2018.05.10

마이크로소프트 엣지의 숨겨진 WDAG 브라우저로 안전하게 웹 서핑하기

Mark Hachman | PCWorld
이유가 뭐든 가끔은 웹에서 악성 팝업, 랜섬웨어 또는 기타 맬웨어가 PC를 감염시킬 수 있는 위험한 곳을 찾아갈 때가 있다. 이런 경우 완벽하게 안전한 솔루션은 없지만 마이크로소프트는 온라인에서 사용자를 보호하는 데 특화된 엣지 브라우저 버전을 무료로 제공한다. 바로 윈도우 디바이스 애플리케이션 가드(Windows Device Application Guard), 줄여서 WDAG다.

WDAG는 원래 수십억 달러가 오가는 기업을 보호하기 위한 목적으로 윈도우 10
엔터프라이즈용으로 개발됐다. 이제 이 보안 기능이 윈도우 10 프로에도 그대로 이전됐다(윈도우 10 홈은 제외). WDAG는 2018년 4월 업데이트에 포함돼 윈도우 10 프로에 제공되며 윈도우 내에서 켜기만 하면 되는 무료 옵션이다.

구글 크롬은 브라우저를 “샌드박싱”해서 브라우저 렌더러를 격리하고 윈도우와 네트워크의 다른 PC 및 디바이스를 악성코드로부터 보호한다. WDAG는 샌드박싱에서 한 걸음 더 나가서, PC의 가상화 기능을 이용해 브라우저 밖으로 빠져나가는 악성코드로부터 시스템을 보호한다. 기본적으로 윈도우는 모든 WDAG 탭마다 작은 “가상” OS와 브라우저를 만들고, 이를 PC의 나머지 부분과 격리한다. 따라서 맬웨어가 브라우저 탭에 침투한다 해도 PC의 나머지 부분은 아무런 피해를 입지 않는다.

크롬을 사용한 브라우징이 엣지 WDAG 탭을 사용하는 것보다 더 안전할까? 쉽게 답할 수 없는 질문이다. 보안 전문가들은 WDAG의 샌드박스 구현을 높게 평가하지만 WDAG에는 몇 가지 제약도 있다. 이 부분에 대해서는 잠시 후 다룰 것이다.

마이크로소프트 엣지(아마도 WDAG가 활성화되지 않은 상태)는 Pwn2Own 2017 해킹 대회에서 여러 번 해킹된 반면 크롬은 한 번도 뚫리지 않았다. 엣지는 2018년 3월 대회에서도 해킹됐다. 그러나 크롬은 오래 전에 나왔고 그만큼 긴 시간 동안 방어를 구축했다. 그 중에는 탭의 상호 격리에 도움이 되는 새로운 사이트 격리 기능도 있다. 엣지 WDAG는 아직 그에 필적하는 포괄적인 제3자 시험을 거치지 못했다.

어쨌든 지금으로서는 크롬과 몇 가지 보안 플러그인을 사용한 브라우징이 더 편리한 것이 사실이다.

WDAG – 윈도우의 진정한 숨겨진 기능
일반적으로 PCWorld는 윈도우 10의 반기 기능 업데이트를 리뷰할 때 “가장 유용한 숨겨진 기능” 기사를 따로 작성한다. OS 깊이 숨겨진, 2군에 속하는 기능을 소개하기 위해서다. WDAG는 의미가 큰 만큼 2군 기능은 아니지만 숨겨진 기능 조건에는 부합한다. 옵션 깊이 들어가서 스위치를 켜고 재부팅해야 한다.

WDAG를 활성화하기 위해 필요한 두 가지 조건은 윈도우 10 프로(2018년 4월 업데이트 적용), 그리고 하이퍼-V를 지원하는 64비트 프로세서다. 일반적으로 대부분의 6, 7, 8세대 인텔 코어 칩이라면 이 기능을 포함하고 있으며 AMD64 칩 역시 상당수가 이 조건을 충족한다. 굳이 힘들게 프로세서 정보를 확인할 필요는 없다. PC가 이 두 가지 조건을 충족하면 WDAG 옵션이 표시되기 때문이다.



