, 해커들이 원격으로 컴퓨터를 제어하는 공격을 방지하는 기능들로 기업 시스템을 대상으로 한다. 그래서 윈도우 10 엔터프라이즈와 윈도우 10 에듀케이션에서만 제공된다.

로직나우(LogicNow) 보안 전문가인 이안 트럼프는 "마이크로소프트는 기업을 표적으로 삼은 공격에 대해 많이 연구했다. 그리고 보안 기능을 크게 발전시키고 있다"고 말했다.

디바이스 가드는 윈도우 10의 가상화 기반 보안 기술을 이용해 신뢰할 수 있는 애플리케이션만 실행시키는 기능이다. 크리덴셜 가드는 기업 ID(신원)를 하드웨어 기반 가상 환경으로 격리해 보호하는 기능이다.

마이크로소프트는 해커들이 커널을 비롯한 주요 프로세스를 공격하지 못하게끔 중요한 윈도우 서비스를 가상 머신으로 격리시킨다. 이런 새로운 기능은 하이퍼-V에서 이미 사용되고 있는 것과 동일한 하이퍼바이저 기술에 기반을 두고 있다.

안티바이러스 업체인 소포스 캐나다(Sophos Canada)의 선임 보안 전략가인 체스터 위즈니스키는 화이트리스트 기능 확대를 위해 하드웨어 기반의 가상화를 이용하고, 신원인증을 보호하는 것은 '영리한 방법'이라고 평가했다.

마이크로소프트는 지난 주 테크넷(TechNet)에서 디바이스 가드와 크리데셜 가드에 대한 기술 안내서를 공개했다.

'락다운', 제어할 수 있는 상태의 앱만 실행
디바이스 가드는 하드웨어와 소프트웨어로 서버에서 락다운(제어), 신뢰할 수 있는 애플리케이션만 실행되도록 만든다. 애플리케이션에는 해당 소프트웨어 벤더가 제공한 유효한 암호 시그니처(서명), 윈도우 스토어에서 배포된 앱이라면 마이크로소프트의 시그니처가 있어야 한다.

악성코드 개발자들이 인증서를 훔쳐 악성코드 서명을 만드는 사례가 있는 것으로 알려져 있지만, 서명없는 코드로 된 악성코드가 절대 다수를 차지하고 있다. 디바이스 가드는 서명 정책을 이용해 대다수의 악성코드 공격을 차단한다.

이안 트럼프는 "안티악성코드 방어로 제로데이 공격을 저지하는 좋은 방법이다"고 말했다. 이는 애플이 iOS 및 OS X를 기반으로 한 앱 스토어에서 사용하는 방법과 유사하다. 또한 애플은 OS X의 경우, 앱 스토어를 통해 배포되지 않는 앱의 개발자를 인증하는데 게이트키퍼(Gatekeeper) 앱 서명 기술을 이용하고 있다.

그러나 차이점이 있다. 마이크로소프트는 기업에 다양한 애플리케이션이 필요하다는 점을 인식하고 있다. 기업은 코드를 변경하지 않고도 소프트웨어에 서명을 부여할 수 있다. 인지하고 신뢰하는, 맞춤형 소프트웨어 등을 포함한 애플리케이션 또한 마찬가지다. 이런 방법으로 마이크로소프트로부터 유효한 서명을 획득한 개발자, 획득하지 못한 개발자를 가리지 않고 신뢰할 수 있는 애플리케이션 목록을 생성할 수 있다.

이는 기업이 디바이스 가드가 신뢰할 소스를 제어할 수 있도록 만들어준다. 디바이스 가드에는 소프트웨어 벤더가 서명을 부여하지 못한 유니버셜 앱과 Win32 앱에 손쉽게 서명을 부여할 수 있는 도구가 있다. 체스터 위즈니스키는 "마이크로소프트는 락다운과 개방 사이의 중간 지대를 찾고 있다. 기업들이 좋은 점만 취할 수 있도록 지원하기 위해서이다"고 설명했다.

디바이스 가드는 화이트리스링 메커니즘 이상이다. 가상 머신이 정보를 보호하기 때문에 아주 효과적으로 화이트리스팅을 처리한다. 악성코드나 관리자 권한을 획득한 공격자가 정책(Policy)을 변경하지 못하도록 만든다.

디바이스 가드는 적법한 드라이버와 커널 수준의 코드를 확인하는 윈도우 서비스를 분리시킨다. 악성코드는 시스템을 감염시켜도, 검색을 우회해 악성 페이로드를 실행시키려는 목적에서 컨테이너에 접속할 수 없다.

