액션센터(Action Center)에서는 일반적으로 사용되는 설정에 대한 접근을 알리고 이를 제공해 준다.윈도우 10의 기업용 에디션
IT관리자들이 좋아할 만한 즉각적인 보안 개선도 있으며, 특히 윈도우 10 기기를 가지고 출근하는 사용자들이 있는 경우에는 더욱 그럴 것이다. 그 중 일부는 단순한 정책 변경이다.
예를 들어, 대부분의 소비자 PC에는 체험판 백신 구독이 적용되며, 체험이 끝난 후 갱신하지 않으면 (마이크로소프트는 소비자 PC 중 10%가 그렇다고 밝혔다) 윈도우 디펜더(Windows Defender)는 설정된 시간이 흐른 후에 자동으로 켜진다. 백신 업체가 바로 대응하지는 않기 때문에 현재 3일로 설정되어 있지만 직원들이 모니터링하고 있지 않은 가정용 시스템에서 연결하는 경우에는 더 나은 보안성을 제공한다.
또 윈도우 디펜더의 오프라인 버전은 현재 윈도우 복구 환경에 내장되어 있어 시스템을 수리할 때 악성 소프트웨어를 차단해 준다.
마이크로소프트의 새로운 엣지(Edge) 브라우저는 앱 컨테이너 샌드박스에서 구동하는 것부터 액티브X 제어, VB스크립트(VBScript), 툴바, BHO(Browser Helper Objects) 등을 제거하는 것까지 다양한 방식으로 보안을 향상시킨다. 이 덕분에 브라우징이 더욱 안전해지지만 일부 업무용 앱을 수정해야 할 수도 있다(또는 직원용 PC가 인터넷 익스플로러를 이용해 사이트에 접속하도록 구성해야 할 것이다). 엣지가 현재 많은 웹 표준을 신속하게 준수하고 있기는 하지만 아직 개발이 진행 중이며 올해 말 경에 주요 기능 업데이트가 제공될 것이다.
또 윈도우 7 이전의 버전에서 업그레이드하는 사람에게는 새로울 수 있는 윈도우 8의 보안 기능을 그대로 가져왔다. 예를 들어 다른 소프트웨어보다 백신 소프트웨어를 먼저 불러오는 신뢰 받는 부팅 악성 소프트웨어 보호장치를 통해 루트키트(Rootkit)를 차단하도록 디지털 서명한 운영체제 구성요소만 구동하도록 선택할 수 있으며, 시스템이 TPM(Trusted Platform Module)에서 안전하게 부팅되었다는 증거를 저장할 수 있다. 이를 통해 특히 TPM을 가상 스마트 카드로 사용할 때 기기가 중요 시스템에 연결하기 전에 확인할 수 있다.
비트록커(BitLocker) 디스크 전체 암호화는 윈도우 프로(Pro)와 엔터프라이즈 에디션에서만 제공되지만 윈도우 10 홈(Home) 시스템에서는 윈도우 8.1의 기기 암호화 옵션을 사용할 수 있다(단, 그에 맞는 하드웨어가 있어야 한다).
윈도우 10의 기타 보안 기능은 더욱 기본적이지만, 이를 활용하기 위해서는 신원, 인증, 접근을 처리하는 방식을 바꾸어야 한다.
—————————————————————
윈도우 10 인기기사
-> 칼럼 | 윈도우 10은 잊어라, 주목해야 할 발표는 ‘서비스로서의 윈도우’였다
-> 윈도우 10마저 실패한다면?
-> 마이크로소프트가 윈도우 10 행사에서 증명해야 하는 3가지
-> ‘이미지로 보는’ 윈도우 10 주요 특징
-> 윈도우 10, 첫해 동안 무료 업그레이드 CIO
-> 단순한 부활이 아니다’ 윈도우 10 시작메뉴의 비밀
-> 윈도우 10 최신 정보 분석… 기업에게 의미하는 바는?
—————————————————————
비밀번호 그 이상
PC에서 생체 인식이 새로운 것은 아니지만 새로운 PC의 하드웨어 덕분에 더욱 빠르고 유연해졌으며 새로운 윈도우 헬로(Hello) 로그인 기능은 사용이 간편하다. 새로운 지문 인식기는 아이폰과 마찬가지로 정전식이기 때문에 사용자는 좋은 센서를 손가락으로 훑고 지나가는 대신에 올려 놓기만 하며 되고, 지문의 3D 구조와 함께 손가락의 ‘실제’ 여부를 파악한다. 인텔이 마더보드에 생체 인식 센서를 장착할 수 있는 인터페이스를 추가했기 때문에 더욱 보편화될 것이다.
