Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

비트로커

데이터 덮어씌우는 윈도우 11 암호화 오류 대책은 "PC를 항상 최신 상태로 유지하기"

마이크로소프트가 윈도우 11에 비트로커를 사용하는 암호화 드라이브에 데이터를 덮어 씌우는 등 특정 좋건에서 데이터 손상을 일으키는 오류가 있다고 밝혔다. 수정 픽스가 있기는 하지만 1개월가량 성능을 늦춘다는 점에서 우려가 된다. 이번에 밝혀진 오류에서 문제가 되는 것은 아마도 일반 사용자에게는 매우 낯설 2가지로, AES XEX 기반 조정된 코드북 모드 및 암호문 도난, 그리고 AES와 갈로이스/카운터 모드(CGM)(AES-GCM)다. PC 관련 매체인 톰즈하드웨어에서는 인텔 10세대 아이스 레이크와 11세대 로켓 레이크, AMD의 젠4 기반 라이젠 7000 시리즈가 이번 오류의 영향권 내에 있다고 보도했다.   문제는 데이터 암호화와 AES-XTS에 사용되는 두 기능이 비트로커 암호화를 위해 윈도우 10에 특별히 추가된 것이라는 점이다. 비트로커는 PC의 TPM의 암호화와 드라이브 보호 등을 담당한다. 노트북이 도난당할 경우에도 윈도우 헬로의 얼굴 인식 데이터나 지문, PIN이 없으면 접근할 수 없는 것이다. 같은 기능이 플래시 드라이브 암호화 보호에도 사용된다. 현 시점에서 안심할 수 있는 사용자는 그동안 계속 PC를 최신 상태로 업데이트했던 사람일 것이다. 일례로 마이크로소프트 보안 공지에서는 맨 처음 배포된 오리지널 윈도우 11 버전이 취약하고, 지난 6월에 이미 관련 보안 업데이트가 되었다고 밝혔다. 그러나 다른 우려는 업데이트 적용 후 1개월가량 성능이 저하된다는 것이다. 마이크로소프트는 정확한 원인이나 1개월을 언급한 이유를 명시하지 않았다. 성능 저하의 대상인 애플리케이션은 비트로커, 엔터프라이즈 로드 밸런서, 엔터프라이즈 PC 디스크 처리량 등을 말한다. 1개월 후라면 7월 중순을 말한다. 대략 7월 중순쯤 성능 저하 기간이 끝났다고 볼 수 있는데, 만일 PC를 최신 상태로 유지했다면 두 오류의 영향을 받지 않았다고 판단할 수 있다.   PC가 비트로커를 사용하는지는 어떻게 알 수 있나? 마이크로소프트는 비트로커가 ...

비트로커 TPM 암호화 2022.08.10

블로그 | 윈도우 11의 ‘설계에 의한 보안’이 완벽하지 않은 이유

마이크로소프트의 표현을 빌리자면, 윈도우 11은 '설계에 의한 보안(security by design)'을 구현했다. 필자는 마이크로소프트가 지속해서 증가하는 사이버 위협으로부터 PC를 보호하는 데 주의를 기울이는 모습이 마음에 든다. 사용자 입장에서는 민감한 정보가 악용될 우려를 적게 할수록 좋은 일이다.    그러나 모든 윈도우 11 사용자가 더 높은 보안 조치를 이용할 수 있는 것은 아니다. 적어도 자동 기기 암호화 기능은 마이크로소프트 계정으로 컴퓨터에 로그인한 경우에만 자동으로 활성화된다. 이 기능은 기기를 사용하지 않을 때 데이터를 스크램블 상태로 유지하므로 PC가 악의적인 행위자의 손에 넘어간 상황에서도 안전하다. 윈도우 11의 암호화 적용은 하드웨어에 따라 차이가 있지만, 기본적으로 윈도우 11 홈 PC가 자동 기기 암호화에 적합하지 않은 경우에는 사용자가 직접 해당 기능을 활성화해야 한다. 대부분 사용자가 PC 설정을 거의 건드리지 않고 암호화에 신경을 덜 쓴다는 점을 감안한다면 윈도우 11은 악의적인 행위에 대한 보호 조치를 모든 사용자에게 완벽히 제공한다고 볼 수 없다. 하지만 이런 결과가 현실이 될 필요는 없다. 마이크로소프트는 이미 기기 암호화를 더 유연한 형태로 제공하고 있기 때문이다. 사실 윈도우 11 홈의 기기 암호화(Device Encryption) 기능은 특정 기술에 의존한다. 윈도우 홈과 프로 라이선스의 차이점을 잘 알고 있는 사용자는 무슨 기술인지 알 것이다. 바로 비트로커(BitLocker)다. 비트로커는 데스크톱 PC 및 일부 노트북에 있어 큰 전환점이 된 모던 스탠바이(Modern Standby)나 TPM을 지원하지 않는 하드웨어에서도 작동하며, 윈도우에 통합돼 있기 때문에 최신 기술을 두려워하는 사용자도 타사 소프트웨어보다 덜 위협적이라는 사실을 깨달을 것이다. 그러나 윈도우 홈 사용자가 비트로커를 사용하려면 99달러를 추가로 지불해야 한다. 다른 윈도우 사용자와 같은 수준의 보안을...

