IT 관리 / 보안 / 윈도우

‘플루톤’ 탑재된 PC가 하이브리드 근무 환경에 주는 이점

Lucas Mearian | Computerworld 2022.01.14
기업이 하이브리드 인력 관리 방법을 고민하는 동안 기업 방화벽 외부의 보안이 일상적인 IT 운영에 계속해서 큰 역할을 담당하고 있다. 

마이크로소프트는 지난해 하이브리드 근무를 위한 기능을 담은 윈도우 11을 출시한 데 이어 보안 칩 플루톤(Pluton)을 소개한 바 있다. 그리고 플루톤을 탑재한 PC가 CES 2022에서 처음으로 공개됐다. 플루톤의 목적은 재택 근무자의 컴퓨터 보호다. 
 
ⓒ Getty Images Bank

플루톤을 내장한 노트북은 레노버의 AMD 기반 노트북 씽크패드(ThinkPad) Z13 및 Z16다. 씽크패드 Z13의 출고가는 1,549달러부터, Z16의 출고가는 2,099달러부터 시작하며, 오는 5월 출시될 예정이다. 내장된 플루톤 칩과 관련한 추가 비용은 없다. 

플루톤은 2022년 레노버 씽크패드 플랫폼(AMD 6000 시리즈 프로세서를 사용하는 Z13, Z16, T14, T16, T14s, P16s, X13 등)에서 기본적으로 비활성화된다. 레노버 대변인은 사용자가 직접 플루톤을 활성화할 수 있다고 설명했다. 

칩이 비활성화 상태인 이유에 대해 레노버 대변인은 “많은 기업 고객이 네트워크에 적용할 새로운 보안 관련 소프트웨어나 기능을 광범위하게 테스트 및 평가하고 있다. 평가 결과 플루톤이 적절하다고 판단하는 경우 기기에서 직접 활성화할 수 있다. 플루톤이 출시되면 수요를 평가한 후에 공장 단계에서 활성화를 검토할 예정이다”라고 말했다.

플루톤 칩은 비트록커(BitLocker), 윈도우 헬로(Windows Hello), 시스템 가드(System Guard) 같은 보안 기능을 다루는 전용 칩으로, TPM보다 개선된 보호 기능을 제공하는 것이 목적이다. 마이크로소프트와 AMD, 퀄컴의 협업으로 개발됐다.

윈도우 11에는 다양한 보안 업데이트가 적용됐는데, UEFI, 보안 부팅, 암호화 모듈 TPM과 같은 기능은 비활성화할 수 없다. 즉, 윈도우 11은 보안 검증 기능이 기본적으로 활성화 상태인, 칩부터 클라우드까지의 안전을 위해 설계된 제로 트러스트 지원 운영체제다. 

플루톤 칩은 지문 정보를 비롯한 사용자 자격증명, 신원, 개인정보, 암호화키를 더욱 안전하게 저장하여 정교한 악성코드 공격에서 PC를 보호한다. TPM 2.0과 마찬가지로 윈도우 업데이트를 통해 새로운 보안 기능을 업데이트하고 동적으로 추가한다. 마이크로소프트 대변인 매트 우는 “’엄격하게 통합된 하드웨어와 소프트웨어’로 추가적인 가시성과 컨트롤을 부여해 보안 취약점 방지에 도움이 되며, 위협 영역의 변화에도 더욱 잘 적응한다”라고 말했다.

우는 “플루톤은 그 자체로 TPM 역할을 하거나 별도의 서드파티 TPM과 결합해 추가적인 보안을 제공한다. 기업 사용자는 플루톤을 서드파티 TPM과 함께 사용하거나 서드파티 TPM 대신 사용할 수 있는 선택지와 유연성이 있다”라고 말했다.

플루톤은 기기의 CPU 다이에 통합돼 있으므로 공격자가 액세스하기 어렵다. 또한 공격자가 악성코드를 설치하거나 PC를 물리적으로 소유하고 있더라도 플루톤에 저장된 데이터는 제거할 수 없다. 플루톤이 나머지 시스템과 분리되어 있기 때문이다. 별도의 칩이기 때문에 CPU 동작과 기능을 악용하는 사이드 채널 공격 같은 예측 실행(speculative execution) 기법을 차단하는 데 도움이 된다. 가트너 애널리스트 패트릭 헤베시는 “플루톤의 가장 큰 장점은 단독형 TPM-CPU 통신 채널에 대한 물리적인 사이드 채널 공격을 없앨 수 있다는 점”이라고 강조했다.