옵션을 찾으려면 PC 제어판에서 Windows 기능 켜기/끄기를 연다. 이 창에는 윈도우 속에 숨겨진 모든 기능의 목록이 표시된다. 아래로 스크롤해서 윈도우 디바이스 애플리케이션 가드(Windows Device Application Guard) 상자를 찾은 다음 켠다.

WDAG는 윈도우 10 프로 내에 독립적인 윈도우 버전의 가상 머신을 생성할 수 있게 해주는 하이퍼-V 가상화 기술의 하위 집합을 사용한다. 그러나 마이크로소프트 지원 문서에 따르면 WDAG를 사용하기 위해 하이퍼-V를 켤 필요는 없다. 이 부분은 WDAG가 알아서 한다. WDAG를 켜고 기능 목록을 닫으면 윈도우가 잠시 해당 소프트웨어를 찾은 다음 PC 재부팅을 요청한다. 작은 용량의 업데이트가 적용되고 나면 이제 엣지 WDAG를 활성화한 상태로 브라우징을 할 수 있다.

엣지와 WDAG를 사용한 웹 브라우징
엣지에서 WDAG를 사용한 웹 브라우징은 그 설계 의도대로 간소하다. 엣지를 열고 오른쪽 상단의 줄임(3점) 메뉴에서 새 애플리케이션 가드(New Application Guard) 창을 선택한다.



가상 머신이 가동되는 동안 잠시 초기화 시간이 필요하다. (서피스 프로 4와 서피스 북 2에서 1분 정도가 소요됐다. SSD 사용 여부에 따라 시간은 달라질 수 있다.) 다행인 점은 그 다음부터 WDAG 탭을 열 때는 그러한 설정 시간이 필요 없다는 것이다. 다른 세션을 시작하는 경우에도 처음보다는 훨씬 더 빠르게 열린다.

WDAG 창이 열리면 왼쪽 상단의 빨간색 애플리케이션 가드 레이블을 통해 다른 엣지 창과 구분할 수 있다. 작업 표시줄에서 작업 아이콘 위에 작은 방패 아이콘이 겹쳐서 표시되어 WDAG 창을 사용 중임을 나타낸다. 참고로 WDAG 환경 내에서도 InPrivate 브라우징 창을 열어 개인정보 보호 수준을 한층 더 높일 수 있다.

현재 WDAG는 보안에 초점을 둔다. 속도도 그렇고, 솔직히 말해 편의성도 WDAG의 우선 사항은 아니다. 설정 메뉴는 제한적이며 대부분의 옵션이 비활성화되어 선택이 불가능하다(엣지 자체에서 제공하는 WDAG 제어 기능도 없음). 기사 작성 시점을 기준으로 WDAG이 제약은 다음과 같다.

1. 즐겨찾기를 가져올 수 없으며, WDAG가 아닌 브라우저 창에서 URL을 잘라서 붙여 넣을
수 없고 WDAG 창에서 다른 곳으로도 붙여 넣을 수 없다.

2. 대부분의 다운로드가 차단된다.

3. 확장 프로그램이 비활성화된다.

4. WDAG는 광고 차단 방법을 제공하지 않으므로 기만적인 광고 또는 개인 정보 입력을 유도하는 웹 사이트로 연결되는 광고는 여전히 표시될 수 있다. WDAG가 하는 일은 브라우저 창을 보호하는 것이 전부다.

윈도우 10 엔터프라이즈에서 WDAG가 활성화되면 시스템 관리자가 지속성 정책을 설정해서 사용자가 WDAG 내에서 사이트를 탐색하고 이를 즐겨찾기 메뉴에 수동으로 추가하도록 허용할 수 있다. 추가된 항목은 다음 세션 전까지 지속된다. 이 기능은 윈도우 10 프로 버전에는 제공되지 않는다. 또한 뭔가를 “다운로드”한다 해도 다운로드한 파일을 실제 사용할 수 있다는 의미는 아니다. WDAG의 보호되는 다운로드 폴더는 사용자 접근이 불가능한 것으로 보인다.