윈도우 TPM 비트로커 2022.03.30

암호화된 윈도우 11 PC의 복구 키를 찾는 방법

비트로커(BitLocker) 기기 암호화는 윈도우 11 설치 과정에서 별도의 알림 없이 자동으로 활성화되는 보안 기능이다. 마이크로소프트 계정으로 이 기능을 지원하는 PC에 로그인하면 곧바로 사용할 수 있다. 실제로 많은 윈도우 11 사용자가 PC가 암호화됐다는 것조차 모른다. 복구 키가 자동으로 마이크로소프트 계정에 저장되는 것도 알아차리기 힘든 이유 중 하나다. 이 키는 윈도우 암호를 잊어버리거나 TPM에 저장된 데이터에 문제가 생겼을 때 필요하다. 복구 키를 이용해 드라이브에 저장된 데이터의 암호화를 해제하지 않으면 PC 자체가 무용지물이 된다.   다행히 복구 키를 보는 방법은 간단하다. 마이크로소프트 웹사이트(account.microsoft.com/devices/recoverykey)에서 확인할 수 있다. 더 확실히 하려면 복구 키의 백업을 만드는 것도 좋은데, 매우 민감한 정보로 다루는 것이 중요하다. 예를 들면 복구 키 정보를 패스워드 매니저 내에 항목을 만들어 저장하면 더 안전하게 보관할 수 있다. 마이크로소프트 웹사이트에서 키가 보이지 않는다면, 정확한 계정으로 로그인했는지 먼저 확인한다. 계정이 하나뿐이고 누군가 다른 사람이 PC를 설정해 줬다면 복구 키가 그의 계정에 연동됐을 가능성이 있다. 혹은 윈도우 11 프로 사용자라면 비트로커가 마이크로소프트 계정을 통해 활성화되지 않았을 수도 있다. PC를 초기에 설정해 준 것이 누구든 상관없이 로컬 계정을 만든 후 비트로커를 활성화했을 것이다. 이런 경우를 대비해서라도 반드시 복구 키를 별도로 저장해 둬야 한다. 제어판 > 비트로커 드라이브 암호화 > 복구 키 백업 메뉴를 이용하면 된다. '마이크로소프트 계정에 저장하기'를 선택하는 것이 가장 좋다.   물론 이렇게 복구 키를 관리하는 것은 번거로운 일이다. 암호화 기능을 꺼버릴까 고민이 생길 것이다. 하지만 그래서는 안 된다. 차라리 데이터를 여러 곳에 백업해 두고 암호화를 그대로 유지하는 것이 더 낫다....