디바이스 가드는 공격자들이 관리자 권한으로 접속할 수 있었던 과거의 앱로커(AppLocker)를 능가한다. 신뢰할 수 있는 서명자가 서명한 업데이트 정책으로만 장치에서 설정한 앱 관리 정책을 변경할 수 있다.

트럼프는 "윈도우에 제대로 된 방법이 도입됐다. 기업에서 기준으로 자리잡을 가능성이 있다"고 말했다.

비밀을 격리한다
크리덴셜 가드는 디바이스 가드처럼 화려하지 않을지 모른다. 그러나 기업 보안에서 중요한 부문을 다룬다. 크리덴셜 가드는 도메인 신원 인증을 커널과 사용자 모드 운영 시스템과 격리된 가상 컨테이너에 저장한다. 시스템이 감염된 경우에도, 해커(공격자)가 신원 인증에 접근하지 못하도록 만드는 방법이다.

지능형 지속 공격(Advanced Persistent Attack)은 도메인과 사용자 신원 인증을 훔쳐 네트워크를 돌아다니고, 다른 컴퓨터에 접속한다. 일반적으로 사용자가 컴퓨터에 로그인하면, 운영 시스템 메모리에 해시드 신원인증(hashed credentials)이 저장된다.

과거 윈도우는 LSA(Local Security Authority)에 신원인증을 저장했다. 그리고 운영 시스템은 RPC(Remote Procedure Calls)를 이용해 정보에 접속했다. 그리고 네트워크에 은닉한 악성코드나 공격자는 이 해시드 신원인증을 탈취해 패스 더 해시(Pass The Hash) 공격에 이용할 수 있었다.

그러나 크리덴셜 가드는 가상 컨테이너에 신원인증을 격리하는 방법으로 공격자가 해시를 탈취하지 못하도록 저지한다. 네트워크 침입 능력을 제재하는 것이다. 디바이스 가드와 크리덴셜 가드를 함께 이용하면 환경을 '락다운'해 APT 공격을 저지하는데 도움을 받을 수 있다.

트럼프는 "일부 벤더에는 마이크로소프트의 구현 방식이 쉽지 않을 수 있다. 또한 마이크로소프트에는 '근사한 대시보드'도 없을지 모른다. 그러나 크리덴셜 가드, 디바이스 가드, 마이크로소프트 헬로우 이중 인증 체계, 비트로커(BitLokcer) 등은 진정한 '엔터프라이즈' 운영 시스템 구현과 해킹 저지에 도움을 준다"고 말했다.

일부만을 위한 기능, 도입까지는 난관이 많다
기능이 훌륭해도 도입 확대에는 장애물이 남아있다. 윈도우 10은 기업 시장으로 확대될 전망이다. 그러나 위즈니스키는 하드웨어 요건과 인프라 변경 요건이 디바이스 가드와 크리덴셜 가드의 도입을 최소 4~5년 늦출 것이라고 내다봤다.

하드웨어 측면의 요건이 상당하다. 디바이스 가드와 크리덴셜 가드를 구현하기 위해서는 시큐어 부트(Secure Boot), 64비트 가상화 지원 기능, UEFI(United Extensible Firmware Interface) 펌웨어, TPM(Trusted Platform Module) 칩이 필요하다.

소비자 PC가 아닌 엔터프라이즈 하드웨어에만 탑재된 기능과 기술들이다. 예를 들어, 레노보 씽크패드와 델 래티튜드 노트북 컴퓨터 같은 기업 고객용 노트북에는 있지만, 레노보 요가 3 프로 같은 소비자용 노트북 컴퓨터에는 없는 기능이다. 인텔 VT-x와 AMD-V 같은 가상화 지원 프로세서가 탑재된 시스템에서만 하이퍼바이저 수준의 보안을 구현할 수 있다.

외근이나 출장이 잦다면 가벼운 노트북 컴퓨터를 선택할 확률이 높다. 그런데 대다수의 울트라북에는 TPM 기술이 탑재되어 있지 않다. 위즈니스키는 "기업 임원들을 걱정해야 할지 모른다. 일반 소비자용 모델을 선택할 확률이 높아 공격받을 위험이 가장 높기 때문이다"고 설명했다.

