보안

"완전해부!" 윈도우 7 보안의 장단점

Tony Bradley | PCWorld 2009.11.25

최근 공개된 마이크로소프트보안 인텔리전스 리포트(Microsoft Security Intelligence Report)는 윈도우 7의 보안기능이 윈도우 XP보다 상당히 향상됐다고 강조하고 있다. 그렇다 하더라도 완벽한 운영체제는 법. 전문가들에게 윈도우 7 보안기능의 단점과 장점을 자문해봤다.

 

장점

 

마이크로소프트는 윈도우 비스타를 내놓을 때 윈도우 운영체제 커널을 보호하는 방법에 상당한 변화를 주었고, 새로운 보안 제어 기능을 추가했다. 윈도우 7에서는 이런 많은 보안 제어들이 향상됐고, 새로운 기능들도 추가됐다.

 

다음은 전문가들이 윈도우 7 보안기능 중 장점으로 꼽은 세 가지다.

 

1. ASLR과 DEP

 

ASLR(Address Space Layout Randomization)과 DEP(Data Execution Prevention)는 모두 윈도우 비스타에도 있었지만, 윈도우 7에서 더 향상됐다. ASLR은 공격자들이 핵심 기능이 메모리의 어디에 위치해있는지 찾기 어렵게 만드는 것이고, DEP는 버퍼 오버플로우 공격이 파일이나 데이터를 보유하고 있는 스토리지 영역에서 작동하는 것을 방지한다.

 

소포스(Sophos)의 수석 보안 컨설턴트인 쳇 위스니스키는 “ASLR은 윈도우 7에서 상당히 향상됐다. 이것은 DLL의 라이브러리가 부팅을 할 때 마다 메모리 주소를 무작위로 읽는다는 뜻이다. 맬웨어는 종종 특정 메모리 위치에 있는 특수한 파일에 의존하는데, 이 기술은 버퍼 오버플로우를 멈추는데 도움을 준다”고 평가했다.

 

위스니스키는 또한 DEP가 비스타의 DEP와는 다르게 인터넷 익스플로러 뿐만 아니라 다른 핵심 윈도우 서비스도 보호한다고 강조했다.

 

2. 비트라커-투-고(BitLocker-to-Go)

 

AP252A.JPG윈도우 비스타에서 추가됐던 기능 중 하나인 비트라커(BitLocker) 원래 별도의 윈도우가 설치되어있는 파티션을 암호화하는 기능이었으나, 서비스팩 1이 공개되면서 이 기능은 외장메모리를 제외한 추가 파티션이나 장치 암호화도 가능하게 됐다.

 

윈도우 7에는 이런 비트라커의 기능을 확장해 USB 드라이브 데이터도 암호화가 가능하게 만든 비트라커-투-고(BitLocker-to-Go)가 추가됐다. 엔서클(nCircle)의 보안 연구 엔지니어인 타일러 레귤리는 “USB 드라이브가 많이 사용되는 만큼 비트라커를 제거 가능한 드라이브에도 사용할 수 있도록 확장한 것은 매우 큰 발전”이라고 평가했다.

 

3. IE8

 

물론, IE8은 윈도우 7에만 해당되는 것이 아니라 윈도우 운영체제를 사용하는 사람들은 누구나 무료로 다운받아 이용할 수 있다. 그러나 레귤리와 위스니스키는 모두 IE8가 윈도우 7 보안 부분의 장점에 들어가야 한다는데 동의했다.

 

레귤리는 “IE8의 출시는 마이크로소프트가 브라우저 보안을 진지하게 생각하기 시작했다는 의미”라며 선정 이유를 밝혔다.

 

위스니스키는 IE8에 파이어폭스나 크롬이 갖추고 있는 비슷한 보호기능인 스마트스크린(SmartScreen)이라는 새로운 보호 기능이 추가됐다는 점을 지적했다. 이 안티피싱/안티맬웨어 URL 필터링은 브라우저내에 구축되어 악성 사이트를 차단하고 사용자를 보호한다.

