윈도우 시리즈 중 가장 강력한 보안기능 갖췄다는 윈도우10
디바이스 가드, UEFI 기반 보안 부팅으로 무결성 보장

[보안뉴스 김태형] 마이크로소프트(이하 MS)가 지난 7월 29일 전 세계 190개국에 윈도우10을 공식 출시했다. 윈도우10은 익숙한 윈도우 환경이면서도 코타나(Cortana), 엑스박스 앱, 마이크로소프트 엣지(Microsoft Edge) 등과 같은 혁신적인 기능을 탑재해 보다 개인화되고 생산적인 경험을 제공한다.




윈도우 역사상 가장 보안이 강화됐다는 윈도우10은 ‘서비스 방식의 윈도우(Windows as a Service)’로 제공되어 항상 최신의 기능과 보안 업데이트 상태를 유지해준다. 아울러 PC, 태블릿, 폰 뿐만 아니라, 라즈베리 파이(Raspberry Pi), 엑스박스 원(Xbox One), 홀로렌즈(HoloLens) 등 가장 광범위한 디바이스들에서 동일한 경험을 누릴 수 있도록 지원하며, 2,000종의 디바이스 및 환경에서 이미 테스트됐다.

한국마이크로소프트 개발자 플랫폼 사업본부 백승주 부장은 “윈도우10은 고도로 개인화된 컴퓨팅 시대를 위한 새로운 윈도우로, 윈도우 시리즈중 가장 강력한 보안기능을 갖추고 있다. 최근엔 기존보다 더 복잡하고 다양한 형태의 각종 악성코드, 멀웨어, 피싱, 파밍 등이 존재하기 때문에 이에 맞춘 강화된 보안기능들이 필요하다”고 말했다.

또한 그는 “인터넷 이전 시기의 윈도우는 컴퓨터가 연결되지 않는다는 가정하에 설계되었지만 현재는 모든 디바이스가 인터넷 및 상호 연결된다는 가정으로 안전하게 설계된다. 윈도우10의 보안은 △계정(Identity) 보호 △정보보호 △위협방어 세가지 영역에서 모두 보안이 강화됐다”고 덧붙였다.

윈도우10의 보안기능 중에서 가장 눈에 띄는 것은 바이오인식을 통한 사용자 보안 강화이다. 디바이스의 분실 및 도난이나 바이러스, 피싱, 악성코드로부터 사용자를 보호하기 위해 마이크로소프트는 윈도우 보안 향상을 위해 많은 노력을 기울였다.

디바이스의 가장 확실한 보안방법은 사용자가 직접 접속하는 것이다. 이에 다른 디바이스들과 달리, 윈도우10이 탑재된 디바이스는 바이오정보와 같이 고도로 개인화된 형태로 사용자를 인식하는 방식을 도입했다.
사용자 편의성과 보안 수준 강화한 계정보호
윈도우10의 바이오인식 기능인 ‘윈도우 헬로(Hello)’를 통해 사용자가 핀(PIN) 번호나 비밀번호를 타이핑하지 않는다. 단지 지문이나 홍채, 그리고 얼굴을 활용해 눈을 깜빡거리거나 가볍게 터치하거나 사용자 얼굴을 인식하는 방법으로 윈도우에 로그인할 수 있다.

이는 열감지 적외선 및 레이저 카메라를 통해 사용자를 파악하며, 결과적으로 사용자는 컴퓨터에 앉기만 하면 바로 로그인할 수 있어 안전하면서 편리하다는 점이 특징이다. 특히, 해외에서 40쌍의 일란성 쌍둥이로 실험한 결과 한번도 오류가 나지 않을 만큼 안전한 기술이라는 것. 오수락율, 즉 비등록자를 등록자로 잘못 수락하는 확률은 10만분의 1이고 오거부율, 등록된 사용자를 거부할 확률이 2~4% 정도이다.

윈도우10에서는 기존 패스워드 방식에서 진화한 핀번호 방식을 지원한다. 기존 암호화 방식과의 차이는 ‘마이크로소프트 패스포트(Microsoft Passport)’라는 기술을 이용해 공개키 방식의 암호화를 사용한다. 암호화 키는 PC보안을 담당하는 트러스티드 플랫폼 모듈(TPM: Trusted Platform Module)에 저장하기 때문에 보다 안전하다.

백승주 부장은 “윈도우7의 경우, 계정 및 패스워드 확인 방식이 일반 사용자의 인증 방법이었으나, 패스워드에 대한 노출이 증가하고 이를 보완하기 위한 추가 솔루션의 다단계 인증 방식은 번거롭다는 단점이 있었다”면서 “패스포트는 패스워드가 인증을 위해 서버로 가는 과정에서 일어날 수 있는 보안위협을 없애줄 수 있다. 패스워드가 아닌 PIN 방식을 활용해서 양단의 암호화된 인증서를 서로 인증하는 기술이다. 인증서를 보호하기 위한 개인키로 PIN을 사용하며, PIN 및 사용자의 패스워드는 네트워크로 전송되지 않는다는 점이 특징”이라고 설명했다.


