MS, '오피스용 애플리케이션 가드' 공개…의심스러운 문서는 격리 공간에서 실행

Computerworld
마이크로소프트가 '오피스용 마이크로소프트 디펜더 애플리케이션 가드(Microsoft Defender Application Guard for Office)'의 퍼블릭 프리뷰를 공개했다. 신뢰할 수 없는 오피스 문서를 격리해 악의적인 파일에서 실행되는 공격 코드가 운영 체제나 애플리케이션에 영향을 주지 못하게 차단한다.
 
ⓒ HP

마이크로소프트의 수석 사이버보안 엔지니어 존 바베어는 업체 블로그를 통해 이 오피스용 애플리케이션 가드가 어떻게 작동하는지 설명했다. 그는 "마이크로소프트 오피스는 안전하지 않을 가능성이 있는 파일을 마이크로소프트 디펜더 애플리케이션 가드에서 실행한다. 일종의 보안 컨테이너로 하드웨어 기반 가상화를 통해 기기에서 격리된 영역이다. 마이크로소프트 오피스가 마이크로소프트 디펜더 애플리케이션 가드로 파일을 열면 사용자는 이 컨테이너 밖에서 다시 파일을 열지 않고도 안전하게 이 파일을 읽고, 수정하고, 인쇄하고 저장할 수 있다"라고 말했다.

애플리케이션 가드 기능에는 조금 긴 사연이 있다. 2018년 처음 발표될 당시에는 마이크로소프트의 윈도우 10 브라우저인 '엣지'를 위해 개발된 기술이었다. 참고로 엣지는 마이크로소프트가 엣지HTML 렌더링 엔진 등 자체 기술로 만든 브라우저다.

애플리케이션 가드는 윈도우의 하이퍼바이저 기술을 이용해 가상 환경 내에 윈도우와 브라우저 모두의 일회성 인스턴스를 만든다. 이 인스턴스는 운영체제와 브라우저의 매우 간소화된 버전이라고도 볼 수 있다. 가상 머신과 실제 작업 사이의 작업은 격리되고, 웹 세션과 물리 기기 사이의 거의 모든 인터렉션도 제한된다.

이후 사용자는 더 안전한 환경에서 웹을 사용할 수 있다. 가상 머신과 달리 악성코드가 실제 기기의 실제 운영체제나 실제 애플리케이션에 영향을 주지 못하도록 제한되기 때문이다. 사용자가 작업을 마치면 임시로 생성됐던 가상화된 윈도우와 엣지는 삭제된다. 마치 병에 걸린 환자를 없애 버리는 매우 극단적인 격리 과정과 비슷하다.
 

워드와 엑셀, 파워포인트에서 사용 가능

오피스용 애플리케이션 가드도 애플리케이션 가드와 같은 방식으로 작동한다. 대신 엣지를 보호하지 않고 워드나 엑셀, 파워포인트에서 여는 파일을 격리한다. 일반적인 인터넷 링크(인트라넷 도메인이나 신뢰할 수 없는 도메인 포함)가 포함된 문서, 안전하지 않을 수 있는 곳에서 다운로드한 파일, 아웃룩을 통해 받은 첨부 파일 등은 악성 코드가 활동할 수 없는 가상화된 환경 혹은 샌드박스에서 열리게 된다.

퍼블릭 프리뷰를 사용하려면 윈도우 10 엔터프라이즈 2004 혹은 그 이후 버전, 오피스 베타 채널 빌드 2008 16.0.13212 이후 버전을 사용해야 한다. 가장 포괄적이고 비싼 마이크로소프트 365 E5 혹은 마이크로소프트 365 E5 모빌리티+시큐리티 라이선스도 필요하다.

마이크로소프트는 애플리케이션 가드에 앞서 오피스에서 '프로텍팃 뷰(Protected View)'라는 보안 기능을 제공했다. 잠재적으로 위험한 문서를 '읽기 전용' 속성으로 열었다. 반면 애플리케이션 가드를 이용하면 문서를 수정할 수 있다. 인쇄하고 편집하고 저장할 수 있다. 단, 저장하면 여전히 격리된 컨테이너에 남아 있게 된다. 나중에 이를 다시 열면 또다시 샌드박스에 격리된다.

워드와 엑셀, 파워포인트에서 이 기능을 사용하면 현재 문서가 애플리케이션 가드로 열렸다는 것을 다양한 시각적 신호로 알려준다. 앱의 리본에 팝업 알림이 뜨고 윈도우 작업 표시줄에 별도로 마크된 아이콘이 나타난다.

이제 사용자가 완전히 신뢰할 수 있는 문서라고 확인하면(이는 애플리케이션 가드 보호의 약점이 될 수 있다), 해당 문서를 격리 공간에서 빼내 로컬 혹은 네트워크 폴더에 저장할 수 있다. 여기서 한 번 더 확인하도록 하므로 최소한 사용자에 신뢰 여부를 마지막으로 고민할 기회가 된다.

IT 관리자는 애플리케이션 가드의 설정에서 이 과정을 더 상세하게 제어할 수 있다. 복사해 붙여넣기(허용/비허용)와 인쇄(제한, 허용, PDF 인쇄만) 등은 물론 사용자가 파일을 애플리케이션 가드 밖에서 여는 것을 더 어렵게 할 수도 있다.
 

단계별 가이드

바베어가 블로그에 올린 글은 사용자와 IT 관리자 모두에 유용하다. 이에 따르면, 기업 IT는 기술적으로 노련한 직원을 미리 써보는 사용자로 정해, 애플리케이션 가드를 지원하는 것은 물론 현재 퍼블릭 프리뷰로 배포 중인 오피스 버전을 사용하도록 할 수 있다(단 IT가 그룹 정책이나 파워셸 명령을 통해 애플리케이션 가드를 활성화해야 한다).

애플리케이션 가드의 사내 배포를 담당하는 IT 관리자는 바베어의 글을 이용해 헬프 데스크 문서를 만들거나 이 기능을 사용하려는 이들에게 배포할 사용법 문서를 만드는 데 참고할 수 있다. 예를 들어 이 글에 올라와 있는 스크린샷을 이용해 사내에 배포할 단계별 설명서를 만드는 식이다. 현재 마이크로소프트의 웹사이트에는 다양한 애플리케이션 가드 관련 문서가 올라와 있다. 그중 가장 좋은 자료가 '관리자를 위한 오피스용 애플리케이션 가드(퍼블릭 프리뷰)(Application Guard for Office(public preview) for admins)'이다.

한편 바베어는 오피스용 애플리케이션 가드가 언제 퍼블릭 프리뷰를 벗어나 윈도우 10 엔터프라이즈와 마이크로소프트 365 E5 사용자가 쓸 수 있을지에 대해 밝히지 않았다(다른 사용자도 이 기능을 쓸 수 있게 될 가능성이 있다. 마이크로소프트는 '애플리케이션 가드' 기능도 본래 윈도우 10 엔터프라이즈 전용 기능으로 내놨지만 향후 윈도우 10 프로까지 확대한 바 있다). 현재까지 공개된 마이크로소프트의 제품 출시 일정표에 따르면 2020년 12월이다. editor@itworld.co.kr