하드웨어 외에도 장애물이 있다. 대다수의 기업은 이 기술을 구현하려면 인프라와 프로세스를 바꿔야 한다. 기존 워크플로우에 영향이 초래된다는 이유로 UEFI나 시큐어 부트를 이용하지 않는 IT 부서가 많다.

IT 부서는 시큐어 부트 때문에 컴퓨터가 '락다운' 되는 것을 걱정할 수도 있다. 시스템을 지우고, 최초 설정할 때 저장한 이미지를 로딩하는 것이 더 쉬운 방법이다. 또한 업그레이드가 불가능한 핵심 애플리케이션이 실행되고 있는 시스템이 있을 수 있다.

다행히 디바이스 가드와 크리덴셜 가드는 '도 아니면 모'식의 결정을 강요하지 않는다. IT는 디바이스 가드와 크리덴셜 가드를 활성화시킨 새 도메인을 구축한 후, 하드웨어 요건이 부합되는 사용자를 이동시킬 수 있다. 그리고 업그레이드가 불가능한 시스템은 기존 도메인에서 운영한다.

이렇게 하면 서명 정책과 보호된 크리덴셜로 네트워크를 '깨끗하게' 운영 및 유지관리 할 수 있다. 그리고 구식 도메인에만 초점을 맞출 수 있다. 위즈니스키는 "한 가지 목적을 위해 전체 네트워크를 방해할 수 없다"고 말했다.

현재 가용한 윈도우의 엔터프라이즈 보안에 만족하는 기업은 극소수다. 디바이스 가드와 크리덴셜 가드는 상당한 투자가 필요하다는 단점이 있기는 하지만 발전된 방식이다.

위즈니스키는 마이크로소프트는 윈도우 10에서 기업들에게 '마이크로소프트가 제안한 보안 기술을 적용해야 우수한 기술을 구현할 수 있다고 말한다. 기업들이 이를 받아들일지 시간이 말해줄 것이다. editor@itworld.co.kr



2015.09.24

윈도우 10의 기업 보안 신기능 '디바이스 가드'와 '크리덴셜 가드'란?

Fahmida Y. Rashid | InfoWorld
마이크로소프트가 윈도우 10 엔터프라이즈 사용자들을 위해 혁신적인 보안 기능 2가지를 추가시켰다고 밝혔다. 


현재까지 가장 큰 관심이 쏠리고 있는 기능은 얼굴과 지문 인식을 지원하는 윈도우 헬로우(Windows Hello)다. 그러나 윈도우 10에서 가장 중요한 2가지 보안 기능은 디바이스 가드(Device Guard)와 크리덴셜 가드(Credential Guard)다. 이들은 악성코드로부터 핵심 커널을 보호하고, 해커들이 원격으로 컴퓨터를 제어하는 공격을 방지하는 기능들로 기업 시스템을 대상으로 한다. 그래서 윈도우 10 엔터프라이즈와 윈도우 10 에듀케이션에서만 제공된다.

로직나우(LogicNow) 보안 전문가인 이안 트럼프는 "마이크로소프트는 기업을 표적으로 삼은 공격에 대해 많이 연구했다. 그리고 보안 기능을 크게 발전시키고 있다"고 말했다.

디바이스 가드는 윈도우 10의 가상화 기반 보안 기술을 이용해 신뢰할 수 있는 애플리케이션만 실행시키는 기능이다. 크리덴셜 가드는 기업 ID(신원)를 하드웨어 기반 가상 환경으로 격리해 보호하는 기능이다.

마이크로소프트는 해커들이 커널을 비롯한 주요 프로세스를 공격하지 못하게끔 중요한 윈도우 서비스를 가상 머신으로 격리시킨다. 이런 새로운 기능은 하이퍼-V에서 이미 사용되고 있는 것과 동일한 하이퍼바이저 기술에 기반을 두고 있다.

안티바이러스 업체인 소포스 캐나다(Sophos Canada)의 선임 보안 전략가인 체스터 위즈니스키는 화이트리스트 기능 확대를 위해 하드웨어 기반의 가상화를 이용하고, 신원인증을 보호하는 것은 '영리한 방법'이라고 평가했다.

마이크로소프트는 지난 주 테크넷(TechNet)에서 디바이스 가드와 크리데셜 가드에 대한 기술 안내서를 공개했다.

'락다운', 제어할 수 있는 상태의 앱만 실행
디바이스 가드는 하드웨어와 소프트웨어로 서버에서 락다운(제어), 신뢰할 수 있는 애플리케이션만 실행되도록 만든다. 애플리케이션에는 해당 소프트웨어 벤더가 제공한 유효한 암호 시그니처(서명), 윈도우 스토어에서 배포된 앱이라면 마이크로소프트의 시그니처가 있어야 한다.

