2009.01.29

“강해졌다” : 윈도우 7 보안 기능 프리뷰

Rob Vamosi | PCWorld

윈도우 비스타가 등장한 지 2년이 지났지만, 많은 기업들이 아직 업그레이드를 하지 않고 있다. 이처럼 기업들이 비스타와 거리를 두는 이유 중 하나가 바로 해결되지 않는 보안에 대한 우려 때문이었다.

 

마이크로소프트 측은 최근 공개 베타를 발표한 윈도우 7으로 이에 대한 해답을 제시하고 있다. 윈도우 7은 새로운 보안 기능이 추가된 것은 물론, 인기 있는 기능은 확대되고 친숙한 기능은 강화됐다. 가장 업그레이드를 꺼리는 기업 고객마저 손을 들게 하리라 예상되는 주요 보안 개선사항을 살펴본다.

 

개선된 마이그레이션 툴

마이크로소프트는 윈도우 7이 종전의 운영체제 마이그레이션보다 더 빨리, 더 쉽게 대량 배포될 것이라고 강조한다. 더 좋아질 것이라는 믿음이 다이내믹 드라이버 프로비저닝, 멀티캐스트 멀티플 트랜스퍼, 그리고 버추얼 데스크톱 인프라 같은 새로운 툴로 구현된다.

 

다이내믹 드라이버 프로비저닝으로 드라이버는 이미지와는 별도로 중앙에 저장된다. IT 관리자는 개별 BIOS 세트 또는 PC 하드웨어의 플러그앤플레이 ID별로 설치를 준비할 수 있다. 이를 통해 불필요한 드라이버 설치를 줄여 잠재적 충돌도 피하고 설치 속도도 높일 수 있다는 것. 윈도우 비스타에서처럼 시스템 이미지를 오프라인에서 업데이트할 수 있을 뿐 아니라, 상이한 드라이버, 패키지, 특정 소프트웨어 업데이트를 포함한 이미지 라이브러리를 관리할 수도 있다.

 

전체 네트워크에 걸친 특정 이미지의 대량 배포 또는 데스크톱에 개별 이미지를 설치하는 작업은 새로운 멀티캐스트 멀티플 스트림 트랜스퍼 기능을 더욱 빨라진다. 각각의 클라이언트에 개별적으로 연결되는 대신, 설치 서버들이 네트워크 전반에 걸친 이미지를 다수의 클라이언트에 동시다발적으로 “브로트캐스트”할 수 있기 때문이다.

 

또 다른 데스크톱 설치 모델인 가상 데스크톱 인프라(VDI)를 이용하면 사용자가 자신의 데스크톱에 원격으로 접속할 수 있고, 이를 기반으로 데이터, 애플리케이션 그리고 애플리케이션을 중앙집중화할 수 있다. VDI는 윈도우 에어로, 윈도우 미디어 플레이어 11 비디오, 다중 모니터 설정, VoIP 및 음성 인식을 위한 마이크 등을 지원한다. 하지만 VDI를 사용하려면 별도의 라이선스가 필요하며, 표준 운영체제의 모든 기능을 제공하지는 않는다는 것이 단점이다.

 

기업 자산의 보호

일단 운영체제가 설치되면 기업은 로그인을 위해 인증으로 조직의 자산을 보호할 수 있다. 윈도우 비스타도 지문 스캐너용 드라이버를 제공했지만, 윈도우 7은 IT 전문가와 최종 사용자가 이런 장비들을 더욱 쉽게 설치하고 설정하고 관리하도록 지원한다. 윈도우 7은 관자의 별도 허가 없이 스마트 카드나 스마트 카드 리더에 필요한 드라이버를 자동으로 설치함으로써 윈도우 비스타보다 지원 스마트카드의 범위가 넓어졌다.

 

 

IT 관리자들은 마이크로소프트의 전체 디스크 암호화 시스템인 비트로커(BitLocker)로 윈도우 7의 볼륨을 한층 더 보호할 수 있다. 윈도우 비스타 사용자는 숨김 속성이 필요한 부트 파티션 생성을 위해 사용자의 하드 드라이브를 다시 파티션해야 하지만, 윈도우 7은 비트로커를 활성화하면 해당 파티션이 자동으로 생성된다. 또한 윈도우 비스타에서 IT 관리자가 각각의 보호된 볼륨에 고유의 복구키를 사용해야 하지만, 윈도우 7은 데이터 복구 에이전트(DRA)를 인증된 볼륨까지 확장했다. 따라서 비트로커로 인증된 윈도우 머신에서는 하나의 인증키만이 있으면 된다.