한편 WDAG 브라우저의 방문 기록은 PC에서 로그아웃할 때까지 보존된다. 엣지 내에서 방문 기록을 지워도 되고, 아예 InPrivate을 사용해 더욱 은밀하게 브라우징하는 방법도 있다.

WDAG의 성능은 다소 느린 편이다. 마이크로소프트가 “웹의 아름다움(Beauty of the Web)” 캠페인에서 홍보하는 웹 기반 게임인 콩트르 주르(Contre Jour)를 즐길 생각은 하지 않는 편이 좋다. WDAG는 오직 한 가지, 안전한 웹 브라우징을 염두에 두고 개발됐으며, 이는 텍스트 기반 환경에서 가장 원활하게 작동한다. 사이트를 서핑하고 위험한 뭔가를 다운로드하고자 한다면 WDAG에서는 할 수 없다.

WDAG는 브라우저를 보호하지만 다른 불안 요소는 여전히 있다. WDAG는 웹 페이지에서
다른 탭을 열지 못하도록 막거나 사기성 팝업을 차단하지는 않는 것으로 보인다.

팝업 사기는 예를 들어 PC가 감염되었으므로 팝업 창 내의 메시지에 포함된 번호로 전화를 걸라는 메시지를 띄운다. 때로는 경고음, 사이렌, 또는 웹 사이트를 닫으면 PC 작동이 멈춘다는 자동 음성 경고가 재생되기도 한다. 필자의 경우 브라우저 또는 작업 표시줄을 닫으려고 해도 닫히지 않는 팝업이 뜨는 바람에 시스템을 재부팅해야 했다. 제대로 된 광고 차단 프로그램이나 스크립트 차단기가 있다면 피할 수 있는 상황이다. 그러나 엣지 WDAG는 아직 이런 프로그램을 지원하지 않는다.

결국 아무것도 다운로드할 수 없고 즐겨찾기도 저장하지 못하고 보통 사람들을 공포에 빠트리는 강제 팝업도 막지 못하는데, 엣지 WDAG의 쓸모는 무엇일까?

현재 WDAG는 이상적인 솔루션은 아니다. 그 수준까지 가려면 마이크로소프트는 확장 프로그램 지원을 추가해서 사이트가 강제 팝업을 트리거할 권한을 갖지 못하도록 해야 한다. 엣지에서 마우스 오른쪽 버튼으로 링크를 클릭한 다음 WDAG 창에서 열 수 있는 기능도 있다면 유용할 것이다. 다운로드 기능의 경우 필수는 아니라 해도 역시 없다면 아쉽다. 크롬의 샌드박스에 몇 가지 스크립트 차단과 광고 차단 확장 프로그램을 추가하면 WDAG의 대안으로 충분히 사용 가능하다.



마이크로소프트가 WDAG를 알리는 데 소극적인 이유도 여기에 있지 않나 싶다. 마이크로소프트는 2018년 4월 업데이트 출시 전에 WDAG가 인사이더 빌드에 추가되었음을 공지했지만 대대적으로 알리지는 않았다.

