최근 출시된 윈도우 11 22H2를 살펴보면 마이크로소프트가 다시 한번 보안 기능에 큰 중점을 뒀다는 것을 확인할 수 있다. 어떤 면에서 윈도우 11 사용자에게는 반가운 소식이다. 추가적인 라이선스 없이, 윈도우 홈 버전만으로 새로운 보안 기능을 경험할 수 있기 때문이다. 윈도우 11에 어떤 보안 기능이 업데이트되었는지 핵심 변화를 살펴보자.
원래 윈도우 11 기능 업데이트 자체는 1년 단위로 제공된다. 보안 변경은 윈도우 11 21H2, 윈도우 11 22H2 즉 2분기 출시 때 이루어지고 있다. 각 주요 기능 출시 사이에 ‘모멘트(moment) 릴리스’라는 소규모 업데이트도 있다.
또한 특정 마이크로소프트 애플리케이션에서는 ‘제안된 행동(suggested actions)’을 볼 수 있다. 마이크소프트 팀즈와 같은 애플리케이션에서 다음 단계를 수행할 수 있도록 명령 프롬프트를 제공하는 식이다. 이러한 모멘트 업데이트 혹은 ‘제어된 기능 롤아웃’은 기업용 릴리스의 경우 기본값에 따라 포함되지 않지만, 프리뷰 릴리스에는 포함된다. 별도의 기업용 배포 정책이 있다면 점진적 업데이트를 효과적으로 제어할 수 있으며, 상황에 맞게 변경 사항을 배포할 수 있다.
스마트 앱 컨트롤
먼저 새로운 기능인 스마트 앱 컨트롤(Smart App Control)을 살펴보자. 윈도우 10 S 모드 속 마이크로소프트 스토어에서는 사용 권한을 먼저 검사하고 애플리케이션 설치가 가능했다. 스마트 앱 컨트롤 또한 같은 목적으로 사용되지만, 실행 방식은 전혀 다르다.
마이크로소프트는 이번에 클라우드 기반으로 특정 목록을 따로 만들고, 그 목록에는 별도의 해시값을 저장하고 신뢰성을 조사한 앱 정보를 담아두었다. 새로운 윈도우에서 스마트 앱 컨트롤을 활성화할 경우, 설치된 모든 바이너리가 조사된다. 앱이 목록에 없을 경우, 앱의 디지털 서명 유효성은 따로 검사 된다. 디지털 서명이 유효할 경우 앱을 설치할 수 있다. 코드에 서명하지 않은 기업용 앱이 있다면, 코드 서명 확인을 위해 벤더에 연락하자. 바람직한 관행을 위해서 필요한 절차다.
스마트 앱 컨트롤은 운영 체제를 설치한 후에는 활성화할 수 없다. 윈도우11 22H1을 이미 배포한 경우, 이 기능을 사용하기 위해 22H2를 처음부터 재설치해야 한다. 또한 인증된 목록에 없는 특정 앱을 이용하기 위해 이 설정을 비활성화했다면, 다시 활성화하는 것은 불가능하다. 일방통행식 배포이기 때문이다. 이러한 이유로 인해 기업은 앱의 신뢰성 문제를 다른 도구로 해결하고 싶어 할 수 있다.
이때 마이크로소프트 인튠(Microsoft Intune)을 윈도우 디펜더 애플리케이션 컨트롤(Window Defender Application control)과 함께 사용한다면, 설치된 앱에 정책을 적용할 수 있다. 스마트 앱 컨트롤은 윈도우 디펜더 애플리케이션 컨트롤에서 사용되는 것과 동일한 OS 기술 기반으로 구축된다. 또한 스마트 앱 컨트롤은 윈도우 11 2022로 업데이트하면 모든 윈도우 고객 에디션에서 제공된다.
대신 기업 IT팀은 마이크로소프트 인튠과 윈도우 디펜더 애플리케이션 컨트롤(WDAC)을 사용하면서, 원격으로 새 정책을 적용하며 업무용 기기에 실행되는 앱을 제어할 수 있다. 이때 필요한 라이선스 요구사항은 흥미롭다. 마이크로소프트는 “기업은 추가적인 라이선스 없이도 WDAC 정책을 모든 윈도우 10 에디션 및 윈도우 서버 2016에 적용할 수 있다. 정책을 만들기 위해서는 윈도우 10 엔터프라이즈가 필요하다”라고 설명했다. 애초에 윈도우 11을 사용하기 위해서는 신뢰할 수 있는 플랫폼 모듈(Trusted Platform Module (TPM))을 포함해 윈도우 11용 하드웨어뿐만 아니라 적절한 가상화 하드웨어가 필요하다.
