Offcanvas

보안 / 아웃소싱 / 운영체제

기업들이 알아두면 좋은 '윈도우 11' 새 보안 기능

2022.09.30 Susan Bradley  |  CSO
최근 출시된 윈도우 11 22H2를 살펴보면 마이크로소프트가 다시 한번 보안 기능에 큰 중점을 뒀다는 것을 확인할 수 있다. 어떤 면에서 윈도우 11 사용자에게는 반가운 소식이다. 추가적인 라이선스 없이, 윈도우 홈 버전만으로 새로운 보안 기능을 경험할 수 있기 때문이다. 윈도우 11에 어떤 보안 기능이 업데이트되었는지 핵심 변화를 살펴보자. 
 
ⓒ 마이크로소프트

원래 윈도우 11 기능 업데이트 자체는 1년 단위로 제공된다. 보안 변경은 윈도우 11 21H2, 윈도우 11 22H2 즉 2분기 출시 때 이루어지고 있다. 각 주요 기능 출시 사이에 ‘모멘트(moment) 릴리스’라는 소규모 업데이트도 있다. 

또한 특정 마이크로소프트 애플리케이션에서는 ‘제안된 행동(suggested actions)’을 볼 수 있다. 마이크소프트 팀즈와 같은 애플리케이션에서 다음 단계를 수행할 수 있도록 명령 프롬프트를 제공하는 식이다. 이러한 모멘트 업데이트 혹은 ‘제어된 기능 롤아웃’은 기업용 릴리스의 경우 기본값에 따라 포함되지 않지만, 프리뷰 릴리스에는 포함된다. 별도의 기업용 배포 정책이 있다면 점진적 업데이트를 효과적으로 제어할 수 있으며, 상황에 맞게 변경 사항을 배포할 수 있다. 
 

스마트 앱 컨트롤

먼저 새로운 기능인 스마트 앱 컨트롤(Smart App Control)을 살펴보자. 윈도우 10 S 모드 속 마이크로소프트 스토어에서는 사용 권한을 먼저 검사하고 애플리케이션 설치가 가능했다. 스마트 앱 컨트롤 또한 같은 목적으로 사용되지만, 실행 방식은 전혀 다르다. 

마이크로소프트는 이번에 클라우드 기반으로 특정 목록을 따로 만들고, 그 목록에는 별도의 해시값을 저장하고 신뢰성을 조사한 앱 정보를 담아두었다. 새로운 윈도우에서 스마트 앱 컨트롤을 활성화할 경우, 설치된 모든 바이너리가 조사된다. 앱이 목록에 없을 경우, 앱의 디지털 서명 유효성은 따로 검사 된다. 디지털 서명이 유효할 경우 앱을 설치할 수 있다. 코드에 서명하지 않은 기업용 앱이 있다면, 코드 서명 확인을 위해 벤더에 연락하자. 바람직한 관행을 위해서 필요한 절차다. 

스마트 앱 컨트롤은 운영 체제를 설치한 후에는 활성화할 수 없다. 윈도우11 22H1을 이미 배포한 경우, 이 기능을 사용하기 위해 22H2를 처음부터 재설치해야 한다. 또한 인증된 목록에 없는 특정 앱을 이용하기 위해 이 설정을 비활성화했다면, 다시 활성화하는 것은 불가능하다. 일방통행식 배포이기 때문이다. 이러한 이유로 인해 기업은 앱의 신뢰성 문제를 다른 도구로 해결하고 싶어 할 수 있다.

이때 마이크로소프트 인튠(Microsoft Intune)을 윈도우 디펜더 애플리케이션 컨트롤(Window Defender Application control)과 함께 사용한다면, 설치된 앱에 정책을 적용할 수 있다. 스마트 앱 컨트롤은 윈도우 디펜더 애플리케이션 컨트롤에서 사용되는 것과 동일한 OS 기술 기반으로 구축된다. 또한 스마트 앱 컨트롤은 윈도우 11 2022로 업데이트하면 모든 윈도우 고객 에디션에서 제공된다. 

