IoT 환경을 위한 윈도우 8.1의 보안기술

윈도우 업데이트? 단순한 운영체제 업데이트?

지난 달 마이크로소프트는 십 년 넘게 지원해왔던 윈도우 XP의 정기적인 기술지원을 종료했다. 윈도우 XP는 보안업데이트는 물론 윈도우 방화벽, 보안 센터 등 나름의 보안 대책을 가지고 험난한 환경에 대응해 나갔다. 하지만 기술지원이 종료됨으로써 정기 보안업데이트가 제공되지 않음을 시사하고 있다.

마이크로소프트 테크니컬 펠로우(MS Technical Fellow)인 마크 러시노비치는 정보보안 컨퍼런스인 ‘RSA Conference 2014’에서 PtH(Pass-the-Hash) 공격 위협에 대한 세션을 발표했다. PtH공격은 자격 증명 프로토콜의 취약점을 이용해 숨겨진 사용자 비밀번호의 해쉬값을 분석하여 원격의 서버 또는 서비스에 대한 인증을 얻고 그 접근 권한을 이용해 시스템 리소스를 파괴 또는 수정하는 해킹기술을 말한다.

해킹기술은 더욱 집요해지고 다변화되고 있으며 언제나 시스템의 취약점을 노린다. 보안업데이트가 제공되지 않는다는 것은 보안상의 취약점이 발견되어 시스템이 악용된다 하더라도 운영체제에서는 아무 조치도 취할 수 없다는 말이다. 운영체제는 이러한 취약점에 대한 공격에 대응해 변화해야 한다. 또한, 진보하는 악성코드는 운영체제에만 영향을 주는 것이 아니라 시스템이 부팅하는 시동 프로세스의 취약점까지공략하고 있다. 따라서 운영체제 구동 중에만 실행되는 백신 프로그램만으로는 완벽한 보안이 어렵다고 볼 수 있다.

이번 칼럼에서는 기존 윈도우의 보안기술과 더불어 윈도우 8.1에서 새롭게 제공하는 다양한 메커니즘의 보안솔루션을 살펴보도록 한다.

윈도우 8.1 운영체제는 인가되지 않은 접근과 소프트웨어 위협으로부터 디바이스와 데이터를 보호하는 보안 기능을 제공한다. 윈도우 8.1은 윈도우 8 보안을 토대로 다음과 같이 향상되었다.

디바이스 관리
Simple Certificate Enrollment Protocol(SCEP) 지원을 통해 Open Mobile Alliance Device Management(OMA DM) 프로토콜을 사용할 수 있다.

SCEP는 폰, 태블릿과 같은 모바일 디바이스를 관리하기 위해 디자인된 프로토콜이다. SCEP은 윈도우 8.1의 새로운 기술로 라우터를 위해 개발된 CEP(자격인증 등록 프로토콜)이다. 윈도우 8.1은 마이크로소프트 운영체제가 아닌 모바일 단말기에 대해서도 OMA DM 프로토콜을 공개했다.

메모리 무작위화(Randomization)와 부가적인 악성코드 보호
악성코드 삽입 방지를 위한 윈도우 시동 프로세스이며 윈도우 8.1을 구동하기 위해서는 TPM(Trusted Platform Module) 2.0이 필수적이다.

윈도우 시동 프로세스
UEFI(Unified Extensible Firmware Interface)을 사용한다. UEFI는 기존의 BIOS와 같은 역할을 하고 추가적인 향상된 보안기능을 제공한다. 디바이스는 BIOS를 대신하여 UEFI를 시동하고, UEFI는 운영체제의 부트로더를 구동한다. 윈도우 시동 과정에는 원격 서버의 마이크로소프트사의 소프트웨어가 아닌 타사의 소프트웨어를 위해 악성코드가 발현되지 않도록 매 부팅 때마다 보안을 검증하기 위한 ELAM 프로세스를 포함한다.

윈도우 접근 제어 모델
윈도우 시작 전 소스코드 순정성 체크를 위해 향상된 모델을 제공한다.
 

순정성 인증
TPM와 키 증명(key attestation)을 통해 순정성을 검증한다. 윈도우 8.1에는 자격 인증이 공용 인증서와 키가 적용되어 있다.

지문 인증
손쉬운 인증을 제공한다.