그러나 WDAG는 무료다. 조금만 다듬으면 엣지에서 소비자가 사용하기에 충분할 만큼 친화적인 엔터프라이즈급 보안 솔루션을 확보할 수 있다. WDAG는 브라우저가 해킹되지 않는다는 보장은 아니며 사용자가 부주의하게 개인 정보를 내주는 것을 막지 못한다. 그러나 부가적인 보호 계층으로서 마이크로소프트가 엣지를 계속 개발해 나가는 동안 주목할 만한 기능임은 분명하다. editor@itworld.co.kr
 

2018.05.10

마이크로소프트 엣지의 숨겨진 WDAG 브라우저로 안전하게 웹 서핑하기

Mark Hachman | PCWorld
이유가 뭐든 가끔은 웹에서 악성 팝업, 랜섬웨어 또는 기타 맬웨어가 PC를 감염시킬 수 있는 위험한 곳을 찾아갈 때가 있다. 이런 경우 완벽하게 안전한 솔루션은 없지만 마이크로소프트는 온라인에서 사용자를 보호하는 데 특화된 엣지 브라우저 버전을 무료로 제공한다. 바로 윈도우 디바이스 애플리케이션 가드(Windows Device Application Guard), 줄여서 WDAG다.

WDAG는 원래 수십억 달러가 오가는 기업을 보호하기 위한 목적으로 윈도우 10
엔터프라이즈용으로 개발됐다. 이제 이 보안 기능이 윈도우 10 프로에도 그대로 이전됐다(윈도우 10 홈은 제외). WDAG는 2018년 4월 업데이트에 포함돼 윈도우 10 프로에 제공되며 윈도우 내에서 켜기만 하면 되는 무료 옵션이다.

구글 크롬은 브라우저를 “샌드박싱”해서 브라우저 렌더러를 격리하고 윈도우와 네트워크의 다른 PC 및 디바이스를 악성코드로부터 보호한다. WDAG는 샌드박싱에서 한 걸음 더 나가서, PC의 가상화 기능을 이용해 브라우저 밖으로 빠져나가는 악성코드로부터 시스템을 보호한다. 기본적으로 윈도우는 모든 WDAG 탭마다 작은 “가상” OS와 브라우저를 만들고, 이를 PC의 나머지 부분과 격리한다. 따라서 맬웨어가 브라우저 탭에 침투한다 해도 PC의 나머지 부분은 아무런 피해를 입지 않는다.

크롬을 사용한 브라우징이 엣지 WDAG 탭을 사용하는 것보다 더 안전할까? 쉽게 답할 수 없는 질문이다. 보안 전문가들은 WDAG의 샌드박스 구현을 높게 평가하지만 WDAG에는 몇 가지 제약도 있다. 이 부분에 대해서는 잠시 후 다룰 것이다.

마이크로소프트 엣지(아마도 WDAG가 활성화되지 않은 상태)는 Pwn2Own 2017 해킹 대회에서 여러 번 해킹된 반면 크롬은 한 번도 뚫리지 않았다. 엣지는 2018년 3월 대회에서도 해킹됐다. 그러나 크롬은 오래 전에 나왔고 그만큼 긴 시간 동안 방어를 구축했다. 그 중에는 탭의 상호 격리에 도움이 되는 새로운 사이트 격리 기능도 있다. 엣지 WDAG는 아직 그에 필적하는 포괄적인 제3자 시험을 거치지 못했다.

어쨌든 지금으로서는 크롬과 몇 가지 보안 플러그인을 사용한 브라우징이 더 편리한 것이 사실이다.

WDAG – 윈도우의 진정한 숨겨진 기능
일반적으로 PCWorld는 윈도우 10의 반기 기능 업데이트를 리뷰할 때 “가장 유용한 숨겨진 기능” 기사를 따로 작성한다. OS 깊이 숨겨진, 2군에 속하는 기능을 소개하기 위해서다. WDAG는 의미가 큰 만큼 2군 기능은 아니지만 숨겨진 기능 조건에는 부합한다. 옵션 깊이 들어가서 스위치를 켜고 재부팅해야 한다.

WDAG를 활성화하기 위해 필요한 두 가지 조건은 윈도우 10 프로(2018년 4월 업데이트 적용), 그리고 하이퍼-V를 지원하는 64비트 프로세서다. 일반적으로 대부분의 6, 7, 8세대 인텔 코어 칩이라면 이 기능을 포함하고 있으며 AMD64 칩 역시 상당수가 이 조건을 충족한다. 굳이 힘들게 프로세서 정보를 확인할 필요는 없다. PC가 이 두 가지 조건을 충족하면 WDAG 옵션이 표시되기 때문이다.