또 윈도우 10은 여러 노트북 컴퓨터에 내장되고 있는 인텔 리얼센스(RealSense) 카메라를 이용해 손 정맥문, 눈동자 인식, 3D 안면 인식을 위한 하드웨어도 지원한다. 이 기능은 적외선 센서를 이용해 온도를 고려하기 때문에 사진이나 마스크로 속일 수 없다.
표준 윈도우 사용자 비밀번호를 생체 인식으로 대체하면 피싱에 속은 직원들로부터 정보를 보호하고 직원들이 자신의 업무용 비밀번호를 사용하는 경우가 많은 해킹된 클라우드 서비스에서 사용자 이름과 비밀번호가 유출되지 않도록 막을 수 있다. PC에 악성 소프트웨어를 심는데 성공한 공격자들이 사용자가 윈도우에 로그인할 때 생성된 접속 토큰(Token)과 켈베로스(Kerberos) 크리덴셜(Credential)을 획득할 수 있는 점차 보편화되는 수평 공격에는 도움이 되지 않으며, 이메일, 파일 공유, 셰어포인트 사이트, 일련의 업무용 앱, 기업 데이터베이스, 기타 데이터 저장소에 접근할 수 있다.
이런 공격은 대상으로 하는 크리덴셜에 따라 ‘패스 더 해시(Pass the Hash)’와 ‘패스 더 티켓(Pass the Ticket)’으로 알려져 있다고 마이크로소프트의 크리스 할룸은 설명했다. 공격자가 토큰을 확보하면 신원을 파악하게 되기 때문에 사용자명과 비밀번호를 얻은 것과 같은 효과를 얻는다. 관리자 권한을 얻을 수 있다면 툴을 이용해 토큰을 추출하고 네트워크를 돌아다니면서 비밀번호 없이도 모든 서버에 접근할 수 있다.
윈도우 10 엔터프라이즈(그리고 윈도우 서버 2016)에서는 로그온 프로세스가 마이크로소프트가 말하는 관리자 권한이 없고 매우 제한적으로 접근하기 때문에 인증 중개를 위해 사용하는 로그온 서비스만 구동할 수 있는 안전한 가상의 컨테이너인 VSM(Virtual Secure Mode)으로 구동한다. 접속 토큰과 티켓은 모두 여기에 저장되고 무작위로 관리하며 전체 길이의 해시로 강제 공격을 차단한다. “윈도우 커널이 해킹된다 하더라도 해당 컨테이너에서 정보를 빼낼 수 있는 접근이 불가능하다. 따라서 윈도우의 중요 구성요소 중 하나를 격리시킬 수 있다”고 할룸은 말했다.
하지만 기업의 크리덴셜에 이 CB(Credential Guard) 보호장치를 적요하기 위해서는 윈도우 엔터프라이즈를 구동하는 PC에 하드웨어 가상화 및 TPM이 적용되지 않았을 뿐 아니라 도메인 컨트롤러(Domain Controller)를 윈도우 서버 2016으로 옮겨야 한다.
비밀번호 대체
사전에 윈도우 10의 적응형 차세대 크리덴셜인 윈도우 암호, 즉 FIDO(Fast Identity Online)을 사용할 계획을 세워야 한다. 이는 기존의 PKI(Public Key Infrastructure)나 윈도우 자체가 생성한 키 쌍을 이용하는 분산된 인증서일 수 있으며, TPM에 안전하게 저장하고 생체인식 또는 PIN(또는 사진 비밀번호)을 이용해 잠금을 해제한다. 각 기기는 스마트카드 또는 1회용 비밀번호를 이용해 등록할 수 있기 때문에 PC 자체는 보조적인 인증 요소가 되고, 블루투스나 와이파이 연결 휴대폰을 이용해 사용자에 복수의 다른 기기를 인증할 수 있다.
정책으로 PIN 길이와 복잡성(최대 20글자, 대소문자/기호/공백/숫자 포함)을 설정할 수 있으며, 소비자의 크리덴셜에 영향을 끼치지 않고 삭제할 수 있는 기업 크리덴셜에 개별 PIN 요건을 설정할 수도 있다.
향후 장기적으로 많은 사이트와 온라인 서비스가 FIDO 준수 크리덴셜을 도입할 것으로 예상되지만 자체적인 일련의 비즈니스 앱과 서비스에 패스포트를 먼저 사용할 수 있다. 잘 구성된 애플리케이션과 호환되고, 할룸은 “윈도우에서 비밀번호를 요청하는 대신에 사용자가 자신의 사용자명과 비밀번호를 입력하도록 강제하는 앱 등 모범 사례가 아닌 경우를 제외하고는 모든 앱이 이를 활용할 수 있을 것”이라고 말했다. 하지만 이것도 마찬가지로 윈도우 서버 2016과 애저 AD(Azure Active Directory)나 자체 AD 인프라에 대한 일부 업데이트가 필요하다.