데이터 보호
확장된 디바이스 암호화와 원격의 선택적 기업 정보 접근을 제어하는 기능을 제공한다.

악성코드 저항력
‘Internet of Things’의 용어에서도 알 수 있듯 최근 디바이스 트렌드는 통신기능을 내장하고 있다. 미국 드라마 ‘전격 Z작전’에서 마이클이 시계로 통신하는 일들이 이제 눈앞에 펼쳐지고 있는 것이다. 그만큼 네트워킹 환경은 예측불허의 상황이 되었으며 잘못 다운로드 받은 하나의 첨부파일로 인해 시스템 코어를 손상시킬 수도 있게 되었다.

현재의 해킹기술은 운영체제 구동 중 시스템 부트파일을 변형하여 윈도우가 부팅하는 순간부터 해를 끼칠 수 있다. 이러한 위협에서 벗어나려면 TPM과 같은 데이터 조작이 불가능한 하드웨어 기반 보안솔루션을 접목하여 시작부터 안전한 디바이스를 설계해야 한다.

이를 위해 윈도우 8.1은 하드웨어 솔루션과 호환되는 보안 메커니즘을 제공한다.

- Trusted Platform Module
TPM(Trusted Platform Module)은 암호키와 해쉬(Hash)를 저장하는 변형 불가능한 프로세서이다. 데이터 저장 외에, TPM은 일반 소프트웨어가 접근 불가능한 사설 키를 사용하여 데이터를 디지털 서명한다.
UEFI(Unified Extensible Firmware Interface)와 운영체제는 해쉬(무결성 검증)와 키(디지털 서명 검증)를 저장하기 위해 TPM을 이용한다.

- DEP (Data Execution Prevention)
DEP는 악성코드 침투를 위한 메모리 영역을 현저히 감소시킨다. DEP는 각 CPU의 NX(Never Execute)비트를 이용하여 절대 실행되지 않는 코드블록의 위치를 확인한다. 이에 따라, 악성코드가 해당 메모리 블록에 침입했다고 하더라도 실행되지 않는다. 윈도우 8과 윈도우 8.1은 하드웨어 기반 DEP 지원 CPU를 요구하는 최초의 버전이다. DEP가 활성화되지 않은 디바이스에는 윈도우 8.1이 설치되지 않는다.

- Secure Boot
윈도우 8.1은 인증된 디바이스에서만 구동한다. 인증서는 UEFI를 기반으로 하며 UEFI는 BIOS를 대신하고 추가적으로 보안 기능을 더해주는 표준 솔루션이다. 부트킷(Bootkit)은 가장 위험한 악성코드 중 하나이다. 부트킷은 윈도우가 시작 전에 구동되며, 자신을 은폐하고 시스템접근에 대한 무제한권한을 갖게 되며 하드웨어와 운영체제 사이에 위치한다. 최근 UEFI는 펌웨어가 구동되기 전 내부적인 무결성 인증을 진행한다. 오직 제조사만이 무결한 펌웨어서명 생성을 위해 디지털인증서를 결정할 수 있기 때문에 UEFI는 펌웨어 형태의 부트킷침입에 대한 첫 번째 방어선이 된다. Secure Boot를 통해 UEFI는 윈도우의 부트로더가 로딩되기 전에 그것을 인증한다. 만약 부트로더가 변형되었을 경우에는 대체 또는 실행 방지할 수 있다.

- Trusted Boot
윈도우 8.1은 모든 윈도우 부트 구성요소의 무결성을 검증하는 Trusted Boot를 제공한다. 부트로더는 로딩 전 디지털서명 커널을 검증하고 커널은 반대로 부트 드라이버, 시동 파일, ELAM 구성요소 등 모든 윈도우의 시동 구성요소를 인증한다. 윈도우 8.1에서는 새롭게 ELAM 준수 시스템(ELAM-compliant Systems)을 위한 Measured Boot가 추가되었다. Measured Boot는 원격 서버의 마이크로소프트사의 소프트웨어가 아닌 타사의 소프트웨어를 통한 악성코드 감염 방지를 위한 별도의 인증 과정을 제공한다. 만약 윈도우 부트 프로세스 또는 ELAM 드라이버 변형이 감지되면 Trusted Boot는 원본 파일의 복원을 통해 시스템을 복구한다.