 

BitLocker To Go는 사용자가 비트로커로 보호되는 파일을 윈도우 비스타와 윈도우 XP 사용자와 공유할 수 있도록 지원하는 새로운 기능이다. BitLocker To Go의 데스크톱 리더는 비트로커로 보호되지 않는 시스템에서의 보호된 파일에 대한 단순한 읽기 전용 액세스를 제공한다. 보호된 파일을 풀려면, 사용자는 적절한 비밀번호(또는 스마트 카드 인증)를 입력해야 한다.

 

애플리케이션 제어

윈도우 7은 조직이 어떤 애플리케이션의 어떤 버전을 사용자가 동작할 권한을 갖는지를 지정할 수 있는 그룹 폴리시 설정을 강화시킨 앱로커(AppLocker)를 도입했다. 예컨대 사용자가 어도비 아크로뱃 리더 버전 9.0을 추가로 설치할 수 있는 규칙을 통해 사용자가 특별한 허가 없이 이전 버전을 설치하는 것을 차단할 수 있다. 앱로커에는 규칙 생성 마법사가 포함되어 있어 정책 생성의 과정을 더욱 쉽게 만들고, 여기에는 맞춤 화이트 리스트를 구축할 수 있도록 지원하는 자동 규칙이 포함된다.

 

윈도우 미에서 처음 도입된 시스템 복구 기능은 윈도우 7에서 사용자의 요구사항을 대폭 수용했다. 첫째 각각의 복구 지점에서 삭제되거나 추가될 특정 파일 목록을 표시한다. 둘째 복구 지점을 설정할 수 있어 IT 관리자나 사용자가 선택할 수 있는 사항이 많아지고 기간도 길어졌다.

 

액션 센터(Action Center)는 새로운 통합형 제어판으로, 하나의 아이콘 아래에서 작업과 일반 공지사항을 볼 수 있다. 액션 센터에는 보안 센터를 포함한 기존의 여러 가지 기능을 위한 경고사항 및 구성 설정, 즉 보고 및 솔루션, 윈도우 디펜더, 윈도우 업데이트, 진단, 네트워크 액세스 보호, 백업과 복원, 복구, 및 사용자 계정 제어가 포함된다. 팝업 경고는 윈도우에서 사라지고 새로운 작업 트레이 아이콘(X가 달린 깃발)으로 대체되어 문제에 바로 접근할 수 있거나 더 자세한 내용을 위해 액션센터로의 효율적인 접근을 제공한다.

 

아마도 가장 유명하면서도 짜증을 유발하는 윈도우 비스타의 통지 방식은 사용자 계정 제어(UAC) 기능에서 기인하는데, 이것은 시스템 설정을 구성해야 할 때마다 관리 경고를 깜빡인다. 비스타에서는 선택이 두 가지였다. 이 메시지를 참아내거나 UAC를 끄는 것이다. 윈도우 7에서는 선택할 수 있는 것이 추가된다. 슬라이드 바는 사용자의 컴퓨터에 맞게 적절한 통지 수준을 설정하고, 기본적으로 UAC는 프로그램이 사용자의 PC에 변경사항을 적용하려고 할 때에만 사용자에게 알려줄 것이다.

 

한층 향상된 성능

마이크로소프트의 안티스파이웨어 제품인 윈도우 디펜더는 빈약한 성능이 문제점으로 지적됐는데, 윈도우 7에서는 이 부분이 대폭 향상됐다. 그러나 마이크로소프트는 소프트웨어 익스플로러 툴을 제거함으로써 이 유틸리티가 스파이웨어의 탐지 또는 제거에 영향을 미치지 않음을 분명히 하고 있다. 이 점이 사실일 수는 있겠지만 소프트웨어 익스플로러는 알지도 못하거나 원하지도 않을 그런 것들을 포함해 사용자가 어떤 프로그램과 프로세스가 돌아가고 있는지를 파악할 수 있도록 지원할 예정이었다. 아마도 마이크로소프트가 최종 빌드에서 이 결정을 번복할 것으로 보인다.

 

또 하나의 새로운 기능으로 윈도우 필터링 플랫폼(WFP)이 있다. 이 기능은 API와 시스템 서비스로 구성된 그룹으로, 서드파티 업체가 윈도우의 자체 방화벽 자원을 활용할 수 있도록 지원함으로써 시스템 성능을 개선한다. 마이크로소프트는 WFP가 방화벽 그 자체가 아닌 개발 플랫폼이라고 강조하지만, WFP는 윈도우 비스타의 방화벽 문제 몇 가지를 해결한 것은 사실이다.