복구키 윈도우11 윈도우 2022.03.25

윈도우 내장 암호화 툴 비트로커, SSD 보호에 소프트웨어 기반 AES 암호화 기본 적용

“SSD 자체 암호화를 믿지 마라.”  최신 윈도우 10 업데이트에서 윈도우 10 프로 및 엔터프라이즈 버전에 기본 내장된 마이크로소프트의 비트로커(BitLocker) 암호화 툴이 SSD의 자체 암호화가 되지 않는다고 추정하기 시작했다.    지난해 연구원들이 많은 자체 암호화 SSD가 보안이 열악하고 SSD 제조업체가 자체적으로 설정한 기밀 마스터 암호를 혼합해 암호화를 우회할 수 있음을 입증한 이후, 마이크로소프트는 비트로커가 하드웨어 기반 암호화를 기본적으로 믿지 않도록 함으로써 잠재적인 위험을 차단했다. 보안 부문에서 유명한 트위터 사용자인 @SwiftonSecurity는 마이크로소프트가 9월 24일에 배포한KB4516071에서 이런 변화를 처음으로 발견했다. “자체 암호화된 하드 드라이브를 암호화하는 비트로커의 기본 설정이 변경됐다. 이제 새로운 암호화된 드라이브에 대해서 소프트웨어 암호화를 사용하는 것이 기본 설정이다. 기존의 드라이브에 대해서는 암호화 방식이 변경되지 않는다.” 이는 비트로커로 보호되는 모든 SSD가 자체적으로 하드웨어 기반 암호화를 수행하는 것에 상관없이 프로세서를 통해 소프트웨어 기반의 AES 암호화가 적용된다는 의미다. SSD의 암호화 기술을 신뢰하는 경우 해당 암호화를 사용하도록 설정할 수는 있다. 이미 자체 암호화된 SSD의 펌웨어를 더 이상 믿을 수 없어 비트로커를 사용하는 경우, 이것을 복호화하고 다시 암호화해서 현재의 하드웨어 기반 암호화 대신 비트로커의 소프트웨어 기반 암호화를 적용해야 한다. 비트로커 초보 가이드를 참고하면 비트로커 사용에 도움을 얻을 수 있다. 하지만 비트로커를 사용하기 위해선 특정 하드웨어 요건이 갖춰져야 하고 윈도우 10 프로 혹은 엔터프라이즈 버전을 사용해야 한다. 홈 버전은 비트로커를 지원하지 않는다. SSD의 자체 암호화를 신뢰할 수 없다는 것은 매우 안타까운 일이다. 하지만 마이크로소프트는 최종 사용자가 실질적으로는 데이터가 보호되지 않는 상황에서...

암호화 ssd 비트로커 2019.10.01

How To : 마이크로소프트의 비트로커 암호화 기능 관리하는 방법

윈도우 운영체제를 위한 최신 마이크로소프트 서포트 KBA(Microsoft Support Knowledgebase Article)와 서비스 스택 업데이트는 비트로커(BitLocker) 복구 비밀번호를 작동시키기 위해 패치가 필요했던 안전 부팅 기능 업데이트로 인해 시작된 레이스 컨디션(Race Condition) 문제에 대한 픽스를 제공한다.    사람들은 장치에 비트로커가 있는지를 까먹는 경우가 많다. 패치할 때 비트로커는 일반적으로 조용하며 패치 과정과 간섭을 일으키지 않는다. 비트로커는 너무 조용하게 설계되어 어떤 기기에 활성화되어 있는지 잊어버릴 수도 있다. 마이크로소프트는 최근 앞으로 SCCM(System Center Configuration Manager)과 인튠(Intune)에 비트로커를 추적하고 관리하는 고급 관리 툴을 추가할 것이라고 발표했다. 한편, 어떤 장치에 비트로커가 있는지 파악하기 위해 네트워크 목록을 만들려면 무엇을 할 수 있을까. 할 수 있는 일이 무궁무진하다. 파워셸을 사용해 비트로커 지원 장치 찾기 파워셸부터 시작하자. manage-bde -status c: 명령은 장치에서 비트로커가 활성화되어 있는지 보여준다.   장치에 비트로커가 없다면 드라이브가 완전히 복호화되어 있다고 보여줄 것이다.   비트로커가 원격으로 활성화되어 있는지 파악하고 싶다면 명령에 컴퓨터의 이름을 추가한다. manage-bde -status -computername **computername** 비트로커가 활성화된 여러 개의 장치 찾기 한 번에 하나 이상의 컴퓨터를 검토하고 싶다면 어떨까? 애저AD나 인튠을 사용해 상태를 검토한다. 인튠으로 등록된 장치의 경우 인튠 인크립션 보고서를 사용해 상태를 파악한다. 인튠 포탈에 로그인하고 “장치 구성(Device Configuration)”으로 이동한 후 “모니터(Monitor)” 아래에서 “암호화 보고서(Encryption report)”를 선택한다. &nb...

