2021.01.20

블로그 | 윈도우 1월 패치, 하이퍼-V 가상머신에 문제 유발

Susan Bradley | Computerworld
1월 12일 나온 보안 패치는 “이상무” 판정을 내리기 어렵다. 오히려 보안 부팅 DBX(Secure Boot Forbidden Signature Database) 업데이트는 하이퍼-V 서버와 일부 일반 사용자 워크스테이션에서 문제를 일으킨다.
 
ⓒ Getty Images Bank

KB4535680(Secure Boot DBX용 보안 업데이트: 2021년 1월 12일)는 여러 윈도우 버전에서 보안 부팅 DBX를 개선해준다. 해당되는 운영체제는 윈도우 서버 2012/R2/2016/2019 64비트, 윈도우 8.1 64비트, 윈도우 10 1067/1803/1809/1909 64비트이다. 핵심 변경사항은 “UEFI 기반 펌웨어를 사용하는 윈도우 디바이스가 보안 부팅을 활성화해 실행할 수 있다”는 것이다. 보안 부팅 DBX는 악성 UEFI 모듈이 로딩되는 것을 방지하는 기능으로, 이번 업데이트에는 모듈을 추가해 취약점을 성공적으로 악용하고, 보안 부팅을 우회해 신뢰할 수 없는 소프트웨어를 실행하는 악의적인 공격자를 차단한다.

패치 설명에 따르면, “윈도우 디펜더 크리덴셜 가드(Windows Defender Credential Guard)를 활성화하면, 디바이스가 두 번 재시동한다.” 하지만 필자는 이 패치가 하이퍼-V를 사용하는 서버에서는 가상머신의 무결성에 영향을 미친다는 것을 발견했다. 필자의 경우, 호스트 서버를 두 번 재시동하자 가상머신이 저장 상태(save state)가 되었다.

하이퍼-V 호스트 서버를 패치하면, 그 아래의 가상머신은 원래 작업을 그대로 하도록 하는 것이 보통이다. 하이퍼-V 호스트가 재시동하면, 가상머신은 원래의 가동 상태로 돌아온다. 시스템은 일시적으로 하이퍼-V 관리 서버를 중단하고, 호스트 머신을 재기동하고, 여기서 가상머신을 재시작한다. 필자도 보통은 호스트 서버를 재기동할 때 가상머신은 가동 상태 그대로 둔다. 하지만 이번에는 하이퍼-V 호스트를 재기동하자 가상머신이 원래의 운영 조건으로 돌아오지 않았다. 필자는 하이퍼-V 호스트를 3번 재기동하고, 나중에는 완전히 껐다가 다시 켜야 했다.

이번 업데이트를 하이퍼-V 서버에 설치했다면, 우선 가상머신을 수동으로 꺼야 한다. 이렇게 해야만 가상머신이 패치를 설치하기 전의 안정적인 조건으로 유지된다.

사실 DBX 업데이트는 2020년 2월 업데이트도 최신 BIOS 업데이트를 설치하지 않은 HP 시스템에서 문제를 일으킨 바 있다. 

그렇다면, 서버 관리자는 어떻게 해야 하는가? 우선 WSUS 같은 툴을 사용하는 기업이라면, KB4535680을 하이퍼-V 서버에 설치하기 전에 면밀하게 평가해야 한다. 보안 프랙티스 때문에 설치할 필요가 있다고 느낀다면, 우선 가상머신을 수동으로 끈 다음에 설치하기 바란다.

윈도우 10을 사용하는 일반 사용자라면, BIOS 업데이트가 매우 중요하다. 몇 년 전이라면 구입 후 한 번도 BIOS 업데이트를 하지 않은 시스템에도 패치를 설치하겠지만, 이제는 윈도우 10 기능 업데이트를 설치하기 전에 반드시 PC 제조사 웹 사이트에서 최신 BIOS 업데이트를 다운로드한다. 아직도 윈도우 10 1909를 사용한다면, Wushowhide 툴로 해당 업데이트를 숨겨놓기 바란다. 윈도우 2004 이후 버전에는 이 툴이 기본 포함되어 있다.