- 디바이스 안정성 검증 (Provable PC Health)
Provable PC Health는 네트워크 연결 가능한 디바이스 소유자가 무료로 가입할 수 있는 진단 서비스이다. 보안 데이터 클라이언트는 디바이스 상태를 포함한 정보를 클라우드 서비스에 주기적으로 전송한다. 클라우드 서비스는 탐지된 이슈에 대한 분석 결과와 처방 메시지를 클라이언트에 전송한다. 클라이언트는 이 메시지를 이용해 사용자에게 지침을 내린다.

- Windows Defender
윈도우 8의 Windows Defender는 잠재된 악성 소프트웨어, 바이러스까지 감지하도록 완전한 기능을 갖춘 백신 프로그램으로 업그레이드되었다. 윈도우 8.1의 Windows Defender는 서버코어 설치옵션(단순 사용자 UI가 아닌)에서 기본으로 제공된다.

접근 제어, 아이덴티티, 증명 

이 장에서는 리소스 접근을 위한 사용자 기능을 알아본다.

DAC (Dynamic Access Control)
DAC는 공유, 폴더, 파일의 보호를 위해 동적 규칙 정책을 사용한다. 이 정책은 통계적으로 관리되는 사용자 목록과 보안 그룹이 아닌, 사용자, 디바이스, 데이터속성의 조합을 기반으로 접근을 제어하는 기술이다.

DAC를 이용하여 관리자는 매우 민감한 정보를 접근하는 사용자를 기록하고 이행 보고 및 법의학적(Forensic) 분석 요청을 만족시키기 위해 자세한 감사 정책을 생성할 수 있다. 광대한 우선 순위 감사 데이터를 수집하는 기존 전통방식과 다르게, DAC 및 규칙 기반 정책은 감사를 위해 모두 또는 특정 타입의 데이터를 수집할 수 있다.


신뢰된 아이덴티티와 디바이스
윈도우 8.1은 공용 및 로컬 키와 인증서를 제공하고 자격을 증명함으로써 PKI(Public Key Infrastructure)의 신뢰성을 높여준다.

- 키 인증을 포함  TPM KSP을 이용한 사설 및 로컬 키 보호
윈도우 8의 TPM 기반 KSP(Key Storage Provider)은 악성 사용자의 위협을 사설 키와 함께 전달한다. TPM을 통해 사설 키와 하드웨어 간 응집력을 높일 수 있다. TPM은 다른 목적으로 사용 중인 특정 사용자가 사설 키를 사용하는 것을 방지할 수 있다. TPM 기반 KSP는 클라이언트단의 보안을 높이고 무결하다고 인증된 클라이언트단 인증서는 서버단에서 곧바로 인증된다.

이런 문제를 해결하기 위해 윈도우 8.1에서는 키 인증을 추가했다. 서버 또는 서비스는 TPM의 인증서 또는 키의 변형 여부를 확인하게 된다.
만약 변형이 감지되면 접근이 금지된다. 키 인증과 TPM KSP를 통해 디바이스에 인증서가 제공되고, 저장 및 안전하게 사용되도록 한다.

- 공용 인증서 및 키 보호
윈도우 8.1의 자격증명(Certificate Attestation)은 공용 자격과 키에 적용된다. 인터넷 익스플로러의 SmartScreen 기능은 피싱공격이나 악성코드 유포 가능성이 있는 의심스러운 웹사이트를 사용자에게 알리기 위해 조기 경고 시스템을 제공한다. 부정하게 사용되는 증명을 탐지하기 위해 분석 서비스가 포함된다. 해당 서비스는 원치 않는 소스가 유입된 시간을 탐지하고 이상을 조사하고 인증서를 복구하도록 한다.

TLS/SSL (Schannel SSP)
SSP(Schannel Security Support Provider)의 구성요소인 TLS(Transport Layer Security) 프로토콜은 신뢰되지 않은 네트워크상에서 전달된 어플리케이션 데이터를 보호하는데 사용된다.
TLS/SSL은 서버와 클라이언트 컴퓨터를 인증하며 인증된 디바이스간의 메시지를 암호화한다. TLS를 서버에 연결하는 디바이스는 세션 만료에 따라 자주 재접속이 필요하게 된다. 윈도우 8.1은 서버단 상태와 무관한 TLS 세션 재개 기능인 RFC 5077을 제공한다.