마이크로소프트 취약 드라이버 차단 목록
악성 드라이버는 심각한 문제이며, 윈도우 11 22H2는 그런 문제를 2가지 프로세스로 잘 대처하고 있다. 하이퍼바이저로 보호된 코드 무결성(Hypervisor-Protected Code Integrity, HVCI)과 마이크로소프트 취약 드라이버 차단 목록(Microsoft Vulnerable Driver Blocklist)을 제공하는 식이다. 윈도우는 커널에서 실행되는 코드에 대한 엄격한 요구사항을 가지고 있기 때문에, 사이버 범죄자는 일반적으로 커널 드라이버의 취약성을 이용한다.
커널 모드 하드웨어 적용 스택(Kernel Mode Hardware Enforced Stack) 보호 기능은 하드웨어 종류에 따라 달라지며, 기본적으로 인텔 타이거 레이크(Intel Tiger Lake) 프로세서 이상 혹은 AMD 젠3 (AMD Zen3) 이상이 필요하다. 이런 설정 과정에선 HVCI(Virtualization-Based Protection of Code Integrity)의 영향을 받는다. 다시 말해 적절한 하드웨어 기능이 없을 경우, 이 기능을 제공받지 못할 것이다.
개선된 피싱 방지 보호
개선된 피싱 방지 보호(Enhanced Phishing Protection) 기능은 모든 윈도우 11 22H2 버전에서 기본값에 따라 22H2에 포함되어 있다. 이 기능을 활성화하기 위해 마이크로소프트 365 디펜더가 필요하지는 않지만, 이 라이선스는 추가적인 기록 및 보고 기능을 제공한다.
개선된 피싱 방지 보호 기능은 마이크로소프트 디펜더 스마트스크린(Microsoft Defender SmartScreen) 인프라에 기반하고 있어 웹사이트 혹은 앱이 자격증명 도용을 시도하고 있을 때, 사용자에게 경고할 수 있다. 적절한 마이크로소프트 365 라이선스 사용을 통해 앱 및 웹사이트에서 기업 자격 증명이 재사용되고 있는지에 대해서도 사용자에게 알려준다. 엔드포인트용 마이크로소프트 디펜더(Microsoft Defender for Endpoint)에 대한 라이선스가 있는 경우, 사용자가 노트패드, 워드패드 혹은 다른 오피스 애플리케이션에 암호를 저장하게 되면 암호는 따로 표시되거나 기록된다.
프린터 보호
특정 인쇄 스풀러 패치의 경우 거의 매월 네트워크 컴퓨터에 설치해야 한다. 윈도우 11 22H2는 추가적인 설정을 제공해 쉽게 수정사항을 빌드할 수 있게 만들었다.
예를 들어 대기열 별 파일 (CopyFilesPolicy) 처리 관리 기능은 2021년 9월 윈도우 스풀러 원격 코드 실행 취약성(CVE-2021-36958)에 대응하기 위해 레지스트리 키로 처음 도입됐다. 이 설정을 사용하면 인박스 mscm.dlll 실행 파일만을 사용하여 표준 색상 프로필을 처리할 수 있다. 이제 보안 기준선은 ‘색상 프로필로 대기열 별 파일 제한(Limit queue-specific files to color profiles)’ 옵션을 사용하여 해당 설정을 ‘활성화(Enabled)’로 구성하는 것이다.
관리자 계정 잠금 허용
윈도우 11 출시가 새로 출시되면 그룹 정책이 추가되거나 변경된다. 윈도우 11 22H2는 주로 랜섬웨어의 진입점이 되는 데스크톱 원격 공격 문제 해결을 지원하는 그룹 정책을 추가했다. ‘보안 설정(Security Settings)’/ ‘계정 정책(Account Policies)’/ ‘계정 잠금 정책(Account Lockout Policy)’에 위치한 이 정책은 무차별 대입 자격 증명 공격 완화를 위해 추가되었다.
