Offcanvas

보안 / 애플리케이션 / 운영체제

MS 엣지 전용 보안 기능··· '애플리케이션 가드'의 이해

2018.05.18 Gregg Keizer  |  Computerworld
최근 마이크로소프트는 윈도우 10 프로에 새 보안 기능을 조용히 추가했다. 본래 운영체제 중 가장 고가의 에디션에만 지원하던 기능이다.

윈도우 디펜더 애플리케이션 가드(Windows Defender Application Guard, WDAG)라 불리는 이 기능은 윈도우 10의 기본 브라우저인 엣지(Edge)와 연동되며 기업 환경에서 안전하게 웹 서칭을 할 수 있는 안티-멀웨어다. 해커가 아무런 제재도 받지 않고 랜섬웨어를 배포하고, 고객 및 직원 정보, 개인 정보를 훔쳐 유출하는 상황이므로 이 기능은 매우 유용할 수 있다.

마이크로소프트 프로그램 매니저 제이슨 실브즈는 지난 해 애플리케이션 가드 기능 베타 테스트를 시작할 당시 웹사이트를 통해 “이제는 윈도우 10 프로 사용자도 윈도우 10 엔터프라이즈 사용자와 마찬가지로 애플리케이션 가드의 보호를 받으며 웹 서핑을 할 수 있다. 이제 웹 기반 공격으로부터 시스템이 안전하다는 확신을 가지고 일할 수 있게 됐다"라고 설명했다.



원래, WDAG는 1709 버전부터 제공됐으며 10월 업그레이드 이후 윈도우 10 엔터프라이즈 버전 사용자만 사용할 수 있다. 그러나 윈도우 10 프로의 애플리케이션 가드는 엔터프라이즈에 들어간 애플리케이션 가드와는 좀 다르다. 지금부터 WDAG에 대해 궁금했던 것을 문답으로 풀어보자.

윈도우 디펜더 애플리케이션 가드란?
WDAG는 윈도우의 하이퍼바이저 기술을 이용해 가상화된 환경에서 (고도로 압축된 버전의 운영체제 및 브라우저인) 윈도우와 엣지의 1회용 인스턴스를 생성한다. 가상 머신과 실제 사이에 존재하는 모든 접점을 꼼꼼히 막아 웹 세션과 실제 물리적 기기 사이의 모든 인터랙션을 차단한다.

WDAG는 멀웨어가 실제 디바이스의, 실제 운영 체제 및 실제 애플리케이션에 도달하는 것을 차단해 더 안전한 환경에서 브라우징할 수 있게 해준다. 또한, 브라우징이 끝나면 가상화됐던 윈도우 및 엣지는 완전히 삭제된다. 일종의 '격리 병동'이라 생각하면 편하다. 다만, 환자가 병에 걸리면 환자를 '삭제'해 버리는 병동이다.

WDAG와 샌드박스의 차이점은?
가상의 환경을 만들어 고립시킨다는 개념은 샌드박스와 비슷해 보인다. 그러나 꼭 같은 것은 아니다. 샌드박스는 보통 브라우저 탭을 구동하는 데 필요한 프로세스와 그러한 프로세스에 할당된 메모리를 격리한다. 반면 WDAG는 가상화된 ‘컨테이너’를 만든다. 일종의 ‘페이크 기기’인 셈인데, 디바이스의 메모리에만 존재하며 이 안에서 윈도우와 엣지 모두 구동된다.

모든 엣지 사용자가 WDAG를 사용할 수 있나?
그렇지 않다. 지난 해 윈도우 10 1709에 WDAG가 처음 등장했을 때, 2017년 10월 버전, ‘가을 크리에이터스 업데이트’라고 알려진 이 버전에서는 윈도우 엔터프라이즈 E3 또는 E5 사용자에게만 WDAG 기능을 제공했다. 윈도우 10 프로 사용자가 엔터프라이즈 사용자에게 주어진 기능의 일부분이나마 WDAG를 사용할 수 있게 된 건 윈도우 10 1803이 출시된 4월 30일부터다.

윈도우 10 프로 사용자가 WDAG에서 얻을 수 없는 것은?
윈도우 10 프로의 ‘엣지’는 다음과 같은 기능을 지원한다.

- WDAG 사용시 파일 다운로드 불가능
- 사용자가 비 도메인 URL을 입력하면 자동으로 WDAG 실행. 이는 기업 관리 모드(enterprise-managed mode)라고도 불리는데 독립 모드(standalone mode)의 대안이다. 이 모드에서는 신뢰할 수 없는 웹사이트를 열 때 사용자가 수동으로 애플리케이션 가드에서 엣지를 시작해야 한다.