자격 보호 및 관리
윈도우 8.1에서는 자격 도난 방지를 위해 새로운 자격 보호와 도메인 인증 제어가 추가되었다.

- 원격 데스크탑 연결을 위한 제한된 관리자 모드
RDS(Remote Desktop Services) 클라이언트는 제한된 관리자 모드(Restricted Admin mode)에 연결할 수 있다. 이 모드의 관리자 자격을 통해 RDS는 별도의 자격 전달 없이 같은 모드의 호스트로 로그인할 수 있다.
사용자계정 연결이 확인되는 호스트가 관리자 권한을 가지고 제한된 관리자 모드를 가지면 곧바로 연결된다. 제한된 관리자 모드는 원격 컴퓨터에게 단순한 텍스트나 재사용 가능한 형태의 자격을 전달하지 않는다.

- LSA 보호
LSASS(Local Security Authority Security Service)를 포함하는 LSA(Local Security Authority)는 로컬과 원격의 사용자를 확인한다. 윈도우 8.1 운영체제는 보호되지 않는 프로세스에 의한 코드 감염 방지를 위해 추가적인 LSA 보호를 제공한다. 이를 통해 LSA가 저장하고 관리하는 자격에 대한 추가적인 보안기능을 제공한다. LSA에 대한 보호 프로세스 설정은 윈도우 8.1에서 구성 가능하고 윈도우 RT 8.1에서는 기본 설정이며 변경이 불가능하다.

- 보호된 사용자 보안 그룹
이 새로운 도메인 글로벌 그룹은 디바이스와 윈도우 8.1을 구동하지 않는 컴퓨터에 대한 새로운 구성 불가능한 보호기능을 필요로 한다. 보호된 사용자 그룹은 윈도우 서버 2012 R2 도메인의 컨트롤러와 도메인에게 부가적인 보호를 제공한다. 이를 통해 정의되지 않은 컴퓨터로부터 네트워크상의 컴퓨터로 서명된 사용자 존재하는 자격의 종류를 줄일 수 있다.

- 인증 정책 및 저장소(Silos)
포레스트 기반(Forest-based) Active Directory 정책이 소개되었고 이것은 윈도우 서버 2012 R2 도메인 기능 레벨을 가진 도메인의 계정에 적용될 수 있다. 이러한 인증 정책은 사용자가 이용하는 어떤 호스트가 서명할지를 제어할 수 있다. 그것들은 보호된 사용자 보안 그룹과 연동하며 관리자는 인증에 대한 접근 제어 조건을 계정에 적용한다. 이러한 인증 정책은 네트워크의 범위를 한정하기 위해 관련된 계정을 고립시킨다.
새로운 Active Directory 오프젝트 클래스, 인증 정책은 윈도우 서버 2012 R2 기능 레벨을 가진 도메인의 계정 클래스에 인증 구성을 적용할 수 있게 한다.  인정 정책은 Kerberos AS 또는 TGS 교환 과정 중에 이루어진다. Active Directory 계정 클래스는 아래와 같다.
•User
•Computer
• Managed Service Account
•Group Managed Service Account

- 자격 증명 보관(Credential Locker)
자격 증명 보관은 웹사이트 또는 윈도우 스토어앱으로부터 사용자가 저장하는 사용자이름 및 비밀번호를 저장하고 있는 로컬 컴퓨터의 보안 저장소를 생성하고 유지하는 서비스이다. 윈도우 8의 웹 인증 브로커(Web Authentication Broker)는 웹의 리소스를 가진 앱과 연동하고 자격 증명을 관리하기 위해 소개되었다. 자격 증명 보관은 웹 인증 브로커를 이용하는 윈도우 스토어앱을 이용하여 안전한 서명을 제공한다. 이것은 Facebook 또는 Twitter와 같은 서비스에 대한 비밀번호를 기록하여 사용자로 하여금 재차 자격을 입력하는 것을 방지한다. 이런 안전한 서명 환경은 윈도우 8.1에서 더욱 확장되었다. 이전에는 다양한 자격 증명이 같은 리소스로 저장되면 기본 설정으로 특정 자격 증명을 지정할 수 없었다. 윈도우 8.1에서는 사용자가 특정 리소스에 대해 기본 설정 자격 증명을 지정할 수 있다. 사용자의 선택을 위해 저장된 증명은 그것이 사용된 마지막 날짜를 표시한다.