암호화 애저 비트로커 2019.07.19

SSD의 하드웨어 기반 비트로커 결함, 소프트웨어 기반으로 전환 권고…마이크로소프트

최근 자체 암호화 된 SSD의 비트로커의 결함에 대해 마이크로소프트는 소프트웨어 기반으로 전환할 것을 권고했다. 최근 마이크로소프트는 네덜란드 라드바우드(Radboud) 대학의 카를로 메이제르와 베르나르드 반 가스텔이 발행한 보고서에 기재된 보안 허점을 대처하기 위해 비트로커 구성을 위한 소프트웨어 암호화 구현을 위한 지침인 ADV180028을 발표했다. 이 문서 초안은 공격자가 비밀번호를 몰라도 하드웨어로 암호화된 SSD를 해독할 수 있는 방법을 설명했다. 자체 암호화 드라이브가 펌웨어로 구현되는 방식의 결함으로 인해 악의적인 사람이 키 없이도 드라이브의 모든 데이터를 가져올 수 있었다. 군터 본은 자신의 본시티 블로그에 다음과 같이 전했다. - 보안 연구원은 디버깅 인터페이스를 사용해 SSD 드라이브의 비밀번호 확인 루틴을 우회할 수 있기 때문에 필요한 방식으로 드라이브의 펌웨어를 수정할 수 있다고 설명했다. 이 방법은 내외부적으로 SSD에 물리적으로 접촉해야 한다. 그러나 연구원은 비밀번호 없이 하드웨어 암호화된 데이터를 해독할 수 있었다. 이 연구원은 익스플로잇에 대한 개념 증명(PoC) 형태로 세부사항에 대해서는 밝히지 않을 것으로 보인다. 마이크로소프트의 비트로커 기능은 드라이브의 모든 데이터를 암호화한다. 하드웨어 암호화가 내장된 SSD가 있는 윈도우 10 시스템에서 비트로커를 실행하면 비트로커는 드라이브 자체의 암호화 기능을 사용한다. 드라이브에 하드웨어 자체 암호화가 없거나 윈도우 7 또는 8.1을 사용하는 경우, 비트로커는 소프트웨어 암호화를 구현한다. 소프트웨어 암호화는 효율적이지 않지만 비밀번호 보호를 강화한다. 하드웨어 기반 자체 암호화 결함은 대부분의 경우 자체 암호화 드라이브에 문제가 있는 것처럼 보인다. 마이크로소프트가 제시한 해결책은 자체 암호화를 구현한 SSD의 암호화를 해제한 다음, 소프트웨어 기반의 암호화로 다시 암호화하는 것이다. 성능에는 문제가 없지만 데이터는 하드웨어가 아닌 소프트웨어에 ...

SSD 비트로커 2018.11.08

“기다림 없는 윈도우 업데이트” 윈도우 10에 새 기능 추가

마이크로소프트는 주요 업데이트 이후 PC를 좀 더 쉽게 기동하고 실행할 수 있는 기능을 윈도우 10에 추가했다. 최근 윈도우 10 1주년 기념 업데이트를 설치한 사용자는 새로운 기능이 해결하려는 문제를 이미 경험했을 것이다. 업데이트를 설치하고 새로운 PC를 사용할 기대감으로 로그인을 하면, 업데이트가 아직도 진행 중인 상태이다. 단색 화면에 “시스템을 준비 중입니다”같은 메시지를 한참 쳐다보고 있어야 한다. 윈도우 10의 새 기능은 PC에 로그인해 자동으로 업데이트를 완료하도록 해 이런 과정을 없애 준다. 주요 업데이트를 설치한 후에도 마지막 단계가 마무리되는 것을 기다릴 필요가 없는 것이다. 마이크로소프트에 따르면, 이 기능은 윈도우가 사용자의 로그인 정보를 기반으로 특별 토큰을 만드는 방식으로 동작한다. 이 토큰은 재기동 후 자동으로 로그인해 PC 설정을 마무리한 후 PC를 다시 잠그는 데 사용할 수 있다. 마이크로소프트는 이 기능을 이용하는 사용자는 윈도우 내장 암호화 기능인 비트로커를 활성화할 것을 권장하고 있다. 하지만 자동 로그인 기능과 암호화의 관계를 묻자 마이크로소프트는 “공유할만한 정보가 없다”고 답했다. 또 비트로커가 없는 윈도우 10 홈 에디션에서도 새로운 기능은 사용할 수 있다. 새로운 기능은 설정 > 업데이트 및 복구 > Windows 업데이트 > 고급 옵션에서 설정할 수 있다.  editor@itworld.co.kr