대신 기업 IT팀은 마이크로소프트 인튠과 윈도우 디펜더 애플리케이션 컨트롤(WDAC)을 사용하면서, 원격으로 새 정책을 적용하며 업무용 기기에 실행되는 앱을 제어할 수 있다. 이때 필요한 라이선스 요구사항은 흥미롭다. 마이크로소프트는 “기업은 추가적인 라이선스 없이도 WDAC 정책을 모든 윈도우 10 에디션 및 윈도우 서버 2016에 적용할 수 있다. 정책을 만들기 위해서는 윈도우 10 엔터프라이즈가 필요하다”라고 설명했다. 애초에 윈도우 11을 사용하기 위해서는 신뢰할 수 있는 플랫폼 모듈(Trusted Platform Module (TPM))을 포함해 윈도우 11용 하드웨어뿐만 아니라 적절한 가상화 하드웨어가 필요하다.  
 

마이크로소프트 취약 드라이버 차단 목록

악성 드라이버는 심각한 문제이며, 윈도우 11 22H2는 그런 문제를 2가지 프로세스로 잘 대처하고 있다. 하이퍼바이저로 보호된 코드 무결성(Hypervisor-Protected Code Integrity, HVCI)과 마이크로소프트 취약 드라이버 차단 목록(Microsoft Vulnerable Driver Blocklist)을 제공하는 식이다. 윈도우는 커널에서 실행되는 코드에 대한 엄격한 요구사항을 가지고 있기 때문에, 사이버 범죄자는 일반적으로 커널 드라이버의 취약성을 이용한다.

커널 모드 하드웨어 적용 스택(Kernel Mode Hardware Enforced Stack) 보호 기능은 하드웨어 종류에 따라 달라지며, 기본적으로 인텔 타이거 레이크(Intel Tiger Lake) 프로세서 이상 혹은 AMD 젠3 (AMD Zen3) 이상이 필요하다. 이런 설정 과정에선 HVCI(Virtualization-Based Protection of Code Integrity)의 영향을 받는다. 다시 말해 적절한 하드웨어 기능이 없을 경우, 이 기능을 제공받지 못할 것이다. 
 

개선된 피싱 방지 보호

개선된 피싱 방지 보호(Enhanced Phishing Protection) 기능은 모든 윈도우 11 22H2 버전에서 기본값에 따라 22H2에 포함되어 있다. 이 기능을 활성화하기 위해 마이크로소프트 365 디펜더가 필요하지는 않지만, 이 라이선스는 추가적인 기록 및 보고 기능을 제공한다.

개선된 피싱 방지 보호 기능은 마이크로소프트 디펜더 스마트스크린(Microsoft Defender SmartScreen) 인프라에 기반하고 있어 웹사이트 혹은 앱이 자격증명 도용을 시도하고 있을 때, 사용자에게 경고할 수 있다. 적절한 마이크로소프트 365 라이선스 사용을 통해 앱 및 웹사이트에서 기업 자격 증명이 재사용되고 있는지에 대해서도 사용자에게 알려준다. 엔드포인트용 마이크로소프트 디펜더(Microsoft Defender for Endpoint)에 대한 라이선스가 있는 경우, 사용자가 노트패드, 워드패드 혹은 다른 오피스 애플리케이션에 암호를 저장하게 되면 암호는 따로 표시되거나 기록된다. 
 

프린터 보호

특정 인쇄 스풀러 패치의 경우 거의 매월 네트워크 컴퓨터에 설치해야 한다. 윈도우 11 22H2는 추가적인 설정을 제공해 쉽게 수정사항을 빌드할 수 있게 만들었다.

예를 들어 대기열 별 파일 (CopyFilesPolicy) 처리 관리 기능은 2021년 9월 윈도우 스풀러 원격 코드 실행 취약성(CVE-2021-36958)에 대응하기 위해 레지스트리 키로 처음 도입됐다. 이 설정을 사용하면 인박스 mscm.dlll 실행 파일만을 사용하여 표준 색상 프로필을 처리할 수 있다. 이제 보안 기준선은 ‘색상 프로필로 대기열 별 파일 제한(Limit queue-specific files to color profiles)’ 옵션을 사용하여 해당 설정을 ‘활성화(Enabled)’로 구성하는 것이다. 
 