 

비스타에서 마이크로소프트는 다양한 네트워크 접속에 맞는 프로파일 개념을 도입했다. 그러나 이 개념은 원격 사용자가 자신의 기업 VPN에 접속할 때마다 기업의 IT 관리자들을 곤란하게 만들었다. 왜냐하면 방화벽이 이미 “가정용” 또는 “공용”으로 설정되어 나중에 기업 네트워크 설정을 적용할 수 없었기 때문이었다.

 

윈도우 7 그리고 특히 WFP의 경우 다수의 방화벽 정책을 허용하기 때문에, IT 관리자는 원격 클라이언트 및 물리적으로 그들의 네트워크에 연결된 클라이언트에 맞는 하나의 규칙을 유지할 수 있다. 윈도우 7은 또한 새로운 프로토콜인 DNSSEC(Domain Name System Security Extensions)를 지원해 DNS 기록이 스푸핑되지 않도록 해준다.

 

모바일 사용자를 위한 특성

윈도우 7은 모바일 사용자를 위해 2가지를 강화했다. 다이렉트액세스(DirectAccess)를 이용하면 이동성 있는 근무자들은 VPN 없이 언제라도 회사 네트워크에 언제라도 접속할 수 있다. 다이렉트액세스는 그룹 정책 설정을 업데이트하고 사용자의 회사 네트워크 로그온 여부에 상관없이 휴대용 컴퓨터가 인터넷에 연결될 때마다 소프트웨어 업데이트를 배포한다. 이 덕분에 이동이 잦은 사용자들은 항사 회사 정책을 최신의 상태로 유지한다.

 

브랜치캐시(BranchCache)는 인트라넷 웹사이트나 파일 서버로부터 접속된 데이터의 사본이 지점 사무실 내에서 로컬로 캐싱된다. 원격 사용자들은 다시 본사에 연결하지 않고 브랜치캐시를 이용해 공유된 데이터에 접속할 수 있다.  

 

윈도우 7은 또한 이벤트 감사 기능도 강화된다. 감사 환경설정 관리 기능과 특정 그룹이나 개인에 의한 변경 사항에 대한 모니터링, 그리고 정교한 리포팅 기능을 이용해 규제기관이나 기업의 요구사항을 쉽게 만족시킬 수 있다. 예를 들어 윈도우 7은 개인의 특정 정보에 대한 접속 허가 또는 불허 이유를 보고한다.



2009.01.29

“강해졌다” : 윈도우 7 보안 기능 프리뷰

Rob Vamosi | PCWorld

윈도우 비스타가 등장한 지 2년이 지났지만, 많은 기업들이 아직 업그레이드를 하지 않고 있다. 이처럼 기업들이 비스타와 거리를 두는 이유 중 하나가 바로 해결되지 않는 보안에 대한 우려 때문이었다.

 

마이크로소프트 측은 최근 공개 베타를 발표한 윈도우 7으로 이에 대한 해답을 제시하고 있다. 윈도우 7은 새로운 보안 기능이 추가된 것은 물론, 인기 있는 기능은 확대되고 친숙한 기능은 강화됐다. 가장 업그레이드를 꺼리는 기업 고객마저 손을 들게 하리라 예상되는 주요 보안 개선사항을 살펴본다.

 

개선된 마이그레이션 툴

마이크로소프트는 윈도우 7이 종전의 운영체제 마이그레이션보다 더 빨리, 더 쉽게 대량 배포될 것이라고 강조한다. 더 좋아질 것이라는 믿음이 다이내믹 드라이버 프로비저닝, 멀티캐스트 멀티플 트랜스퍼, 그리고 버추얼 데스크톱 인프라 같은 새로운 툴로 구현된다.

 

다이내믹 드라이버 프로비저닝으로 드라이버는 이미지와는 별도로 중앙에 저장된다. IT 관리자는 개별 BIOS 세트 또는 PC 하드웨어의 플러그앤플레이 ID별로 설치를 준비할 수 있다. 이를 통해 불필요한 드라이버 설치를 줄여 잠재적 충돌도 피하고 설치 속도도 높일 수 있다는 것. 윈도우 비스타에서처럼 시스템 이미지를 오프라인에서 업데이트할 수 있을 뿐 아니라, 상이한 드라이버, 패키지, 특정 소프트웨어 업데이트를 포함한 이미지 라이브러리를 관리할 수도 있다.

 

전체 네트워크에 걸친 특정 이미지의 대량 배포 또는 데스크톱에 개별 이미지를 설치하는 작업은 새로운 멀티캐스트 멀티플 스트림 트랜스퍼 기능을 더욱 빨라진다. 각각의 클라이언트에 개별적으로 연결되는 대신, 설치 서버들이 네트워크 전반에 걸친 이미지를 다수의 클라이언트에 동시다발적으로 “브로트캐스트”할 수 있기 때문이다.