로그인 업데이트 자동화 2016.08.09

윈도우 기본 암호화 툴 비트로커 초보 가이드

트루크립트(TrueCrypt) 개발자는 2014년 인기 오픈소스 암호화 툴의 개발을 중단하면서 컴퓨터 보안 업계를 충격에 빠뜨렸다. 이 개발자는 한 술 더 떠, 트루크립트는 안전하지 않으며, 윈도우 사용자는 대신 마이크로소프트 비트로커(BitLocker)를 이용해야 한다고 강조했다. 이 갑작스러운 발표를 놓고, 음모론자들이 웅성거리기 시작했다. 왜 비트로커일까? 비트로커는 마이크로소프트가 윈도우용으로 개발했으며, 쉽게 이용할 수 있는 고유 암호화 프로그램이다. 전체 드라이브를 암호화할 수 있고, 펌웨어 수준의 악성코드 등이 시스템을 승인 없이 변경하는 것을 막아준다. 비트로커는 윈도우 비스타 또는 7 얼티메이트, 윈도우 비스타 또는 7 엔터프라이즈, 윈도우 8.1 프로, 윈도우 8.1 엔터프라이즈, 윈도우 10 프로 사용자에게 기본 제공되는 프로그램이다. 기업용 PC라면 엔터프라이즈 에디션이 설치되어 있을 가능성이 높다. 이 경우, IT 부서와 비트로커 암호화 활성화를 논의할 수 있다. 대부분은 표준 윈도우가 설치된 PC를 구입한다. 여기에는 비트로커 암호화 프로그램이 들어있지 않다. 그러나 듀얼 인터페이스인 윈도우 8 출시 초기에 윈도우 8로 업그레이드했다면, 아마 윈도우 8이나 8.1 프로가 설치되어 있을 것이다. 마이크로소프트는 윈도우 8 초기에 윈도우 8 프로 업그레이드 라이선스를 저렴하게 판매했었다. 윈도우 8.1 프로를 10으로 업그레이드 한 경우, 윈도우 10 역시 프로 에디션이다. 시스템 요구사항 비트로커를 실행시키려면 앞서 언급한 윈도우 버전 중 하나가 설치된 PC와 파티션이 2개 이상인 스토리지 드라이브, TPM(Trusted Platform Module)가 필요하다. TPM은 하드웨어와 소프트웨어, 펌웨어 인증을 검사하는 전용 칩이다. TPM는 승인 없는 변경을 감지했을 경우, PC는 제한된 모드로 부팅이 되어 잠재적인 공격자의 악의적인 행위를 억지한다. 컴퓨터에 TPM이 있는지, 파티션이 여러 개인지 몰...

암호화 비트로커 BitLocker 2016.08.03

하드드라이브 암호화하기, 다만 귀찮음만큼의 가치를 보장하지 못한다

암호화는 사실 다른 컴퓨터 활동에도 영향을 미치며 또한 파일 복구도 더 힘들게 한다. 이에 후회하지 않을 암호화하는 법을 알아보자. 자신의 하드드라이브를 암호화할 필요가 있는 이가 있다면 잘 보길 바란다. 암호화된 폴더 하나를 만들면 이것만으로도 대부분의 사람들은 충분하다. 그러나 완벽하게 암호화된 드라이브를 가장 강력한 보호를 제공한다. 자신이 쓰는 PC가 윈도우라면 그 자리에서 바로 파일들을 암호화할 수 있다. 도둑들은 이 파일을 발견하는 데에는 얼마간의 시간이 걸릴 것이다. 그러나 충분히 숙련되고 의도가 있으며, 충분한 자금을 제공받은 해커라면 그렇지 않다. 그러나 상당한 수준의 보안 레벨에 다다르기 위해서는 비용이 많이 든다. 또한 전체 드라이브를 암호화하는 것은 자신의 PC를 벽돌로 만들 수도 있다. 우선 이미지 백업을 하고 비상시에 암호화 소프트웨어와 이미지 백업 프로그램을 위한 복구 드라이브를 만들어놔야 한다. 복구 드라이브는 이것만을 위한 것이 아니다. 자신의 컴퓨터 또는 하드드라이브가 부셔졌을 때, 잃어버린 파일을 상당히 회복할 수 있는 기회가 생긴다. 적절한 예방조치를 취하지 않는다면 윈도우 재설치는 자신의 파일들을 접근하기 어렵게 할 수 있다. 윈도우 7 얼티메이트 또는 엔터프라이즈, 윈도우 8 프로 또는 엔터프라이즈를 사용하고 있다면 비트로커(BitLocker)를 사용할 수 있다. 이는 윈도우 버전에서 가능하다. 그러나 이를 어떻게 해야할 지 알지 못할 수도 있다. 비트록커는 IT 부서 전문가들이 암호화라는 말의 의미조차 모르는 사용자에게 서비스할 수 있도록 최적의 환경을 제공한다. 이를 통해 사용자들이 드라이브가 암호화됐는지 알지도 못하게 설치할 수 있다. 윈도우에서 비밀번호를 넣고 로그인을 할 때 그들은 암호화된 파일들에 접속할 수 있는 권한을 갖게된다. 만약 또다른 계정으로 로그인하거나 다른 운영체제를 부팅한다면 이 파일들을 읽을 수 없다. 좀더 나아가 윈도우 재설치가 필요하다거나 백업...