이에 대해 마이크로소프트는 “윈도우 10 프로페셔널 용 애플리케이션 가드는 독립 모드에서만 사용할 수 있도록 설계됐다. 신뢰할 수 있는 웹사이트 대비 신뢰할 수 없는 웹사이트 이행을 전개할 수 있는 기능은 엔터프라이즈 버전에만 있다"라고 설명했다.

WDAG 모드에서 엣지를 사용할 때 문서나 다른 파일을 다운로드할 수 있나?
어쩌면 가능할 수도 있다. 가장 최신 업그레이드인 윈도우 10 엔터프라이즈 1803 사용자는 컨테이너 속 엣지 세션에서 호스트 디바이스로 파일을 다운로드할 수 있다. 물론 IT 팀에서 이를 허용한다는 가정에서다.

윈도우 10 엔터프라이즈 1709(및 그 이전 버전), 그리고 윈도우 10 프로의 모든 버전(가장 최근인 1803 포함)에서는 불가능하다. 대신, 이 버전 사용자는 PDF로 출력하기나 XPS 문서 작성자를 선택해 문서를 호스트 PC에 저장할 수 있다고 마이크로소프트는 설명했다. WDAG 세션에서 다운로드한 파일은 다운로드 폴더 밑에 있는 ‘신뢰할 수 없는 파일’ 폴더에 저장된다.

‘프로’에서 다운로드 할 방법은 전혀 없나?
있을 수도 있다. 2018년 4월 윈도우 10 1803 공개를 앞두고 이루어진, 윈도우 인사이더 프리뷰 프로세스 도중에 윈도우 10 프로의 엣지 및 WDAG에서 호스트 PC로 파일 및 문서 다운로드가 가능했다. 그렇지만 1803 버전이 나온 뒤로는 기업용 SKU(stock-keeping unit)만이 이 기능을 지원한다. 물론 앞으로도 마이크로소프트가 이 기능을 엔터프라이즈 버전에만 국한할 가능성도 있다. 그 동안 마이크로소프트는 고객이 더 비싼 고급 에디션을 구매하도록 이러한 전략을 종종 사용해 왔다.

복사/붙여넣기, 인쇄는?
WDAG 모드에서 엣지를 사용해 인쇄하는 것은 가능할까? 호스트 PC의 클립보드에서 URL 같은 것을 복사하고 이를 애플리케이션 가드 보호 하의 엣지에 붙여넣기 할 수 있을까? 웹사이트 자동 로그인 등에 쓰이는 쿠키는 어떨까? 이런 쿠키들도 다음 번 WDAG를 사용할 때 그대로 저장해서 쓸 수 있을까?

모두 가능하다. 윈도우 10 엔터프라이즈 1709 버전 및 이후 버전, 그리고 윈도우 10 프로 1803 버전은 인쇄, 복사-붙여넣기, 그리고 마이크로소프트가 ‘지속성(persistence)’이라고 부르는 것 등을 모두 할 수 있다.

특히 '지속성' 관련해서 마이크로소프트는 “데이터 지속성을 허용하지 않을 경우 기기를 재시작하거나 고립된 컨테이너에 로그인, 로그아웃할 때마다 생성된 모든 데이터를 전부 삭제하는 리사이클 이벤트가 발생한다. 세션 쿠키, 즐겨 찾기 등의 데이터가 전부 애플리케이션 가드로부터 삭제된다"라고 설명했다.

데이터 지속성 기능을 활성화하면 이 모든 데이터가 다음 WDAG 세션까지 고립된 컨테이너 내부에 유지된다. 기기를 재시작하거나, “심지어 윈도우 10 빌드-투-빌드 업그레이드를 해도” 데이터는 남는다. 이러한 데이터, 쿠키 등은 호스트 시스템과 공유되지 않는다.

IT 관리자는 컴퓨터 설정 > 관리 템플릿 > 윈도우 요소 > 윈도우 디펜더 애플리케이션 가드의 인터페이스를 통해 프린팅, 복사, 붙여넣기, 그리고 데이터 지속성에 대한 설정을 변경할 수 있다. 애플리케이션 가드를 처음 시작할 때는 이 모든 기능이 기본으로 비활성화돼 있다.