악성코드 개발자들이 인증서를 훔쳐 악성코드 서명을 만드는 사례가 있는 것으로 알려져 있지만, 서명없는 코드로 된 악성코드가 절대 다수를 차지하고 있다. 디바이스 가드는 서명 정책을 이용해 대다수의 악성코드 공격을 차단한다.

이안 트럼프는 "안티악성코드 방어로 제로데이 공격을 저지하는 좋은 방법이다"고 말했다. 이는 애플이 iOS 및 OS X를 기반으로 한 앱 스토어에서 사용하는 방법과 유사하다. 또한 애플은 OS X의 경우, 앱 스토어를 통해 배포되지 않는 앱의 개발자를 인증하는데 게이트키퍼(Gatekeeper) 앱 서명 기술을 이용하고 있다.

그러나 차이점이 있다. 마이크로소프트는 기업에 다양한 애플리케이션이 필요하다는 점을 인식하고 있다. 기업은 코드를 변경하지 않고도 소프트웨어에 서명을 부여할 수 있다. 인지하고 신뢰하는, 맞춤형 소프트웨어 등을 포함한 애플리케이션 또한 마찬가지다. 이런 방법으로 마이크로소프트로부터 유효한 서명을 획득한 개발자, 획득하지 못한 개발자를 가리지 않고 신뢰할 수 있는 애플리케이션 목록을 생성할 수 있다.

이는 기업이 디바이스 가드가 신뢰할 소스를 제어할 수 있도록 만들어준다. 디바이스 가드에는 소프트웨어 벤더가 서명을 부여하지 못한 유니버셜 앱과 Win32 앱에 손쉽게 서명을 부여할 수 있는 도구가 있다. 체스터 위즈니스키는 "마이크로소프트는 락다운과 개방 사이의 중간 지대를 찾고 있다. 기업들이 좋은 점만 취할 수 있도록 지원하기 위해서이다"고 설명했다.

디바이스 가드는 화이트리스링 메커니즘 이상이다. 가상 머신이 정보를 보호하기 때문에 아주 효과적으로 화이트리스팅을 처리한다. 악성코드나 관리자 권한을 획득한 공격자가 정책(Policy)을 변경하지 못하도록 만든다.

디바이스 가드는 적법한 드라이버와 커널 수준의 코드를 확인하는 윈도우 서비스를 분리시킨다. 악성코드는 시스템을 감염시켜도, 검색을 우회해 악성 페이로드를 실행시키려는 목적에서 컨테이너에 접속할 수 없다.

디바이스 가드는 공격자들이 관리자 권한으로 접속할 수 있었던 과거의 앱로커(AppLocker)를 능가한다. 신뢰할 수 있는 서명자가 서명한 업데이트 정책으로만 장치에서 설정한 앱 관리 정책을 변경할 수 있다.

트럼프는 "윈도우에 제대로 된 방법이 도입됐다. 기업에서 기준으로 자리잡을 가능성이 있다"고 말했다.

비밀을 격리한다
크리덴셜 가드는 디바이스 가드처럼 화려하지 않을지 모른다. 그러나 기업 보안에서 중요한 부문을 다룬다. 크리덴셜 가드는 도메인 신원 인증을 커널과 사용자 모드 운영 시스템과 격리된 가상 컨테이너에 저장한다. 시스템이 감염된 경우에도, 해커(공격자)가 신원 인증에 접근하지 못하도록 만드는 방법이다.

지능형 지속 공격(Advanced Persistent Attack)은 도메인과 사용자 신원 인증을 훔쳐 네트워크를 돌아다니고, 다른 컴퓨터에 접속한다. 일반적으로 사용자가 컴퓨터에 로그인하면, 운영 시스템 메모리에 해시드 신원인증(hashed credentials)이 저장된다.

과거 윈도우는 LSA(Local Security Authority)에 신원인증을 저장했다. 그리고 운영 시스템은 RPC(Remote Procedure Calls)를 이용해 정보에 접속했다. 그리고 네트워크에 은닉한 악성코드나 공격자는 이 해시드 신원인증을 탈취해 패스 더 해시(Pass The Hash) 공격에 이용할 수 있었다.