 

또 다른 데스크톱 설치 모델인 가상 데스크톱 인프라(VDI)를 이용하면 사용자가 자신의 데스크톱에 원격으로 접속할 수 있고, 이를 기반으로 데이터, 애플리케이션 그리고 애플리케이션을 중앙집중화할 수 있다. VDI는 윈도우 에어로, 윈도우 미디어 플레이어 11 비디오, 다중 모니터 설정, VoIP 및 음성 인식을 위한 마이크 등을 지원한다. 하지만 VDI를 사용하려면 별도의 라이선스가 필요하며, 표준 운영체제의 모든 기능을 제공하지는 않는다는 것이 단점이다.

 

기업 자산의 보호

일단 운영체제가 설치되면 기업은 로그인을 위해 인증으로 조직의 자산을 보호할 수 있다. 윈도우 비스타도 지문 스캐너용 드라이버를 제공했지만, 윈도우 7은 IT 전문가와 최종 사용자가 이런 장비들을 더욱 쉽게 설치하고 설정하고 관리하도록 지원한다. 윈도우 7은 관자의 별도 허가 없이 스마트 카드나 스마트 카드 리더에 필요한 드라이버를 자동으로 설치함으로써 윈도우 비스타보다 지원 스마트카드의 범위가 넓어졌다.

 

 

IT 관리자들은 마이크로소프트의 전체 디스크 암호화 시스템인 비트로커(BitLocker)로 윈도우 7의 볼륨을 한층 더 보호할 수 있다. 윈도우 비스타 사용자는 숨김 속성이 필요한 부트 파티션 생성을 위해 사용자의 하드 드라이브를 다시 파티션해야 하지만, 윈도우 7은 비트로커를 활성화하면 해당 파티션이 자동으로 생성된다. 또한 윈도우 비스타에서 IT 관리자가 각각의 보호된 볼륨에 고유의 복구키를 사용해야 하지만, 윈도우 7은 데이터 복구 에이전트(DRA)를 인증된 볼륨까지 확장했다. 따라서 비트로커로 인증된 윈도우 머신에서는 하나의 인증키만이 있으면 된다.

 

BitLocker To Go는 사용자가 비트로커로 보호되는 파일을 윈도우 비스타와 윈도우 XP 사용자와 공유할 수 있도록 지원하는 새로운 기능이다. BitLocker To Go의 데스크톱 리더는 비트로커로 보호되지 않는 시스템에서의 보호된 파일에 대한 단순한 읽기 전용 액세스를 제공한다. 보호된 파일을 풀려면, 사용자는 적절한 비밀번호(또는 스마트 카드 인증)를 입력해야 한다.

 

애플리케이션 제어

윈도우 7은 조직이 어떤 애플리케이션의 어떤 버전을 사용자가 동작할 권한을 갖는지를 지정할 수 있는 그룹 폴리시 설정을 강화시킨 앱로커(AppLocker)를 도입했다. 예컨대 사용자가 어도비 아크로뱃 리더 버전 9.0을 추가로 설치할 수 있는 규칙을 통해 사용자가 특별한 허가 없이 이전 버전을 설치하는 것을 차단할 수 있다. 앱로커에는 규칙 생성 마법사가 포함되어 있어 정책 생성의 과정을 더욱 쉽게 만들고, 여기에는 맞춤 화이트 리스트를 구축할 수 있도록 지원하는 자동 규칙이 포함된다.

 

윈도우 미에서 처음 도입된 시스템 복구 기능은 윈도우 7에서 사용자의 요구사항을 대폭 수용했다. 첫째 각각의 복구 지점에서 삭제되거나 추가될 특정 파일 목록을 표시한다. 둘째 복구 지점을 설정할 수 있어 IT 관리자나 사용자가 선택할 수 있는 사항이 많아지고 기간도 길어졌다.

 

액션 센터(Action Center)는 새로운 통합형 제어판으로, 하나의 아이콘 아래에서 작업과 일반 공지사항을 볼 수 있다. 액션 센터에는 보안 센터를 포함한 기존의 여러 가지 기능을 위한 경고사항 및 구성 설정, 즉 보고 및 솔루션, 윈도우 디펜더, 윈도우 업데이트, 진단, 네트워크 액세스 보호, 백업과 복원, 복구, 및 사용자 계정 제어가 포함된다. 팝업 경고는 윈도우에서 사라지고 새로운 작업 트레이 아이콘(X가 달린 깃발)으로 대체되어 문제에 바로 접근할 수 있거나 더 자세한 내용을 위해 액션센터로의 효율적인 접근을 제공한다.