암호화 비트로커 베라크립트 2015.01.16

윈도우 내장 암호화 툴 '비트로커'에 대한 초보 가이드

최근 인기 오픈소스 암호화 툴인 트루크립트(TrueCrypt)를 만든 이들이 개발 종료를 선언하면서 보안 업계를 충격에 빠트렸다. 트루크립트를 만든 이들이 스스로 트루크립트가 안전하지 않을 수 있으며 윈도우 사용자들은 마이크로소프트의 비트로커(BitLocker)로 갈아타야 한다고 말했다는 점은 더 놀랍다. 이런 놀라운 발표를 둘러싸고 음모론이 곧바로 터져나왔다. 이 폭탄 선언의 진정한 동기가 무엇이던, 이번 트루크립트 난리 속에서 비트로커에 대해 이야기해보고 그 사용법도 알아보는 기회를 가져보자. 비트로커는 무엇인가? 비트로커는 마이크로소프트의 윈도우용 상용 암호화 프로그램으로, 사용이 간편하고 전체 드라이브를 암호화할 수 있으며 펌웨어-단위 악성코드와 같이 자신의 시스템에 인증받지 않은 변경에 대한 보호를 돕는다. 비트로커는 누가 사용할 수 있나? 비트로커는 윈도우 비스타나 윈도우 7 얼티메이트, 7 엔터프라이즈, 윈도우 8.1 프로, 윈도우 8.1 엔터프라이즈 사용자라면 누구나 쓸 수 있다. 만약 자신이 엔터프라이즈 에디션 사용자라면, 자신의 PC가 대기업 소유일 가능성이 높을 것이므로 기업의 IT 부서에 비트로커 암호화 활성화에 대해 문의해야 할 것이다. 그러나 표준 윈도우 버전이 탑재된 PC를 구매하는 대부분 사용자는 비트로커 암호화를 사용하지 못한다. 하지만 만약 마이크로소프트의 듀얼-인터페이스 운영체제 출시 초기에 윈도우 8로 업그레이드했다면, 아마 윈도우 8이나 8.1 프로가 설치되어 있을 것이다. 윈도우 8 출시 초기에 마이크로소프트는 업그레이드할 수 있는 모든 이들에게 저렴한 윈도우 8 프로 업그레이드 라이선스를 판매한 바 있다. 시스템 요구사항 비트로커를 실행하려면 앞서 언급한 운영체제 가운데 하나를 구동하는 윈도우 PC가 필요하고, 이 PC에는 최소한 2개 이상의 파티션과 TPM(Trusted Platform Module)이 설치되어 있어야 한다. TPM은 하드웨어, 소프트웨어, 펌웨어의 인증...

