상단으로 이동하기

해킹을 막는 윈도우10의 신기술 7가지Posted Dec 22, 2016 9:30:26 AM

이상우

읽을 가치가 있는 글을 쓰고 싶습니다.
aspen@thegear.co.kr

해커들의 공격이 날로 진화하고 있다. 더 불행한 것은 그들의 공격이 점점 더 거세질 것이고, 컴퓨터는 우리의 정보를 점점 더 많이 보유할 거라는 얘기다. 이는 개인뿐 아니라 기업, 정부기관에게도 큰 위협이다. 특히, 기업, 정부기관의 경우 개인보다 더 중요한 대량의 정보를 다루는 만큼 항상 보안에 신경 써야 한다. 무엇보다도 최종 사용자 단에서부터 보안을 강화해야 한다. 기업의 정보가 유출되는 경로는 크게 악의적인 해커의 소행이거나 내부 관련자의 실수다. 비슷한 예가 있다. 2015년 11월, 미 국방부의 인사시스템 해킹 사건이다. 400만 명이 넘는 군인/공무원의 개인 정보가 유출된 이 사건은 사용자가 악성코드를 다운로드하게 한 뒤 이를 해결하기 위해 관리자가 접속하길 기다려 인증 정보를 탈취했다. 점점 교묘해지고 예측불가한 해킹에 우리는 어떻게 대응해야 할까.


해커의 타깃 1순위 '보안 허술한 ATM과 기업의 개인 노트북'

해킹은 항상 취약점을 찾아 공격한다. 구세대 운영체제가 좋은 예다.
최근 아시아 몇몇 국가에서 ATM 기기가 해킹되어 피해가 속출하고 있다는 소식이 심심찮게 들린다. 여기서 공통되게 언급되는 대목이 윈도우XP 등 구형 운영체제와 아무런 인증 절차를 필요로 하지 않는 ATM 구동 소프트웨어다. 악성코드에 감염된 ATM 기기는 해커가 마음대로 제어할 수 있는 권한을 갖게 된다. 즉, 해커가 명령만 하면 ATM에 들어 있는 현금을 인출할 수 있다. 이를 막으려면 최신 운영체제로 업그레이드 하고, 이중 인증 같은 보안 시스템을 도입해야 한다.

기업에 대한 해킹도 요즘 들어 형태가 바뀌고 있다. 기업의 서버를 직접적으로 공격하기 보다는 상대적으로 보안에 덜 민감한 기업의 개인 사용자를 해킹 대상으로 삼는다. 특히 개인용 노트북이 주타깃이다. 노트북은 어디든 가지고 다니며 중요한 파일 대부분을 저장한다. 또 스마트폰, 태블릿 PC와 비교가 되지 않는 저장공간과 뛰어난 연결성이 제공되고 보안이 취약한 구형 프로그램을 사용하는 경우도 많다. 악성코드의 90% 이상이 개인의 이메일 사용과 웹 서핑 같은 일상적인 행동에 의해 감염된다는 사실에 비춰볼 때 개인 사용자의 보안 강화는 절실하다.

기업과 개인은 노트북 보안을 심각하게 고민해야 한다. 해커는 매우 부지런하다. 항상 새로운 해킹 기법을 개발하며, 로그인 암호를 훔치고 중요한 기밀 이메일을 가로채려고 당신의 노트북을 호시탐탐 노리고 있다. 하지만 너무 걱정할 필요 없다. 해커들의 공격에서 방어하는 효과적인 윈도우10의 보안 기술 7가지만 기억한다면 쉽게 해킹을 막을 수 있다. 방법도 쉽다. 다음의 7가지 설정만으로 가능하다.



1. 일란성 쌍둥이 구별하는 '윈도우 헬로'

가장 친숙한 것부터 시작하자. 마이크로소프트 서피스나 레노버 요가 910 같은 윈도우 헬로를 지원하는 노트북이 많아졌다. 이들 노트북들은 적외선 카메라로 얼굴을 인식해 암호를 입력하지 않고도 윈도우 로그인할 수 있게 한다. 얼핏 봐서는 해킹이 쉬울 것 같지만 절대 그렇지 않다. 윈도우 헬로는 자신의 사진은 물론이고, 일란성 쌍둥이도 로그인이 불가능할 정도로 해킹으로부터 높은 안정성을 보장한다. 적외선 카메라가 사용자의 얼굴을 철저하게 검사하기 때문에 암호보다 해킹이 더 어렵다.