기업에서 기업용 영역과 개인 영역으로 나누어 안전하게 관리
또 윈도우10은 기업용 보호기능도 제공한다. 윈도우10의 EDP(Enterprise Data Protection)는 기업에서 디바이스, 사용자, 앱 데이터 타입에 따라 다양한 조건을 걸어 액세스 컨트롤 및 보안정책 준수를 가능하게 하는 기술이다.

즉, 기업 내부 네트워크를 지정하고 암호화 수준과 브라우저에 따라 다운로드 파일에 대해 암호화를 할 수 있고 하지 않을 수도 있다. 특히, 네트워크로 받은 파일 전부를 암호화 여부를 설정할 수 있다.

백 부장은 “관리자가 보안정책에 따라 회사에서 쓰는 프로그램 및 네트워크를 지정해두고 업무용 앱의 데이터를 개인용 영역으로 보내거나 할 때 어떻게 할 것인지 정책을 결정할 수 있다”면서 “예를 들어 업무용으로 지정된 오피스 파일을 이메일로 보낼 때 관리자가 설정한 정책에 의거해 경고를 보내고 파일 유출에 대한 로그 정보를 서버에 남겨 관리자가 확인할 수 있도록 정책을 설정할 수 있다. 또한 업무용 데이터는 무조건 암호화한 형태로 저장되도록 할 수도 있다”고 설명했다.

또한, 디바이스 하나에서 비즈니스 앱 및 데이터는 관리 영역에 두고, 개인 앱이나 데이터는 비관리 영역에서 사용이 가능하다. 이에 따라 기업용은 파일의 카피나 드래그 앤 드롭 제한은 물론 외부로의 파일 공유를 제한할 수 있다. 이렇게 되면 기업에서는 개인 영역을 보장하면서도 조직의 데이터 관리가 가능하다는 장점이 있다. 사용자가 퇴사할 때는 업무 데이터를 삭제해버릴 수도 있다. 

예를 들어, ‘외부의 사용자와 메시지를 주고받을 때 암호화한다’는 정책을 걸어 놓았을 때, 외부로 메일을 보내면 암호화된 메시지로 전송된다. 이를 보려면 일회용 키를 생성하거나 계정 로그인해서 볼 수 있고, 관리 영역에서 이를 다 확인할 수 도 있게 된다는 것이다.

이렇게 되면 기업의 기밀문서 등이 파일로 복사되어 외부 USB에 저장되어도 암호화를 유지하기 때문에 허락이나 로그인 없이는 이를 풀기가 어렵기 때문에 보안이 강화된다.

외부 위협을 원천 차단할 수 있는 위협 방어
또한, 악성코드와 멀웨어 대응을 위해 윈도우10은 윈도우 디펜더와 디바이스 가드 기능을 제공한다. 대부분의 경우 악성코드 감지와 차단 등을 백신이 담당한다. 하지만 백신 엔진이 업데이트 되지 않으면 소용이 없다. 윈도우10에서는 이렇게 다른 백신이 동작하고 제대로 업데이트 된다면 윈도우 디펜더가 따로 동작하지 않도록 설정되어 있다. 하지만 업데이트가 3일 이상 되지 않으면 윈도우 디펜더가 동작하게 되는 구조로 되어 있다. 그리고 추후 백신이 업데이트되어 정상적으로 동작하면 윈도우 디펜더는 동작을 멈춘다.

또 디바이스 가드는 인증된 앱만 실행하도록 해서 장치를 보호하는 기술이다. 예를 들어 인증되지 않은 사이트에서 다운로드 받은 파일을 열려고 하면 ‘이 프로그램은 디바이스 가드에서 차단되었다’라는 메시지와 함께 동작하지 않는다. 기업에서 관리자가 실행 가능한 목록을 업데이트 해서 관리할 수 있으며, 정상적인 앱스토어에서 받은 앱만 실행되도록 설정할 수 있다.

디바이스 가드 역시 윈도우의 보안 기술과 하드웨어 업계 표준 기술을 상호 연동해 구성된다. 특히, 이 디바이스 가드는 하드웨어 기술과 연계하면 더 강력해진다. 이를 통해 무결성 보장 운영체제와 디바이스 자체 무결성, 그리고 플랫폼 자체 무결성을 위한 것이다. 이와 같은 디바이스 가드를 구성하는 기술은 바로 UEFI(Unified Extensible Firmware Interface : 메인보드와 주변기기는 물론, PC부팅이나 운영체제, 운영체제 로더를 호출하는 등의 서비스까지 제공하는 펌웨어) 기반의 보안 부팅(Secure Boot)이다.

이와 같이 윈도우10은 개인 및 기업용 사용자들을 위한 강력한 보안기능을 탑재하고 있어 OS 자체의 보안기능만 잘 활용해도 윈도우10이 설치된 디바이스를 더 편리하고 안전하게 사용할 수 있다.  
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>