옵션을 찾으려면 PC 제어판에서 Windows 기능 켜기/끄기를 연다. 이 창에는 윈도우 속에 숨겨진 모든 기능의 목록이 표시된다. 아래로 스크롤해서 윈도우 디바이스 애플리케이션 가드(Windows Device Application Guard) 상자를 찾은 다음 켠다.

WDAG는 윈도우 10 프로 내에 독립적인 윈도우 버전의 가상 머신을 생성할 수 있게 해주는 하이퍼-V 가상화 기술의 하위 집합을 사용한다. 그러나 마이크로소프트 지원 문서에 따르면 WDAG를 사용하기 위해 하이퍼-V를 켤 필요는 없다. 이 부분은 WDAG가 알아서 한다. WDAG를 켜고 기능 목록을 닫으면 윈도우가 잠시 해당 소프트웨어를 찾은 다음 PC 재부팅을 요청한다. 작은 용량의 업데이트가 적용되고 나면 이제 엣지 WDAG를 활성화한 상태로 브라우징을 할 수 있다.

엣지와 WDAG를 사용한 웹 브라우징
엣지에서 WDAG를 사용한 웹 브라우징은 그 설계 의도대로 간소하다. 엣지를 열고 오른쪽 상단의 줄임(3점) 메뉴에서 새 애플리케이션 가드(New Application Guard) 창을 선택한다.



가상 머신이 가동되는 동안 잠시 초기화 시간이 필요하다. (서피스 프로 4와 서피스 북 2에서 1분 정도가 소요됐다. SSD 사용 여부에 따라 시간은 달라질 수 있다.) 다행인 점은 그 다음부터 WDAG 탭을 열 때는 그러한 설정 시간이 필요 없다는 것이다. 다른 세션을 시작하는 경우에도 처음보다는 훨씬 더 빠르게 열린다.

WDAG 창이 열리면 왼쪽 상단의 빨간색 애플리케이션 가드 레이블을 통해 다른 엣지 창과 구분할 수 있다. 작업 표시줄에서 작업 아이콘 위에 작은 방패 아이콘이 겹쳐서 표시되어 WDAG 창을 사용 중임을 나타낸다. 참고로 WDAG 환경 내에서도 InPrivate 브라우징 창을 열어 개인정보 보호 수준을 한층 더 높일 수 있다.

현재 WDAG는 보안에 초점을 둔다. 속도도 그렇고, 솔직히 말해 편의성도 WDAG의 우선 사항은 아니다. 설정 메뉴는 제한적이며 대부분의 옵션이 비활성화되어 선택이 불가능하다(엣지 자체에서 제공하는 WDAG 제어 기능도 없음). 기사 작성 시점을 기준으로 WDAG이 제약은 다음과 같다.

1. 즐겨찾기를 가져올 수 없으며, WDAG가 아닌 브라우저 창에서 URL을 잘라서 붙여 넣을
수 없고 WDAG 창에서 다른 곳으로도 붙여 넣을 수 없다.

2. 대부분의 다운로드가 차단된다.

3. 확장 프로그램이 비활성화된다.

4. WDAG는 광고 차단 방법을 제공하지 않으므로 기만적인 광고 또는 개인 정보 입력을 유도하는 웹 사이트로 연결되는 광고는 여전히 표시될 수 있다. WDAG가 하는 일은 브라우저 창을 보호하는 것이 전부다.

윈도우 10 엔터프라이즈에서 WDAG가 활성화되면 시스템 관리자가 지속성 정책을 설정해서 사용자가 WDAG 내에서 사이트를 탐색하고 이를 즐겨찾기 메뉴에 수동으로 추가하도록 허용할 수 있다. 추가된 항목은 다음 세션 전까지 지속된다. 이 기능은 윈도우 10 프로 버전에는 제공되지 않는다. 또한 뭔가를 “다운로드”한다 해도 다운로드한 파일을 실제 사용할 수 있다는 의미는 아니다. WDAG의 보호되는 다운로드 폴더는 사용자 접근이 불가능한 것으로 보인다.