WDAG에서 엣지를 구동할 때 필요한 것은?
마이크로소프트에 따르면 애플리케이션 가드를 위한 시스템 요건은 다음과 같다.

- 64비트 하이퍼-V 프로세서와 최소 4코어가 필요하다. 대부분의 6, 7, 8세대 인텔 칩은 하이퍼-V를 지원하며 여러 AMD 프로세서도 마찬가지다. 기기가 WDAG를 실행하기 적합한 상태인지 궁금하다면 인텔 프로세서 PC는 여기, AMD 프로세서 PC는 여기에서 확인할 수 있다.
- 8GB 램(RAM)

WDAG는 브라우징 속도를 느리게 만드나?
실제로 그렇다. 애플리케이션 가드를 처음 시작할 때는 약 수 분 가량 걸릴 수 있다. 이는 호스트 PC가 엣지를 구동할 가상 머신을 만드는 데 필요한 시간이다. WDAG가 활성화 된 이후 세션은 이보다는 빨라진다.

애플리케이션 가드는 기본 상태에서 CPU 구동 소프트웨어 기반 렌더링을 사용한다. 마이크로소프트는 자사의 보안 기술이 “서드파티 그래픽스 드라이버를 로딩하지도, 그 어떤 연결된 그래픽스 하드웨어와 인터랙션하지도 않는다”고 설명했다. 따라서 브라우저에 의한 GPU(그래픽 처리 장치) 보조 렌더링의 가능성은 크지 않다. 이는 오늘날 많은 솔루션이 페이지 출력 속도를 높이기 위해 제공하는 기능임을 고려하면 다소 아쉬운 대목이다.

마이크로소프트에 따르면, 이렇게 하는 이유는 "침해 됐을 수도 있는 그래픽스 디바이스나 드라이버를 가지고 이러한 설정을 활성화 하는 것은 호스트 기기에 혹시 모를 위험을 가할 수 있기 때문"이다. 그러나 윈도우 10 엔터프라이즈 1803 버전 사용자는 하드웨어 보조 렌더링을 열어 주는 특별한 레지스트리 키를 마이크로소프트에 요청할 수 있다. 마이크로소프트사에 따르면 이러한 기능은 현재 '테스트 단계'에 있다.

마이크로소프트에서 제공하는 레지스트리 키를 추가하면 비디오 플레이백처럼 그래픽 로드가 증가할 때도 브라우저 성능을 개선할 수 있다. 또한 애플리케이션 가드를 구동하는 노트북의 배터리 수명을 연장할 수 있다고 마이크로소프트는 설명했다.

크롬과 같은 다른 브라우저에서도 애플리케이션 가드를 사용할 수 있나?
결론부터 말하면 안된다. 인터넷 익스플로러도 마찬가지다. WDAG를 구동할 수 있는 것은 엣지 뿐이다. 그리고 마이크로소프트는 앞으로도 이 정책을 수정할 생각이 없어 보인다.

브라우저 애드온은 어떨까?
아마도 불가능할 것이다. 마이크로소프트는 “현재 애플리케이션 가드의 엣지 세션은 확장 프로그램을 지원 하지 않는다”라고 설명했다. 그러나 이 문제에 관해 사용자 피드백을 주의 깊게 모니터링 하고 있다고 덧붙여 완전히 불가능한 일은 아니라는 여지를 남겼다.

애플리케이션 가드 및 엣지를 처음 시작하는 방법은?
윈도우 10 프로 사용자에게 제공되는 유일한 모드인 독립 모드를 사용하려면 우선 제어판을 열고 프로그램을 클릭한다. 그리고 윈도우 기능 켜고 끄기를 선택한다. 윈도우 디펜더 애플리케이션 가드라고 쓰인 박스를 체크한 후 OK를 클릭한다.마지막으로 PC를 다시 시작하고, 엣지를 실행 한 후 브라우저 창 오른쪽에 위치한 메뉴에서 새로운 애플리케이션 가드 창을 띄운다.

이제 보안 기능을 활성화한 상태에서 신뢰할 수 없는 주소에 접속하면 오렌지색 알림 상자가 뜨고 탭 역시 오렌지색으로 변하기 때문에 작동 여부를 바로 시각적으로 알 수 있다. 기업 관리 모드는 윈도우 10 엔터프라이즈 사용자에게만 적용된다. 이 때 IT 관리자는 애플리케이션 가드 지원 문서에 나타난 단계별 가이드를 참고하면 된다. ciokr@idg.co.kr 
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.