애저 AD를 선택하는 경우 이를 이용해 윈도우 10의 내장 MDM(Mobile Device Management) 클라이언트를 제공함으로써 직원들이 PC를 구성함과 동시에 도메인 자원과 광범위한 클라우드 서비스에 싱글사인온(SSO)이 가능하도록 구성할 수 있다. 마이크로소프트 인튠(Intune)은 최초의 MDM 서비스로 윈도우 10 기기를 관리할 수 있지만 마이크로소프트는 다른 MDM 공급자와 협력하여 윈도우 10 지원을 추가하고 있으며, 이를 통해 사용자의 위치, 기기의 건전성 및 준수성 여부, 애플리케이션의 민감도뿐만이 아니라 일반적인 사용자의 역할과 접속 제한을 설정하는 그룹 설정을 기준으로 접속 제어를 위한 정책을 설정할 수 있다.
기기에서 구동할 수 있는 것에 대한 더욱 포괄적인 제어를 원하는 경우 새로운 DG(Device Guard) 옵션이 있는 PC를 고려하자. 여기에는 OEM에 의한 BIOS와 UEFI 잠금이 필요하기 때문에 이를 지원하는 하드웨어를 구매해야 한다. 하지만 구동할 수 있는 소프트웨어를 정확하게 제한할 수 있다. 여기에는 데스크톱과 범용 앱, 소프트웨어 업체에서 선택한 앱, 스토어에 업로드한 자체 앱 등 윈도우 스토어의 앱과 마이크로소프트와 연계된 인증서를 이용해 로컬 상태로 서명한 소프트웨어가 포함된다. 기업 및 소프트웨어 업체가 서명 인증서를 잘 보호하는 한 중요 기기에서 악성 소프트웨어를 차단하는데 큰 도움이 될 것이다.
모든 문서는 컨테이너에
올 해 말, 마이크로소프트는 윈도우 10에 또 다른 핵심 보안 기능인 EDP(Enterprise Data Protection)을 추가할 것이다. 여기에는 현재 스마트폰에 보편화된 컨테이너 접근방식이 필요하며 각 파일에 암호화를 수동으로 활성화할 필요 없이 암호화된 위치에 기업 콘텐츠를 자동으로 저장하는 정책을 이용해 기업 파일을 보호한다. 하지만 대부분의 스마트폰 컨테이너 시스템과는 달리 모든 파일이 자체 컨테이너로 들어가며 윈도우는 접근 중개인으로 작용한다.
“윈도우 10은 데이터의 출처에 따라 기업 및 개인 데이터를 구분할 수 있다”고 할룸은 말했다. “네트워크에서 기업으로 간주된 위치를 설정할 수 있다. 즉, DNS 주소를 이용해 IP 주소 범위에서 기업 메일 서버와 기업 파일 서버를 설정할 수 있다. 이런 위치에서 콘텐츠를 얻게 되면 네트워크는 그 출처를 파악할 수 있으며, 우리는 파일 수준에서 암호화하도록 명령할 수 있다”고 그는 전했다. 기기에서 생성된 파일의 경우 정책을 이용해 어떤 앱이 개인용도이고 어떤 앱이 기업용인지 지정하고, 업무용 앱의 파일을 자동으로 암호화할 수 있다.
이는 크로스 플랫폼 솔루션이기 때문에 파일을 OS X, iOS, 안드로이드에서 열어볼 수 있다. 오피스 문서의 경우에는 오피스의 2016 버전이 필요할 것이며, 윈도우 10과 함께 제공되는 무료 오피스 모바일 앱도 마찬가지지만 상업적인 용도로 사용하기 위해서는 비즈니스 구독이 필요할 것이다. 맥 버전의 오피스 2016만이 현재 프리뷰가 끝난 상태기 때문에 윈도우 10 컨테이너는 윈도우 버전의 오피스가 출시됨과 동시에 이용할 수 있을 것이다. 마이크로소프트 인튠은 오피스 애플리케이션을 관리할 수 있는 유일한 MDM 서비스이지만 키와 정책을 제공하는 광범위한 MDM 서비스 또는 SCCM(System Center Configuration Manager)를 이용해 EDP 컨테이너를 관리할 수 있을 것이다.
윈도우 10의 다른 주요 보안 기술과 마찬가지로 이를 활용하기 위해서는 투자가 필요할 것이다. 하지만 윈도우 10과 윈도우 서버 2016의 조합으로 크리덴셜, 앱, 파일을 보호할 수 있기 때문에 이전의 윈도우 시스템에서는 불가능했던 수준의 보안이 가능해졌다.
*Mary Branscombe는 자유기고가다. dl-ciokorea@foundryco.com
