홈·프로와 무엇이 다를까··· ‘윈도우 11 엔터프라이즈’ 주요 기능 따라잡기

윈도우 엔터프라이즈 에디션은 PC를 수천 또는 수만 대 보유한 조직을 직접 겨냥한 제품이다. 소매로는 구매할 수 없는 것이 보통이다(온라인에서 라이선스를 낱개로 판매하는 소매 업체가 있기는 하다). 통상적으로 윈도우 11 엔터프라이즈는 마이크로소프트나 그 협력업체 중 한 곳과의 라이선스 계약을 통해 구매해야 한다. 마이크로소프트 윈도우 11 엔터프라이즈 웹사이트를 통하는 방식이 주로 이용된다.



윈도우 11 엔터프라이즈가 기업에게 제공하는 기능은?
일반적으로 윈도우 11 엔터프라이즈는 비즈니스 용도에 특화된 추가 기능을 갖췄다. 해당 기능군은 크게 다음 세 범주로 나뉜다.

• 보안
• 생산성
• 관리

각 범주를 차례로 살펴보면서 주로 소비자, 개인 전문가, 소기업을 겨냥한 윈도우 홈 에디션 및 프로 에디션과의 차이점은 무엇인지 알아본다.

윈도우 11 엔터프라이즈 보안 기능
마이크로소프트 신원(ID) 보호 및 인증 기술은 윈도우 11에서 극적으로 달라졌다. 생체 인증 방식은 윈도우 헬로(Windows Hello) 중심적이다. 인증의 대부분이 헬로와 호환되는 지문 판독기와 안면 인식용 웹캠을 통해 이뤄진다. 즉 헬로 기능을 사용할 수 있고 지원 드라이버가 설치된 장치가 필요하다.

스마트카드(SmartCards)를 비롯한 다양한 형태의 2중 인증(2FA)도 지원한다. 또한, 마이크로소프트는 다양한 서비스에 대한 로그인(예: 비주얼 스튜디오(Visual Studio) 구독, 마이크로소프트 대량 라이선싱 센터(Microsoft Volume Licensing Center), 마이크로소프트 라이브 로그인(Microsoft Live Login) 등)을 처리할 스마트폰 기반 인증 수단으로 마이크로소프트 인증기(Microsoft Authenticator) 앱을 제공한다.

윈도우 11 엔터프라이즈 배포 조직은 마이크로소프트의 비즈니스용 윈도우 헬로(WHFB)에 주목할 만하다. WHFB가 적용된 대상 장치는 계정/비밀번호 로그인 대신 2FA가 사용된다. 비밀번호 사용은 배제하고 액티브 디렉터리(AD) 또는 엔트라(Entra) 로그인과 긴밀하게 통합하므로 보안성 전반적으로 강화된다. WHFB는 서드파티 ID 제공업체나 공용 키 암호화 기반 FIDO 인증 표준을 지원하는 서드파티 서비스와도 연동된다.  참고로 FIDO는 ‘빠른 ID 온라인(Fast ID Online)’의 약자다. 자세한 정보는 FIDO 연합 웹사이트에서 확인할 수 있다.

WFHB를 구성과 관련해 기업은 GPO(그룹 정책 개체) 또는 MDM(이동 장치 관리) 정책이 사용하게 된다. 모두 인증서 기반 인증을 활용하는 것들이다. 따라서, 강력한 윈도우 헬로의 생체 인증 및 2FA 인증 방식 이외에도 WFHB를 통한 안전하고 비밀번호 없는 로그인 방식이 윈도우, 애저 등의 서비스에 추가된다. 사실상 최신 SSO(싱글 사인온) 기능이 윈도우 11 엔터프라이즈에 도입되는 셈이다.

하드웨어 및 가상화 기반의 보안
윈도우 11 엔터프라이즈는 윈도우 디펜더(Windows Defender) 인증정보 보호기라는 기술도 지원한다. 이 기술은 인증 정보를 따로 분리함으로써 권한 있는 시스템 소프트웨어만 접근할 수 있도록 한다. 인증정보 보호기가 활성화되면(버전 22H2 이후 버전에서는 기본적으로 설정됨) 윈도우 인증정보가 인증정보 관리자라는 특수 기능에 저장된다. 인증정보 보호기는 신뢰 플랫폼 모듈(TPM)의 통제 하에 금고(vaults)라는 특수 보안 폴더에 윈도우 인증정보를 보관한다. 윈도우와 애플리케이션(웹 브라우저 포함)은 인증정보를 금고에서 다른 컴퓨터 및 웹사이트로 안전하게 전달할 수 있다.