사이드 채널 공격에서 악성코드는 암호화 시스템의 취약점을 표적으로 삼지 않고, 암호화 시스템의 운영에 대한 정보를 찾는다. 예컨대 사용자의 키보드 소리를 녹음해 암호를 훔치는 음향 암호 해독(Acoustic Cryptanalysis) 기법이 대표적이며, 컴퓨터 화면이 방사하는 전자기장을 측정해 정보를 암호화 전에 확인하는 방법도 있다.

헤베시는 “플루톤 보안 프로세스가 SoC(System on Chip)으로 구현되므로 칩을 파괴하지 않고는 채널에 진입하는 방법이 없다. 또한 마이크로소프트에 따르면, 암호화키가 플루톤의 보안 경계를 절대로 벗어나지 않기 때문에 예측 실행 같은 공격과 다른 유형의 공격 차단에 도움이 될 것이다”라고 설명했다.

플루톤 아키텍처의 또 다른 장점은 윈도우 업데이트로 업데이트할 수 있다는 점이다. 헤베시는 “마이크로소프트가 펌웨어 코드를 통제하고 보호하며, 새로운 버전의 윈도우를 출시하면서 새로운 보안 기능을 지속해서 추가할 수 있다”라고 덧붙였다. 

아울러 마이크로소프트가 SoC 프로세서에서 보안 부팅, 측정된 부팅, VBS(Virtualization-based Security)와 같은 하드웨어 및 소프트웨어 보안 기능을 개선하는 것도 가능하다.

헤베시는 “플루톤은 커널 또는 OS 부팅 프로세스 변경을 시도하는 원격 공격도 방지할 수 있으며, 물리적 계층과 소프트웨어 기반 보안 기능의 통합으로 원격 기기를 보호하는 데에도 도움이 될 것이다. 기업이 보유한 기기에 플루톤을 적용하면 물리적인 내부자 공격을 차단할 수 있다. 마이크로소프트는 이미 애저 스피어에도 플루톤을 적용했다”라고 말했다. 

하지만 모든 전문가가 플루톤 칩이 완벽한 보안을 제공한다고 생각하는 것은 아니다. IDC 연구 담당 부사장 마이클 수비는 SoC 플랫폼의 유용한 발전이지만, 기업의 PC 구매 결정을 단기적으로 급격하게 바꾸지는 못할 것이라고 예상했다.

수비는 “예컨대 위협 행위자가 기업 임원의 노트북을 몰래 입수해 장치를 해킹하고, 하드웨어 수준에서 악성코드에 감염시킨 후 장치를 방치하면, 임원과 IT팀은 누군가 그 노트북에 손을 댔다는 사실을 모를 것이다”라고 지적했다. 

레노버의 새로운 노트북은 AMD 라이젠 6000 시리즈 프로세서 기반이며, 윈도우 11에 플루톤 보안 칩이 내장돼 있다. 플루톤 칩은 마이크로소프트 엑스박스와 애저 스피어에서 수년간 사용한 기술을 기반으로 개발됐다.

우는 “하이브리드 업무 시대로 접어들면서 위치에 상관없이 엔드 투 엔드 보호를 제공하는 최신 보안 솔루션의 필요성이 커졌다. 윈도우 11은 처음부터 보안을 강화해 윈도우 헬로, 장치 암호화, VBS, HVCI(Hypervisor-Protected Code Integrity), 보안 부팅 같은 보호가 가능하도록 고안됐으며, 이런 조합을 사용하면 악성코드 감염을 60% 줄일 수 있다”라고 설명했다. 

마이크로소프트가 하이브리드 근무 환경에서 윈도우 11의 다양한 업그레이드와 칩 설계에 대한 영감을 얻은 것은 분명해 보인다. 마이크로소프트 제품 파트너 부사장 니콜 데젠은 블로그에서 “지난 몇 년간 파트너의 사례에서 많은 것을 배웠다. 이런 학습 내용과 새로운 근무 방식은 윈도우 11의 설계의 여러 혁신에도 영향을 미쳤다”고 말했다.

editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.