2. 켜지는 순간부터 악성코드 차단 '윈도우 디팬더'

노트북을 사면 노턴 안티바이러스나 맥아피 같은 서드파티 보안 프로그램이 먼저 실행되도록 조치된 경우가 많다. 그런데, 이들 서드파티 보안 툴은 대부분 일정 기간이 지나면 유료 가입을 해야만 한다. 문제는 유료 가입 기간이 끝나면 해킹에 무방비로 노출된다. 그러나 윈도우 10에 기본 포함된 윈도우 디펜더는 무료인데다 모든 종류의 악성코드보다 먼저 작동해 악성코드가 숨을 수 있는 경로 자체를 차단한다. 가장 듬직하고 컴퓨터를 부팅시키고 켜지는 순간부터 보호한다.

잠재적인 보안 위협에 대한 정보, 의심스러운 파일을 마이크로소프트에 보내 실시간 보호와 악성코드 검색을 개선할 수 있다. [잠재적인 보안 위협에 대한 정보, 의심스러운 파일을 마이크로소프트에 보내 실시간 보호와 악성코드 검색을 개선할 수 있다. ]



3. 해킹 막는 64비트 브라우저 '마이크로소프트 엣지'

인터넷 익스플로러(IE)를 대체한 웹 브라우저 '엣지'는 해킹을 막는 강력한 보안 프로토콜이 적용됐다. 특히 사용자가 의도하지 않는 사이트로 피싱될 가능성을 획기적으로 줄여준다. 엣지의 '마이크로소프트 스마트스크린' 기능이 사이트의 백그라운드 프로세스와 사이트 평가를 확인하고 사용자를 피싱 공격으로부터 보호를 해주기 때문이다. 이 기능은 악성 소프트웨어를 사용자 몰래 다운로드되는 것을 막는 역할도 한다.
확장 플러그인은 브라우저 보안을 취약하게 만드는 요인이다. 확장 플러그인의 보안 문제는 곧 브라우저의 보안 문제로 직결되는데 엣지는 자신과 확장 플러그인 사이에서 공유하는 데이터 및 코드의 양을 이전보다 줄여 그런 문제를 최대한 회피한다. HTML5를 채택하고 VML VBScript와 툴바 등의 취약한 확장 기능을 제외했다. 또한 엣지는 64비트 시스템에서 64비트 프로세스로 실행된다. 그래서 엣지의 주소 공간은 IE 보다 훨씬 커지기 때문에 결과적으로 해커가 공격 위치를 정확하게 파악하는 것을 더 어렵게 한다.



4. 기업과 개인 데이터의 완벽한 분리 'WIP'

윈도우10은 사고로 인한 데이터 유출을 방지하기 위한 '윈도우 정보 보호(Windows Information Protection, WIP)' 기능이 제공된다. 기업 내 직원 소유 디바이스(노트북, 스마트폰 등)이 늘면서 기업 IT 관리자의 제어를 벗어나는 메일, SNS, 퍼블릭 클라우드 서비스 등의 프로그램과 서비스를 통해 실수로 데이터가 손실되는 위험도 증가하고 있다. 이를테면 직원이 개인 메일 계정에서 최신 엔지니어링 사진을 보내거나, 신제품 정보를 복사해 트위터에 올리거나, 진행 중인 영업 보고서를 드롭박스에 저장하는 경우가 이에 해당된다. 이때 WIP는 직원에게 불편을 주지 않으면서 개인 데이터와 기업 데이터를 분리하고 기업 데이터의 잠재적인 외부로의 누출을 방지해준다. 기업의 업무용 프로그램, 시중에서 판매되는 개인용 프로그램, 서비스에 모두 적용 가능해 IT 관리자의 관리 효율을 높이는 효과가 있다.