윈도우 11 엔터프라이즈의 인증정보 보호기에는 더 적절하면서도 중요한 기능이 있다. 과거에는 장치 보호기라고 불렀으나 현재는 ‘코드 무결성’ 또는 ‘메모리 무결성’이라고 불리는 기능이다. 하드웨어와 소프트웨어 보안 기능을 결합한 일종의 장치 봉쇄 조치를 통해 신뢰할 수 있는 애플리케이션만 실행되도록 한다. 신뢰할 수 없는 앱(애플리케이션)은 실행될 수 없다. 

이는 공격자가 보호막을 뚫고 장치에 침입하더라도 그 장치에서는 허가된 소프트웨어 이외에는 아무 것도 실행할 수 없다는 의미다. 이 기술은 윈도우 11 엔터프라이즈의 가상화 기반 보안 기능을 활용하여 OS 커널로부터 코드 무결성 서비스를 분리하는데, 이 코드 무결성 서비스는 기업 정책에 정의된 서명을 활용하여 신뢰할 만한 대상을 판단한다. 이 서비스는 하이퍼바이저로 보호된 컨테이너에서 윈도우 커널과 함께 실행된다.

윈도우 11 엔터프라이즈는 특수한 신뢰 부팅 서비스도 지원한다.  UEFI 버전 2.3.1(및 이후 버전)과 함께 시큐어 부트 기능을 사용하는 기능이다. 이 환경에서는 펌웨어 설정 잠금이 실행된다. 그 목적은 타 OS이 부팅되는 것과 UEFI 설정이 무단 변경되는 것을 방지하고 대체 부팅 장치를 차단하는 것이다(예를 들어 USB 플래시 드라이브는 차단되지 않을 경우 지정된 부팅 디스크 대신 실행될 수 있다). 

이렇게 하면, 보호된 시스템에서 루트키트와 기타 부팅 관련 맬웨어가 발 디딜 곳이 사라진다. 물론, 허가 받은 관리자는 부팅 시점에 UEFI 업데이트 적용, 설정 변경, 기타 정례적인 유지보수 수행(예: 펌웨어 업데이트 또는 변경) 등을 위한 특수 비밀번호를 제공하여 이런 설정을 무시할 수 있다.

데이터 손실 방지(DLP), 암호화 등
조직 데이터의 구분 및 누출 방지를 위해 윈도우 11 엔터프라이즈에는 윈도우 정보 보호(WIP)라는 기능이 포함되어 있다. WIP가 설정되면 앱이나 서비스(예: 이메일, SNS, 클라우드 코드)를 통한 우발적이거나 악의적인 데이터 노출이 방지된다. WIP는 특히 태블릿이나 스마트폰 같은 직원 소유 장치(개인 장치를 반입하여 사용하는 경우)에서 발생하는 데이터 유출을 방지한다.

WIP 보호 기능은 기업 데이터 소스 및 데이터 처리 애플리케이션를 정의한 정책에서 비롯된다. 투명성이 확보되는 셈이다. 그러나 마이크로소프트는 향후 버전에서의 WIP에 대해 ‘일몰’을 선언했다. 단, 23H2를 포함한 23H2까지의 버전에서는 유지된다.

WIP를 대체하는 기술의 명칭은 각각 마이크로소프트 퍼뷰(Microsoft Purview) 정보 보호(IP)와 마이크로소프트 퍼뷰 데이터 손실 방지(DLP)다. 이들 도구는 민감한 정보가 접근되거나 공유될 때 조직이 해당 정보를 발견, 분류, 보호하도록 돕는다. 또한, 민감한 데이터 탐지, 민감도 라벨 표시, 정책을 기반으로 한 데이터 손실 또는 유출 방지 기능을 제공한다. 이들 도구는 마이크로소프트 365 클라우드 서비스, 앱, 윈도우와 엣지(Edge)를 실행하는 엔드포인트 장치와 통합되며 크롬(Chrome), 맥OS 엔드포인트, 클라우드 앱을 포함한 중앙집중식 DPS 제어장치와도 통합된다.

버전 22H2가 도입되면서 윈도우 11에는 개인 데이터 암호화(PDE) 기능이 등장했다.  PDE는 비트로커(BitLocker) 같은 마이크로소프트의 다른 암호화 수단과 함께 작동하여 윈도우 11의 데이터 암호화 기능을 확대한다. 실제로 PDE는 전체 볼륨과 디스크가 아닌 개별 파일과 내용 항목을 암호화할 수 있다. 비즈니스용 윈도우 헬로를 사용하여 암호화 키를 사용자 인증정보에 연결한다. 따라서 사용자는 PDE 파일이나 항목을 암호화하거나 복호화 할 때 한 세트의 인증정보만 필요하다(비트로커는 두 세트가 필요하다).