관리자 계정 잠금 허용

윈도우 11 출시가 새로 출시되면 그룹 정책이 추가되거나 변경된다. 윈도우 11 22H2는 주로 랜섬웨어의 진입점이 되는 데스크톱 원격 공격 문제 해결을 지원하는 그룹 정책을 추가했다. ‘보안 설정(Security Settings)’/ ‘계정 정책(Account Policies)’/ ‘계정 잠금 정책(Account Lockout Policy)’에 위치한 이 정책은 무차별 대입 자격 증명 공격 완화를 위해 추가되었다. 
 

자격 증명 보호

윈도우 11 22H2는 자격 증명을 침해할 수 있는 코드 주입을 방지하기 위해, 로컬 보안 기관(Local Security Authority (LSA))에 대한 추가적 보호를 지원한다. 새로운 로컬 보안 기관 서버 서비스 (Local Security Authority Server Service, LSASS)는 기업용 윈도우 11 설치 기기를 보호하며, 마이크로소프트가 신뢰하고 서명한 코드만을 로드 하도록 보장한다. 
 

도메인 가입 혹은 마이크로소프트 계정 위임

윈도우 11 22H2는 마이크로소프트 365 및 추가적 보안 기능을 포함한 적절한 라이선스와 결합되는 것이 가장 좋다. 대기업의 경우, 윈도우 11 엔터프라이즈 E5(Windows 11 Enterprise E5) 혹은 마이크로소프트 365 E5 라이선스(Microsoft 365 E5 license)가 될 수 있다. 300명 미만의 소기업은 마이크로소프트 365 비즈니스 프리미엄(Microsoft 365 Business Premium) 구독을 구매할 수 있으며, E5 제품군의 많은 기능을 더 저렴한 비용으로 구입할 수 있다. 

물론 윈도우 11 프로 버전에서도 애저 AD(Azure AD) 계정 혹은 마이크로소프트 계정 등록을 강력히 권장하지만, 여전히 로컬 도메인에 가입하거나 최소한의 오류를 발생시키는 로컬 계정을 배포할 수 있다. 그러나 애저 AD 플랫폼에 가입할 경우, 사용자는 최상의 보안 옵션 및 클라우드 보호와 하이브리드 옵션이 결합된 기능을 활용할 수 있다. 
 

앞으로 나올 윈도우 11 보호 기능

마이크로소프트는 더욱 안전한 운영 체제를 만들기 위한 새로운 기능들을 이미 테스트하기 시작했다. 인사이더 릴리스 프리뷰 빌드 25206(Insider release preview build 25206)에서 현재 SMB 서버 서비스는 각 실패한 인바운드 NTLM 인증 사이의 2초 기본값을 기본값으로 설정한다. 공격자가 무차별 대입 공격 기술을 사용해 데이터베이스에서 암호를 추측하려고 하는 경우, 공격자의 속도를 늦춰 공격 기술 사용에 상당히 오랜 시간이 걸리게 된다. 
 

제로 트러스트

기업은 대부분은 더욱 강력한 자격 증명 및 암호 보호 기능과 관리자 권한 최소화 기능을 갖춘 기기를 더 효과적으로 배포하고자 한다. 그럼에도 불구하고 제로 트러스트를 염두에 두고 배포하거나 단순히 자격 증명 보호를 강화할 경우, 윈도우 11 22H2는 공격자보다 한 발 더 앞설 수 있도록 더 많은 도구를 제공한다. 

윈도우 11에는 앞으로 네트워크 보안성 강화를 위한 기능이 더 추가될 것이다. 특히 네트워크 내 윈도우 11 하드웨어 위임 기능은 나오는 데까지 시간이 더 걸리겠지만 이 기능은 보안의 중요성이 소프트웨어에 국한되지 않는다는 점을 보여줄 것이다. 컴퓨터 하드웨어는 반드시 제 기능을 수행해야 할 뿐만 아니라 네트워크 또한 지속적으로 보호해야 한다. 지금 바로 마이크로소프트 공식 사이트에 나온 윈도우 11 22H2 보안 기준 문서 검토 후 기능 테스트를 시작해보자. 
editor@itworld.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.