비트로커 윈도우 암호화툴 2014.06.03

윈도우 7, 철벽 보안을 위한 7단계 가이드

  소프트웨어 개발업체들은 때로 사용성을 높이기 위해 일부 보안을 희생시키곤 한다. 필자의 직업은 소프트웨어를, 특히 운영체제를 기본 상태보다 더 강력하게 하는 법을 가르치는 것이다. 안전하면서도 실용적인 상태로 만들기 위해서 어떤 보안 템플릿(Template)을 적용할 지, 어떤 파일을 삭제해야 할 지, 그리고 어떤 레지스트리(Registry) 항목을 수행해야 할 지를 사람들에게 가르치고 있다.   그러나 윈도우 비스타를 시작으로 그런 낡은 조언은 더 이상 필요 없게 되었다. 마이크로소프트는 이제 출하 시부터 훨씬 더 안전해진 제품을 제공하고 있다. 사용자는 매우 안전한 상태를 유지하기 위해 애초에 NSA 보안 템플릿을 다운로드 하거나 어떤 식으로든 시스템을 수정할 필요가 없어졌다.   현재 대부분의 클라이언트 측 위협은 UAC(User Access Control: 사용자 계정 컨트롤)를 해제하거나, 자동 업데이트를 사용하지 않거나, 또는 윈도우의 내장 방화벽을 비활성화 시키는 등 기본 방어수단을 순진하게 낮추거나 사용자가 악의 있는 트로이 목마 실행파일을 실행하도록 유인 당하여 발생하고 있다.   그러나 윈도우 7의 보안을 기본 상태 이상으로 높이기 위해 사용자가 할 수 있는 것이 없다고 말하려는 것이 아니다. 이 기사에서는 너무 큰 문제를 일으키지 않고 대부분의 애플리케이션을 구동할 수 있는 컴퓨터를 운영하면서 약간은 더 나은 보안을 구현하고 싶어하는 관리자나 개인 사용자를 위한 권고사항을 설명한다. 아래 설명된 팁은 애플리케이션 구동을 거부하거나 웹 사이트 로드를 거부하는 등의 불편함을 초래하지 않을 것이다.   1단계 : 비트로커 활성화 부트, 시스템, 그리고 USB 키 같은 이동식 미디어(Removable Media)까지도 포함하여 하드 드라이브 상의 임의 볼륨을 암호화하기 위해 비트로커 드라이브 암호화를 사용할 수 ...

보안 윈도우7 UAC 2010.05.14

“찰떡궁합” 윈도우 7과 윈도우 서버 2008 R2

윈도우 7의 출시일은 2009년 10월 22일로 정해졌으며, 윈도우 서버 2008 R2도 같은 시기에 출시될 것으로 예상된다. 두 제품이 비슷한 시기에 출시되는 것은 우연이 아닌데, 제품은 기업 환경에서 함께 이용할 수 있도록 만들어졌기 때문이다. 윈도우 2000 이래로 마이크로소프트의 서버와 클라이언트 제품이 동시에 출시된 적이 없으므로, IT 업계에서는 두 제품을 한 세트로 생각하고 관심을 가질 필요가 있다.   이 두 운영체제가 어떤 지점에서 만나며, IT 관리자들은 어떤 부분에 주목해야 하는지 살펴보자.   다이렉트 액세스(DirectAccess) 모바일 사용자들은 윈도우 7과 윈도우 서버 2008 R2를 이용해 어떤 곳에서든지 VPN 없이 회사 네트워크에 접속할 수 있다. 이것은 VPN을 통하지 않고 아웃룩 애니웨어를 사용해 익스체인지 환경에 접속하는 것과 같은 개념이다.   다이렉트 액세스는 SSL 포트 443에서 SSTP(Secure Socket Tunneling Protocol)를 사용하는데, 보안 사이트에 접속하기 위해 HTTPS를 사용하는 것과 유사하다. 또한 암호화된 인터넷 커뮤니케이션을 위해 IPv6 over IPSec을 사용할 수 있다.   여전히 사용자들의 인증이 필요하기 때문에 불안 요소도 많지 않다. 노트북을 도난당해도 다른 사람이 이를 통해 회사 네트워크에 직접 접속할 수는 없다. 사용자들은 노트북에 윈도우의 비트로커 디스크 암호화 사용하는 것도 고려해 볼 필요가 있다. 두 가지 인증 방법이 사용될 수 있으며(스마트 카드나 바이오메트릭스), 윈도우 7에서는 강화된 바이오메트릭스 기능을 사용할 수 있다.   다이렉트 액세스에는 몇 가지 분명한 장점이 있다. 사용자들은 다루기 힘든 VPN 연결을 이용할 필요없이 어디에 있든지(물론 인터넷 연결이 가능한 곳이어야 한다) 매우 간단하게 접속할 수 ...

윈도우7 R2 비트로커 2009.07.17

‘보안&편의성에 중점‘… 윈도우 7의 ‘기업용 신기능’