또한, 윈도우 장치 건전성 증명(DHA) 클라우드 서비스는 윈도우 11 기반 장치의 건전성을 시행, 통제, 보고하여 조직의 데이터 및 지적 자산 보호를 돕는다. 마이크로소프트 엔드포인트 관리자를 비롯한 호환 MDM 서비스와도 연동하여 소위 ‘조건 접근 서비스’(conditional access services)를 구현한다. 이 서비스는 조직 네트워크에 접근을 시도하는 장치의 건전성과 상태를 확인하고, 확인 결과에 따라 신뢰할 수 없거나 알 수 없는 장치가 조직 리소스 및 네트워크에 접근하는 것을 방지할 수 있다.

또한 주목해야 할 점은 윈도우 엔터프라이즈 E5 구독권에는 E3 구독권 내용 전부와 함께 엔드포인트용 마이크로소프트 디펜더도 포함된다는 사실이다. 이 플랫폼은 윈도우, 맥OS, 리눅스, 안드로이드, iOS, IoT 장치에 AI 기반 엔드포인트 보안을 제공한다. 랜섬웨어 등의 사이버공격을 완전히 중단시키고 보안 팀이 클라우드 기반 및 장치 기반의 애플리케이션과 앱, 서비스를 최대한 활용할 수 있도록 설계되었다. 

따라서, 글로벌 위협 인텔리전스 및 공격 표면 모니터링 기능도 포함하며, 위협 방지 수단을 활용하여 엔드포인트의 안전과 보안을 유지한다. AI 역시 디펜더가 자동화 탐지 및 대응을 기계 속도로 실행하여 침입자와 공격을 저지하도록 돕는다.

윈도우 11 엔터프라이즈 생산성 기능
윈도우 11의 시작 메뉴는 검색 기능이 통합됐으며, 작업표시줄 및 알림 영역을 담고 있다. 윈도우 10(또는 이전 버전의 윈도우)에 익숙한 사용자는 윈도우 11를 바로 시작해 작업을 처리할 수 있다. 윈도우 11은 사용자 경험에 친화성과 익숙함을 모두 반영했으며, 집중 세션, 음성으로 입력, 스냅 레이아웃(Snap Layout) 등과 같은 생산성 향상 기능이 많이 포함되어 있다. 자세한 내용은 '윈도우 11에서 생산성을 높이는 방법 8가지'(영문)를 참고한다.

윈도우 11 엔터프라이즈를 비롯한 다른 버전에서 마이크로소프트는 AI 기반 코파일럿(예전 명칭은 빙 챗)를 적용하여 엣지(Edge) 브라우저의 기능을 강화했다. 뿐만 아니라, 사용자에게 향상된 웹 경험을 제공할 갖가지 확장프로그램과 제어장치도 적용했다. 

레거시 인터넷 익스플로러(IE) 모드는 여전히 구형 스타일 IE 기반 웹 애플리케이션(IE 11)에 접근하는 용도로 이용 가능하다. 조직들이 또 고려할 사항은 윈도우 엔터프라이즈 이미지 내에 비즈니스용 마이크로소프트 엣지를 배포하는 것이다. 비즈니스용 마이크로소프트 엣지는 모든 사용자 장치(관리 장치, 미관리 장치 불문)에 걸쳐 브라우징 내용, 제어장치, 도메인이 업무용과 개인용으로 명확히 분리된 맞춤형 보안 웹 브라우저를 제공한다.

마이크로소프트 및 서드파티 위젯을 통해, 항상 켜져 있는 편리한 데스크톱 도구 및 모니터링 기능에 손쉽게 접근할 수 있다. (작업표시줄의 ‘날씨’ 아이콘을 클릭하면 위젯 패널이 열린다.) 아래 그림은 메모리, CPU, GPU, 네트워크 상태를 (작업 관리자의 성능 탭 스타일로) 표시하는 데스크톱 위젯이다. 마이크로소프트의 데브 홈(Dev Home)(프리뷰) 앱을 통해 이용할 수 있따.


데브 홈 앱을 이용해 메모리, CPU, GPU, 네트워크 상태를 확인할 수 있다.

윈도우 11 엔터프라이즈 관리 기능
관리는 윈도우 11 엔터프라이즈의 장점이 특히 빛을 발하는 분야다. 동적 프로비저닝과 인플레이스(in-place) 업그레이드를 지원한다. 동적 프로비저닝으로 생성되는 프로비저닝 패키지는 플래시 드라이브나 SD 카드 같은 분리형 매체를 사용하여 설치하거나 이메일 첨부파일로 전송하거나 네트워크 드라이브에서 또는 비즈니스용 윈도우 업데이트를 통해서 다운로드할 수 있다. 인플레이스 업그레이드는 확실한 윈도우 수리 및 복구 방법이다. 더 많은 정보와 자세한 내용은 윈도우 수리 가이드 3단계(영문)를 참고한다.