지문 인증 (Fingerprint Biometrics)
윈도우 8.1의 지문 프레임워크 향상은 사용자 내장 기능과 윈도우 스토어앱 개발자에게 제공되는 지문 인증 관련 새로운 API를 제공하여 지문 인증 기능을 강화하였다. 윈도우 생체인식 프레임워크는 생체인식 디바이스 개발자가 윈도우 기반 제품을 개발할 수 있는 수단을 제공한다. 윈도우 스토어앱 개발을 위해서 API가 추가되어 개발자가 지문 인증을 요구하는 앱을 개발할 수 있게 되었다.

이런 사용자 동의 확인 기능은 특정 앱을 특정 아이덴티티에 귀속시키고 다수의 사용자에게 공유되는 디바이스에서 제한된 사용 환경을 제공한다.

개인 정보 보호

기업 데이터를 이용하는 개인 디바이스 사용으로 기업 보안에 대한 위험이 높아졌다. 윈도우 8.1에는 사용자 데이터와 기업 데이터를 구분하는 기능과 프로세스가 추가되었다. End-to-End 데이터 손실 방지솔루션이 없는 윈도 기술 암호화 및 기업 데이터 접근 제어 메커니즘을 이용할 수 있다.

디바이스 암호화
디바이스 암호화(Device encryption)는 윈도우 RT에서 소비자 디바이스를 위한 데이터 보호 메커니즘으로 소개되었다. 범용 윈도우 8에서 디바이스 암호화는 BitLocker에 한정되었다. 윈도우 8.1의 디바이스 암호화는 연결 유지 상태(connected standby state)를 제공하기 위해 InstantGo가 인증한 모든 버전의 윈도우에서 사용 가능하다.
윈도우 8.1의 디바이스 암호화는 다양한 버전의 윈도우간의 데이터 보호에 유용하기 때문에 한 기업 내에서 유연한 개인 디바이스 활용을 가능하게 한다.

Selective Wipe
선택적 삭제(Selective Wipe)는 기업 데이터를 보호하는 서비스를 제공하는 윈도우 8.1의 새로운 기능이다. 기업 앱은 기업이 관할하는 인터넷 도메인에 대해 보호함으로써 그들의 데이터에 대해 선택적 삭제 정책을 설정할 수 있으며 해당 도메인에게 보호된 데이터에 대한 접근을 해제할 수 있다.

클라이언트 앱은 선택적 삭제를 설정하기 위해 FileRevocationManager APIs를 이용한다. 도메인에 파일을 보호하면 도메인과 관련된 키를 암호화하고 해당 파일을 해당 앱과 보호하는 사용자만 접근할 수 있다. 해지는 주어진 도메인과 관련된 키를 삭제하고 보호된 컨텐츠를 접근 불가능하게 한다. 선택적 삭제는 자격 증명 보관에 저장된 복제 키(Symmetric Key)를 이용하여 데이터 접근을 보호하기 위해 EFS(Encrypting File System)를 사용한다.

선택적 삭제는 EAS(Exchange ActiveSync)보안 정책 설정을 가진 계정의 첨부파일 보호를 위해 메일 앱에서 사용되며 해당 계정에서 보내는 EAS RemoteWipe 명령어가 전달되면 해당 첨부파일의 접근이 해지된다. 작업 폴더 정책도 데이터 암호화를 위해 비슷하게 구성되며 선택적 삭제 보호가 사용된다.

EAS는 메일 앱이 작업 이메일 접근을 위해 사용되었을 때 작업 이메일 도메인으로 표시된 데이터 접근을 해지할 수 있으며 작업 폴더 보호 정책 일치하는 도메인에 연결될 수 있다. OMA DM 프로토콜은 윈도우 인튠(Windows Intune) 또는 윈도우 OMA DM 에이전트를 사용하는 MDM(Mobile Device Management) 솔루션을 통해 디바이스가 관리될 때 접근을 해지하는 명령어를 주고 받는데 사용된다.

OMA DM 에이전트를 사용하는 윈도우 인튠은 삭제를 수신하거나 디바이스를 등록을 취소하면 관리되는 모든 이메일 주소의 도메인을 해지한다. 마이크로소프트가 윈도우를 새로 내놓을 때마다 항상 염두에 두는 것은 디바이스의 보안과 시스템 안정성이다.