지금까지 윈도우 7에 대한 대부분의 관심은 소비자 특성에 모아졌다. 점프리스트, 마우스 허브 기능, 쉬운 탐색 및 관리 성능이 강화된 사용자 계정 제어가 포함된 새로운 작업표시줄 등이 그것이다. 그러나 막상 뚜껑을 열어보면 "눈길이 덜 가는" 윈도우 7의 기업용 특성도 간과하기 어렵다. 최근 마이크로소프트는 윈도우 7을 이용해 기업의 요구를 무시한다는 이유로 비난을 받았다. 인기 있는 블로거이자 수퍼사이트 포 윈도우의 편집자인 폴 써롯은 최근 CIO.com과 자매 사이트인 네트워크월드와 가진 인터뷰에서 마이크로소프트가 기업을 나중에 생각해도 된다는 식으로 취급하고 마음대로 "윈도우 기업 기능들을 윈도우 서버 2008 R2에 묶어 두고 기업에 엄청난 액수를 지불토록 요청"하고 있다고 꼬집었다. 그 점에 관해 마이크로소프트 윈도우 제품 관리 수석 이사인 가브리엘라 슈스터는 윈도우 서버 2008 R2를 필요로 하는 윈도우 7 특성들이 하루아침에 배치되지는 않을 것이라고 인정하면서 "이들 특성 일부는 좀 더 장기간의 전략에 속한다"고 해명했다. 그러면서도 그는 윈도우 7의 기업 지원 방식에 대해 설명하고 나섰다. 최근 인터뷰에서 슈스터는 마이크로소프트가 생각하는 핵심 기능에 분명히 짚었다.   다이렉트액세스 윈도우 7과 윈도우 서버 2008R2를 모두 필요로 하는 다이렉트액세스 기능은 이동이 잦은 근무자가 VPN 없이 회사 네트워크에 연결될 수 있도록 지원해 기업 사용자의 운신의 폭을 넓히고 IT에 대한 부담을 덜게 해주는 것이다.   슈스터에 따르면 다이렉트액세스를 이용하면 회사 네트워크 상의 모든 것에 접근하기 위해 인터넷만 연결하면 되기 때문에 하던 일을 멈추고 VPN으로 로그온할 필요가 없다. 원격 사용자의 경우 보통 자신이 인터넷 라인을 사용하기 때문에 이것은 기업 대역폭의 사용을 줄일 것이다.   그...

마이크로소프트 윈도우7 다이렉트액세스 2009.02.20

“강해졌다” : 윈도우 7 보안 기능 프리뷰

윈도우 비스타가 등장한 지 2년이 지났지만, 많은 기업들이 아직 업그레이드를 하지 않고 있다. 이처럼 기업들이 비스타와 거리를 두는 이유 중 하나가 바로 해결되지 않는 보안에 대한 우려 때문이었다.   마이크로소프트 측은 최근 공개 베타를 발표한 윈도우 7으로 이에 대한 해답을 제시하고 있다. 윈도우 7은 새로운 보안 기능이 추가된 것은 물론, 인기 있는 기능은 확대되고 친숙한 기능은 강화됐다. 가장 업그레이드를 꺼리는 기업 고객마저 손을 들게 하리라 예상되는 주요 보안 개선사항을 살펴본다.   개선된 마이그레이션 툴 마이크로소프트는 윈도우 7이 종전의 운영체제 마이그레이션보다 더 빨리, 더 쉽게 대량 배포될 것이라고 강조한다. 더 좋아질 것이라는 믿음이 다이내믹 드라이버 프로비저닝, 멀티캐스트 멀티플 트랜스퍼, 그리고 버추얼 데스크톱 인프라 같은 새로운 툴로 구현된다.   다이내믹 드라이버 프로비저닝으로 드라이버는 이미지와는 별도로 중앙에 저장된다. IT 관리자는 개별 BIOS 세트 또는 PC 하드웨어의 플러그앤플레이 ID별로 설치를 준비할 수 있다. 이를 통해 불필요한 드라이버 설치를 줄여 잠재적 충돌도 피하고 설치 속도도 높일 수 있다는 것. 윈도우 비스타에서처럼 시스템 이미지를 오프라인에서 업데이트할 수 있을 뿐 아니라, 상이한 드라이버, 패키지, 특정 소프트웨어 업데이트를 포함한 이미지 라이브러리를 관리할 수도 있다.   전체 네트워크에 걸친 특정 이미지의 대량 배포 또는 데스크톱에 개별 이미지를 설치하는 작업은 새로운 멀티캐스트 멀티플 스트림 트랜스퍼 기능을 더욱 빨라진다. 각각의 클라이언트에 개별적으로 연결되는 대신, 설치 서버들이 네트워크 전반에 걸친 이미지를 다수의 클라이언트에 동시다발적으로 “브로트캐스트”할 수 있기 때문이다.   또 다른 데스크톱 설치 모델인 가상 데스크톱 인프라(VDI)를 이용하면 ...

보안 비스타 윈도우 7 2009.01.29

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.