사용자는 간단한 지시문으로 프로비저닝 패키지를 직접 배포하여 자신의 장치에 대한 프로비저닝과 구성을 수행할 수 있다. MDM 인프라가 없거나 네트워크 연결이 안 되는 경우에도 프로비저닝 패키지 하나로 직원 소유 장치를 포함한 여러 대의 장치를 구성할 수 있다. 인플레이스 업그레이드는 데이터와 설정은 유지하고 모든 호환 애플리케이션 및 드라이버는 업데이트하면서 간단히 윈도우 10에서 11로 업그레이드할 수 있다. (호환성 문제와 관련해서는 업그레이드 전 설치 조언 프로그램이 사전에 사용자에게 주의를 준다.)

윈도우 11 엔터프라이즈를 사용하는 조직은 윈도우용 코드 베이스를 직접 구체적으로 관리할 수도 있다. 대부분의 기업과 조직은 특정 윈도우 엔터프라이즈 빌드(예: 2023년 10월에 공개된 버전 23H2 또는 2022년 9월에 공개된 버전 22H2)에 대한 업데이트를 받는 것을 선택한다. 윈도우 11의 소비자 버전(홈 및 프로)은 생애주기가 2년인 반면 엔터프라이즈 버전은 36개월(3년)이다.

따라서 IT 부서는 업데이트가 적용되기 전에 평가하고 검증할 시간을 확보할 수 있으며, 생산 네트워크 내부로 업데이트가 전파되는 방식과 시기(대개 모종의 정기 유지보수 일정에 따름)도 통제할 수 있다. 비즈니스용 윈도우 업데이트 서비스는 업데이트 배포 및 추적 수단을 제공한다. 기업과 조직은 이를 내부적으로 사용하여 사내에서 보안 업데이트를 관리하거나 윈도우 업데이트 체제 전체를 처리할 수 있으며 그 모든 기능을 해당 기업과 조직의 자체적인 완전한 통제와 시기에 따라 진행할 수 있다.

윈도우 11 엔터프라이즈 사용
윈도우 11 엔터프라이즈는 다양한 다른 도구 및 기술과 함께 사용되는 경우가 많다. 윈도우 11 엔터프라이즈의 이미징, 관리, 배포, 유지보수를 지원하기 위한 구체적인 목적으로 설계된 관련 마이크로소프트 기술로는 다음과 같은 것들이 있다.

•    마이크로소프트 인튠(Microsoft Intune)(2019년에서 2022년까지 사용된 명칭은 마이크로소프트 엔드포인트 관리자)은 마이크로소프트 관리 제품군에 단일 통합 계정 및 로그인을 적용한다. 사용자 관리, 장치 관리, 앱 관리 도구를 망라하며 구성 관리자, 엔드포인트 애널리틱스(Endpoint Analytics), 윈도우 오토파일럿(Windows Autopilot), 윈도우 오토패치(Windows Autopatch), 기타 마이크로소프트 서비스와 통합된다. 모두 인튠 관리 센터를 통해 접근 및 통제 가능하다. 이 도구들은 윈도우 11 엔터프라이즈 이미지, 애플리케이션, 업데이트, 업그레이드를 배포 및 관리할 목적으로 안드로이드 기반 장치 및 iOS 기반 장치는 물론 맥과도 함께 사용될 수 있다.

•    윈도우 평가 및 배포 키트(ADK)는 윈도우 11 이미지를 맞춤화 하여 배포하기 위한 도구를 제공한다.

•    비즈니스용 윈도우 업데이트는 조직의 관리자가 윈도우 11 기반 장치의 업데이트 방식에 완전한 통제권을 행사할 수 있도록 그룹 정책 개체 사용 수단을 제공한다. 여기에는 배포 및 검증 그룹 지원, 업데이트 단계 및 멤버십 지정 수단, 지점과 원격 현장 내부에 통제된 방식으로 전파하기 위한 P2P 전송 등이 포함된다.

•    액티브 디렉터리(AD)와 엔트라 ID(구 애저 액티브 디렉터리(Azure Active Directory))는 내장되었거나 클라우드 기반의 디렉터리 서비스를 제공한다. 여기에는 OS 및 애플리케이션 배포, 업데이트, 접근 및 사용을 관리할 풍부하고 복잡한 그룹 정책 제어장치가 포함된다. 본 기사 초반에 언급된 정책 기반 제어장치는 모두 이 방법 가운데 하나를 통해 처리될 수 있다.

전체적으로 마이크로소프트는 윈도우 11 엔터프라이즈를 통제되고 안전한 환경에서 배포, 관리, 사용할 수 있도록 풍부한 지원 인프라를 제공한다. 특히 보안과 관리 부문이 크게 향상됐다. ciokr@idg.co.kr