자격 증명 보호
윈도우 11 22H2는 자격 증명을 침해할 수 있는 코드 주입을 방지하기 위해, 로컬 보안 기관(Local Security Authority (LSA))에 대한 추가적 보호를 지원한다. 새로운 로컬 보안 기관 서버 서비스 (Local Security Authority Server Service, LSASS)는 기업용 윈도우 11 설치 기기를 보호하며, 마이크로소프트가 신뢰하고 서명한 코드만을 로드 하도록 보장한다.
도메인 가입 혹은 마이크로소프트 계정 위임
윈도우 11 22H2는 마이크로소프트 365 및 추가적 보안 기능을 포함한 적절한 라이선스와 결합되는 것이 가장 좋다. 대기업의 경우, 윈도우 11 엔터프라이즈 E5(Windows 11 Enterprise E5) 혹은 마이크로소프트 365 E5 라이선스(Microsoft 365 E5 license)가 될 수 있다. 300명 미만의 소기업은 마이크로소프트 365 비즈니스 프리미엄(Microsoft 365 Business Premium) 구독을 구매할 수 있으며, E5 제품군의 많은 기능을 더 저렴한 비용으로 구입할 수 있다.
물론 윈도우 11 프로 버전에서도 애저 AD(Azure AD) 계정 혹은 마이크로소프트 계정 등록을 강력히 권장하지만, 여전히 로컬 도메인에 가입하거나 최소한의 오류를 발생시키는 로컬 계정을 배포할 수 있다. 그러나 애저 AD 플랫폼에 가입할 경우, 사용자는 최상의 보안 옵션 및 클라우드 보호와 하이브리드 옵션이 결합된 기능을 활용할 수 있다.
앞으로 나올 윈도우 11 보호 기능
마이크로소프트는 더욱 안전한 운영 체제를 만들기 위한 새로운 기능들을 이미 테스트하기 시작했다. 인사이더 릴리스 프리뷰 빌드 25206(Insider release preview build 25206)에서 현재 SMB 서버 서비스는 각 실패한 인바운드 NTLM 인증 사이의 2초 기본값을 기본값으로 설정한다. 공격자가 무차별 대입 공격 기술을 사용해 데이터베이스에서 암호를 추측하려고 하는 경우, 공격자의 속도를 늦춰 공격 기술 사용에 상당히 오랜 시간이 걸리게 된다.
제로 트러스트
기업은 대부분은 더욱 강력한 자격 증명 및 암호 보호 기능과 관리자 권한 최소화 기능을 갖춘 기기를 더 효과적으로 배포하고자 한다. 그럼에도 불구하고 제로 트러스트를 염두에 두고 배포하거나 단순히 자격 증명 보호를 강화할 경우, 윈도우 11 22H2는 공격자보다 한 발 더 앞설 수 있도록 더 많은 도구를 제공한다.
윈도우 11에는 앞으로 네트워크 보안성 강화를 위한 기능이 더 추가될 것이다. 특히 네트워크 내 윈도우 11 하드웨어 위임 기능은 나오는 데까지 시간이 더 걸리겠지만 이 기능은 보안의 중요성이 소프트웨어에 국한되지 않는다는 점을 보여줄 것이다. 컴퓨터 하드웨어는 반드시 제 기능을 수행해야 할 뿐만 아니라 네트워크 또한 지속적으로 보호해야 한다. 지금 바로 마이크로소프트 공식 사이트에 나온 윈도우 11 22H2 보안 기준 문서 검토 후 기능 테스트를 시작해보자.
editor@itworld.co.kr
VPN (가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다.
동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다.
무료 VPN, 정말 괜찮을까?
무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다.
보안 우려
대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다.
속도와 대역폭 제한
무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다.
서비스 제한
무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다.
광고 및 추적
일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다.
제한된 기능
무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다.
유료 VPN의 필요성
최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다.
그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다.
보안 강화
해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다.
개인 정보 보호
인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다.
지역 제한 해제
해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다.
빠르고 안전한 유료 VPN, 서프샤크 VPN
뛰어난 보안
서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다.
다양한 서버 위치
서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다.
속도와 대역폭
서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다.
다양한 플랫폼 지원
서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다.
디바이스 무제한 연결
서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.