 

아마도 가장 유명하면서도 짜증을 유발하는 윈도우 비스타의 통지 방식은 사용자 계정 제어(UAC) 기능에서 기인하는데, 이것은 시스템 설정을 구성해야 할 때마다 관리 경고를 깜빡인다. 비스타에서는 선택이 두 가지였다. 이 메시지를 참아내거나 UAC를 끄는 것이다. 윈도우 7에서는 선택할 수 있는 것이 추가된다. 슬라이드 바는 사용자의 컴퓨터에 맞게 적절한 통지 수준을 설정하고, 기본적으로 UAC는 프로그램이 사용자의 PC에 변경사항을 적용하려고 할 때에만 사용자에게 알려줄 것이다.

 

한층 향상된 성능

마이크로소프트의 안티스파이웨어 제품인 윈도우 디펜더는 빈약한 성능이 문제점으로 지적됐는데, 윈도우 7에서는 이 부분이 대폭 향상됐다. 그러나 마이크로소프트는 소프트웨어 익스플로러 툴을 제거함으로써 이 유틸리티가 스파이웨어의 탐지 또는 제거에 영향을 미치지 않음을 분명히 하고 있다. 이 점이 사실일 수는 있겠지만 소프트웨어 익스플로러는 알지도 못하거나 원하지도 않을 그런 것들을 포함해 사용자가 어떤 프로그램과 프로세스가 돌아가고 있는지를 파악할 수 있도록 지원할 예정이었다. 아마도 마이크로소프트가 최종 빌드에서 이 결정을 번복할 것으로 보인다.

 

또 하나의 새로운 기능으로 윈도우 필터링 플랫폼(WFP)이 있다. 이 기능은 API와 시스템 서비스로 구성된 그룹으로, 서드파티 업체가 윈도우의 자체 방화벽 자원을 활용할 수 있도록 지원함으로써 시스템 성능을 개선한다. 마이크로소프트는 WFP가 방화벽 그 자체가 아닌 개발 플랫폼이라고 강조하지만, WFP는 윈도우 비스타의 방화벽 문제 몇 가지를 해결한 것은 사실이다.

 

비스타에서 마이크로소프트는 다양한 네트워크 접속에 맞는 프로파일 개념을 도입했다. 그러나 이 개념은 원격 사용자가 자신의 기업 VPN에 접속할 때마다 기업의 IT 관리자들을 곤란하게 만들었다. 왜냐하면 방화벽이 이미 “가정용” 또는 “공용”으로 설정되어 나중에 기업 네트워크 설정을 적용할 수 없었기 때문이었다.

 

윈도우 7 그리고 특히 WFP의 경우 다수의 방화벽 정책을 허용하기 때문에, IT 관리자는 원격 클라이언트 및 물리적으로 그들의 네트워크에 연결된 클라이언트에 맞는 하나의 규칙을 유지할 수 있다. 윈도우 7은 또한 새로운 프로토콜인 DNSSEC(Domain Name System Security Extensions)를 지원해 DNS 기록이 스푸핑되지 않도록 해준다.

 

모바일 사용자를 위한 특성

윈도우 7은 모바일 사용자를 위해 2가지를 강화했다. 다이렉트액세스(DirectAccess)를 이용하면 이동성 있는 근무자들은 VPN 없이 언제라도 회사 네트워크에 언제라도 접속할 수 있다. 다이렉트액세스는 그룹 정책 설정을 업데이트하고 사용자의 회사 네트워크 로그온 여부에 상관없이 휴대용 컴퓨터가 인터넷에 연결될 때마다 소프트웨어 업데이트를 배포한다. 이 덕분에 이동이 잦은 사용자들은 항사 회사 정책을 최신의 상태로 유지한다.

 

브랜치캐시(BranchCache)는 인트라넷 웹사이트나 파일 서버로부터 접속된 데이터의 사본이 지점 사무실 내에서 로컬로 캐싱된다. 원격 사용자들은 다시 본사에 연결하지 않고 브랜치캐시를 이용해 공유된 데이터에 접속할 수 있다.  

 

윈도우 7은 또한 이벤트 감사 기능도 강화된다. 감사 환경설정 관리 기능과 특정 그룹이나 개인에 의한 변경 사항에 대한 모니터링, 그리고 정교한 리포팅 기능을 이용해 규제기관이나 기업의 요구사항을 쉽게 만족시킬 수 있다. 예를 들어 윈도우 7은 개인의 특정 정보에 대한 접속 허가 또는 불허 이유를 보고한다.



X