5. 안전한 프로그램 설치 가이드 '디바이스 가드'

윈도우10에서 지원하는 악성코드 차단 도구인 '디바이스 가드(Device Guard)'는 기업 IT 관리자가 기기를 잠그거나, 윈도우 스토어와 같은 적법한 출처가 아닌 곳에서 제공하는 프로그램의 설치를 차단할 수 있게 해준다. 이 도구는 또 마이크로소프트나 서드파티 개발자가 서명 또는 승인을 하지 않은 프로그램에 대한 IT 관리자가 서명과 승인할 수 있는 권한도 준다. 이것은 프로그램의 안정성 여부를 기업의 IT 부서가 판단하라는 것이다. 만약 이 리스트에 없는 프로그램을 사용자가 다운로드하려고 하면 디바이스 가드는 다운로드를 중지하고 프로그램이 승인되지 않았다고 통보한다. 또한 방어력을 강화하기 위해 IT 관리자는 포트와 IP 주소를 기반으로 기업의 가상 사설망(VPN)에 액세스하는 프로그램의 제한도 가능하다.


6. 외부인의 완전한 데이터 접근 차단 '비트로커'

마이크로소프트는 윈도우 비스타 이후 정보 유출 방지(DLP) 도구의 하나로 디스크 암호화 시스템인 '비트로커(BitLocker)'를 도입했다. 기업의 사내 사용자가 올바른 보안 프로필을 보유하고 있지 않은 경우, IT 관리자는 데이터 접근에 제한을 둘 수 있다. 또한 IT 관리자는 장치에서 다른 장치로 데이터를 전송하는 사이에 복사할 수 있는 정보를 제한하는 것도 가능하다. 프로그램과 파일 단위로 기업과 개인의 정보를 나누어 관리해 모바일과 데스크톱의 데이터를 보호하고, 자동으로 기업용 프로그램과 데이터를 구별, 암호화하여 보호한다. 보안이 걸려있지 않은 기업의 데이터들이 허가받지 않은 장치나 장소로 이동할 때 자동으로 데이터를 암호화하고 이동/복사되지 않도록 막아준다.

최종 노트북 사용자는 데이터를 안전하게 보관하기 위해 따로 할 것이 없다는 뜻이다. 그래서 IT 관리자도 최종 사용자가 보안 정책을 신경 쓰지 않는 것을 지적하거나 교육할 필요가 없다. 만약 기밀문서가 든 노트북 또는 USB 메모리가 분실되었거나 도난당했더라도 비트로커와 비트로커 투고(BitLocker to Go)가 작동하여 모든 파일을 록 다운(lock Down) 시켜 누구도 데이터에 접근할 수 없게 만든다.



7. 다단계 인증

컴퓨터 또는 프로필에 로그인할 때 적어도 2가지 형태의 식별 정보를 요구함으로써 보안을 강화하는 장치다. 윈도우 헬로는 마이크로소프트의 생체 인증 기능을 가진 하드웨어이고, 적외선 카메라를 통해 최종 사용자의 얼굴을 인식한다. 비대칭 암호화가 특징인 마이크로소프트 패스포트는 암호가 인증을 위해 서버로 가는 과정에서 일어날 수 있는 보안 위협을 없애준다. 암호가 아닌 PIN 방식을 활용해서 양단의 암호화된 인증서를 서로 인증해서다. 인증서를 보호하기 위한 개인키로 PIN을 사용하며, PIN 및 사용자의 암호는 네트워크로 전송되지 않는다.
윈도우10의 새로운 웹브라우저 '엣지'에도 생체 인증 기능이 추가됐다. 이것들은 하이퍼-V 기술을 통해 안전하게 저장되고 해커의 사용자를 위장한 'pass-the-ticket' 공격 자체를 무용지물로 만든다. 비록 해커가 암호를 알고 있더라도 네트워크에 접근하려면 현재 사용자가 손에 스마트폰을 쥐고 있어야만 가능하다. 해커가 회사안까지 쳐들어 오지 않는 이상 안전한 셈이다.


덧붙여 윈도우10은 미정부 국가정보보증프로그램의 모바일 기기 CC 보안 인증인 'MDFPP(Mobile Device Fundamentals Protection Profile)' 평가를 통과했다. 각각의 디바이스들의 보안, 신원 보안, 정보 보안 등 다양한 기능을 올인원으로 제공해 조직 내 모든 디바이스 업데이트를 최신으로 동일하게 적용해 보안 위협을 예방한다는 뜻이다. 미 국방부 CIO가 인사시스템을 처리하는 400만 대의 디바이스에 윈도우10으로의 빠른 업그레이드를 지시한 이유 역시 운영체제 전환만으로도 최종 사용자 단의 보안이 강화될 수 있었기 때문이다.


참고링크

이 기사를 읽은 분들은 이런 기사도 좋아했습니다.