그러나 크리덴셜 가드는 가상 컨테이너에 신원인증을 격리하는 방법으로 공격자가 해시를 탈취하지 못하도록 저지한다. 네트워크 침입 능력을 제재하는 것이다. 디바이스 가드와 크리덴셜 가드를 함께 이용하면 환경을 '락다운'해 APT 공격을 저지하는데 도움을 받을 수 있다.

트럼프는 "일부 벤더에는 마이크로소프트의 구현 방식이 쉽지 않을 수 있다. 또한 마이크로소프트에는 '근사한 대시보드'도 없을지 모른다. 그러나 크리덴셜 가드, 디바이스 가드, 마이크로소프트 헬로우 이중 인증 체계, 비트로커(BitLokcer) 등은 진정한 '엔터프라이즈' 운영 시스템 구현과 해킹 저지에 도움을 준다"고 말했다.

일부만을 위한 기능, 도입까지는 난관이 많다
기능이 훌륭해도 도입 확대에는 장애물이 남아있다. 윈도우 10은 기업 시장으로 확대될 전망이다. 그러나 위즈니스키는 하드웨어 요건과 인프라 변경 요건이 디바이스 가드와 크리덴셜 가드의 도입을 최소 4~5년 늦출 것이라고 내다봤다.

하드웨어 측면의 요건이 상당하다. 디바이스 가드와 크리덴셜 가드를 구현하기 위해서는 시큐어 부트(Secure Boot), 64비트 가상화 지원 기능, UEFI(United Extensible Firmware Interface) 펌웨어, TPM(Trusted Platform Module) 칩이 필요하다.

소비자 PC가 아닌 엔터프라이즈 하드웨어에만 탑재된 기능과 기술들이다. 예를 들어, 레노보 씽크패드와 델 래티튜드 노트북 컴퓨터 같은 기업 고객용 노트북에는 있지만, 레노보 요가 3 프로 같은 소비자용 노트북 컴퓨터에는 없는 기능이다. 인텔 VT-x와 AMD-V 같은 가상화 지원 프로세서가 탑재된 시스템에서만 하이퍼바이저 수준의 보안을 구현할 수 있다.

외근이나 출장이 잦다면 가벼운 노트북 컴퓨터를 선택할 확률이 높다. 그런데 대다수의 울트라북에는 TPM 기술이 탑재되어 있지 않다. 위즈니스키는 "기업 임원들을 걱정해야 할지 모른다. 일반 소비자용 모델을 선택할 확률이 높아 공격받을 위험이 가장 높기 때문이다"고 설명했다.

하드웨어 외에도 장애물이 있다. 대다수의 기업은 이 기술을 구현하려면 인프라와 프로세스를 바꿔야 한다. 기존 워크플로우에 영향이 초래된다는 이유로 UEFI나 시큐어 부트를 이용하지 않는 IT 부서가 많다.

IT 부서는 시큐어 부트 때문에 컴퓨터가 '락다운' 되는 것을 걱정할 수도 있다. 시스템을 지우고, 최초 설정할 때 저장한 이미지를 로딩하는 것이 더 쉬운 방법이다. 또한 업그레이드가 불가능한 핵심 애플리케이션이 실행되고 있는 시스템이 있을 수 있다.

다행히 디바이스 가드와 크리덴셜 가드는 '도 아니면 모'식의 결정을 강요하지 않는다. IT는 디바이스 가드와 크리덴셜 가드를 활성화시킨 새 도메인을 구축한 후, 하드웨어 요건이 부합되는 사용자를 이동시킬 수 있다. 그리고 업그레이드가 불가능한 시스템은 기존 도메인에서 운영한다.

이렇게 하면 서명 정책과 보호된 크리덴셜로 네트워크를 '깨끗하게' 운영 및 유지관리 할 수 있다. 그리고 구식 도메인에만 초점을 맞출 수 있다. 위즈니스키는 "한 가지 목적을 위해 전체 네트워크를 방해할 수 없다"고 말했다.

현재 가용한 윈도우의 엔터프라이즈 보안에 만족하는 기업은 극소수다. 디바이스 가드와 크리덴셜 가드는 상당한 투자가 필요하다는 단점이 있기는 하지만 발전된 방식이다.

위즈니스키는 마이크로소프트는 윈도우 10에서 기업들에게 '마이크로소프트가 제안한 보안 기술을 적용해야 우수한 기술을 구현할 수 있다고 말한다. 기업들이 이를 받아들일지 시간이 말해줄 것이다. editor@itworld.co.kr

X