한편 WDAG 브라우저의 방문 기록은 PC에서 로그아웃할 때까지 보존된다. 엣지 내에서 방문 기록을 지워도 되고, 아예 InPrivate을 사용해 더욱 은밀하게 브라우징하는 방법도 있다.

WDAG의 성능은 다소 느린 편이다. 마이크로소프트가 “웹의 아름다움(Beauty of the Web)” 캠페인에서 홍보하는 웹 기반 게임인 콩트르 주르(Contre Jour)를 즐길 생각은 하지 않는 편이 좋다. WDAG는 오직 한 가지, 안전한 웹 브라우징을 염두에 두고 개발됐으며, 이는 텍스트 기반 환경에서 가장 원활하게 작동한다. 사이트를 서핑하고 위험한 뭔가를 다운로드하고자 한다면 WDAG에서는 할 수 없다.

WDAG는 브라우저를 보호하지만 다른 불안 요소는 여전히 있다. WDAG는 웹 페이지에서
다른 탭을 열지 못하도록 막거나 사기성 팝업을 차단하지는 않는 것으로 보인다.

팝업 사기는 예를 들어 PC가 감염되었으므로 팝업 창 내의 메시지에 포함된 번호로 전화를 걸라는 메시지를 띄운다. 때로는 경고음, 사이렌, 또는 웹 사이트를 닫으면 PC 작동이 멈춘다는 자동 음성 경고가 재생되기도 한다. 필자의 경우 브라우저 또는 작업 표시줄을 닫으려고 해도 닫히지 않는 팝업이 뜨는 바람에 시스템을 재부팅해야 했다. 제대로 된 광고 차단 프로그램이나 스크립트 차단기가 있다면 피할 수 있는 상황이다. 그러나 엣지 WDAG는 아직 이런 프로그램을 지원하지 않는다.

결국 아무것도 다운로드할 수 없고 즐겨찾기도 저장하지 못하고 보통 사람들을 공포에 빠트리는 강제 팝업도 막지 못하는데, 엣지 WDAG의 쓸모는 무엇일까?

현재 WDAG는 이상적인 솔루션은 아니다. 그 수준까지 가려면 마이크로소프트는 확장 프로그램 지원을 추가해서 사이트가 강제 팝업을 트리거할 권한을 갖지 못하도록 해야 한다. 엣지에서 마우스 오른쪽 버튼으로 링크를 클릭한 다음 WDAG 창에서 열 수 있는 기능도 있다면 유용할 것이다. 다운로드 기능의 경우 필수는 아니라 해도 역시 없다면 아쉽다. 크롬의 샌드박스에 몇 가지 스크립트 차단과 광고 차단 확장 프로그램을 추가하면 WDAG의 대안으로 충분히 사용 가능하다.



마이크로소프트가 WDAG를 알리는 데 소극적인 이유도 여기에 있지 않나 싶다. 마이크로소프트는 2018년 4월 업데이트 출시 전에 WDAG가 인사이더 빌드에 추가되었음을 공지했지만 대대적으로 알리지는 않았다.

그러나 WDAG는 무료다. 조금만 다듬으면 엣지에서 소비자가 사용하기에 충분할 만큼 친화적인 엔터프라이즈급 보안 솔루션을 확보할 수 있다. WDAG는 브라우저가 해킹되지 않는다는 보장은 아니며 사용자가 부주의하게 개인 정보를 내주는 것을 막지 못한다. 그러나 부가적인 보호 계층으로서 마이크로소프트가 엣지를 계속 개발해 나가는 동안 주목할 만한 기능임은 분명하다. editor@itworld.co.kr
 

X