결론적으로 이번 업데이트를 확실한 필요가 있지 않다면, 건너뛸 것으로 권장한다. 가상머신에 미칠 위험이 공격의 위험보다 크다는 것이 필자의 의견이다. 만약 설치해야 한다면, 아주 신중하게 설치하기 바란다. editor@itworld.co.kr



2021.01.20

블로그 | 윈도우 1월 패치, 하이퍼-V 가상머신에 문제 유발

Susan Bradley | Computerworld
1월 12일 나온 보안 패치는 “이상무” 판정을 내리기 어렵다. 오히려 보안 부팅 DBX(Secure Boot Forbidden Signature Database) 업데이트는 하이퍼-V 서버와 일부 일반 사용자 워크스테이션에서 문제를 일으킨다.
 
ⓒ Getty Images Bank

KB4535680(Secure Boot DBX용 보안 업데이트: 2021년 1월 12일)는 여러 윈도우 버전에서 보안 부팅 DBX를 개선해준다. 해당되는 운영체제는 윈도우 서버 2012/R2/2016/2019 64비트, 윈도우 8.1 64비트, 윈도우 10 1067/1803/1809/1909 64비트이다. 핵심 변경사항은 “UEFI 기반 펌웨어를 사용하는 윈도우 디바이스가 보안 부팅을 활성화해 실행할 수 있다”는 것이다. 보안 부팅 DBX는 악성 UEFI 모듈이 로딩되는 것을 방지하는 기능으로, 이번 업데이트에는 모듈을 추가해 취약점을 성공적으로 악용하고, 보안 부팅을 우회해 신뢰할 수 없는 소프트웨어를 실행하는 악의적인 공격자를 차단한다.

패치 설명에 따르면, “윈도우 디펜더 크리덴셜 가드(Windows Defender Credential Guard)를 활성화하면, 디바이스가 두 번 재시동한다.” 하지만 필자는 이 패치가 하이퍼-V를 사용하는 서버에서는 가상머신의 무결성에 영향을 미친다는 것을 발견했다. 필자의 경우, 호스트 서버를 두 번 재시동하자 가상머신이 저장 상태(save state)가 되었다.

하이퍼-V 호스트 서버를 패치하면, 그 아래의 가상머신은 원래 작업을 그대로 하도록 하는 것이 보통이다. 하이퍼-V 호스트가 재시동하면, 가상머신은 원래의 가동 상태로 돌아온다. 시스템은 일시적으로 하이퍼-V 관리 서버를 중단하고, 호스트 머신을 재기동하고, 여기서 가상머신을 재시작한다. 필자도 보통은 호스트 서버를 재기동할 때 가상머신은 가동 상태 그대로 둔다. 하지만 이번에는 하이퍼-V 호스트를 재기동하자 가상머신이 원래의 운영 조건으로 돌아오지 않았다. 필자는 하이퍼-V 호스트를 3번 재기동하고, 나중에는 완전히 껐다가 다시 켜야 했다.

이번 업데이트를 하이퍼-V 서버에 설치했다면, 우선 가상머신을 수동으로 꺼야 한다. 이렇게 해야만 가상머신이 패치를 설치하기 전의 안정적인 조건으로 유지된다.

사실 DBX 업데이트는 2020년 2월 업데이트도 최신 BIOS 업데이트를 설치하지 않은 HP 시스템에서 문제를 일으킨 바 있다. 

그렇다면, 서버 관리자는 어떻게 해야 하는가? 우선 WSUS 같은 툴을 사용하는 기업이라면, KB4535680을 하이퍼-V 서버에 설치하기 전에 면밀하게 평가해야 한다. 보안 프랙티스 때문에 설치할 필요가 있다고 느낀다면, 우선 가상머신을 수동으로 끈 다음에 설치하기 바란다.

윈도우 10을 사용하는 일반 사용자라면, BIOS 업데이트가 매우 중요하다. 몇 년 전이라면 구입 후 한 번도 BIOS 업데이트를 하지 않은 시스템에도 패치를 설치하겠지만, 이제는 윈도우 10 기능 업데이트를 설치하기 전에 반드시 PC 제조사 웹 사이트에서 최신 BIOS 업데이트를 다운로드한다. 아직도 윈도우 10 1909를 사용한다면, Wushowhide 툴로 해당 업데이트를 숨겨놓기 바란다. 윈도우 2004 이후 버전에는 이 툴이 기본 포함되어 있다.

결론적으로 이번 업데이트를 확실한 필요가 있지 않다면, 건너뛸 것으로 권장한다. 가상머신에 미칠 위험이 공격의 위험보다 크다는 것이 필자의 의견이다. 만약 설치해야 한다면, 아주 신중하게 설치하기 바란다. editor@itworld.co.kr

X