 

더불어 IE8의 주소창 URL 중 실제 도메인이 진하게 표시되는데, 신뢰할 수 있는 도메인은 눈에 띄게 강조되며, 사용자를 다른 도메인으로 이동시키는 악성 URL인 경우에는 경고해준다.

#######

단점

 

모든 운영체제가 그러하듯, 윈도우 7역시 보안부분에 있어서 완벽한 운영체제는 아니다. 다음은 마이크로소프트가 윈도우 8을 개발할 때 참고하길 바라는 윈도우 7의 아쉬운 보안 기능이다.

 

1. 윈도우 방화벽(Windows Firewall)

 

윈도우 방화벽(Windows Firewall)은 마이크로소프트가 개인 방어벽을 운영체제에 통합시키려는 초기 시도로부터 매우 멀리 떨어진 분야이다. 초기 버전의 가장 큰 불만 중에 하나는 들어오는 트래픽만 제한하고 윈도우 PC에서 나가는 트래픽을 차단하거나 필터링할 수 있는 매커니즘을 전혀 제공하지 않는다는 것이었다. 마이크로소프트는 이 문제를 해결하는 중이다.

 

엔서클(nCircle)의 타일러 레귤리는 “개인적으로 서드파티 방화벽 소프트웨어를 사용하지 않는다. PC 자원을 많이 필요로 하고 설정하는 것도 힘들기 때문인데, 이 때문에 윈도우 방화벽의 성능이 좀 더 강화되길 바란다”라고 말했다.

 

“기능 강화”와 “PC 자원을 많이 필요로 함”이라는 말에 상관관계가 있을 수 있다는 점에 주목해야 한다. 아마도 서드파티 개인 방화벽이 더 많은 자원을 잡아먹는 것은 더 강력한 기능을 제공한다는 의미일 수도 있기 때문이다.

 

이것은 마이크로소프트가 단순히 보안과 성능의 균형을 잘 맞출 필요가 있는 부분이다.

 

2. 파일 확장명 숨기기

 

마이크로소프트는 계속 파일의 확장명을 숨기는 것을 고정값으로 설정하고 있다. 다른 말로 하면, “pcworld.docx”라는 파일명을 다 보여주는 것이 아니라 “pcworld”만 표시하는 것.

 

이것은 ‘docx’나 ‘xls’, ‘mp3’ 등 별 것 아닌 내용에 사용자들이 혼란을 겪는 것을 방지하기 위함이다.

 

그러나 위스니스키는 이것이 보안 우려를 높일 수 있다고 지적했다. 파일 확장명을 숨기면 이메일에 첨부되어 있는 바이러스에 감염된 파일을 사용자들이 실행시키도록 이중 확장자를 사용하기 쉽기 때문이라는 설명이다. 예를 들면, “FinancialStatement.doc.exe 같이 명명된 파일은 EXE 아이콘과 함께 FinancialStatement.doc로 보여진다.

 

3. 가상 XP 모드

 

윈도우 7에서는 윈도우 XP와만 호환되는 하드웨어나 소프트웨어 애플리케이션을 이용할 수 있도록가상화 기술을 이용해 XP 모드를 제공한다. 시스템을 윈도우 7으로 업그레이드하면서도, 호환되지 않는 하드웨어나 소프트웨어를 가상 윈도우 XP 환경에서 구동할 수 있는 것.

 

여기서 발생하는 우려는 이런 완벽한 윈도우 XP 환경이 윈도우 7의 보안기능으로 제어가 되지 않는다는 점이다. 위스니스키는 “윈도우 XP 모드는 가상 머신을 보호할 수 있는 별도의 보안제품이 필요하다는 의미이기 때문에 윈도우 데스크톱 보안을 복잡하게 만든다”라고 말했다.

 

또, 위스니스키는 “윈도우가 XP 가상머신의 드라이브를 윈도우 7에 자동으로 맵핑을 시키기 때문에, 이 드라이브가 적절히 보호되어있지 않으면 맬웨어의 통로가 될 수 있다”고 지적했다.

 

한편, UAC(User Account Control)는 장점과 단점 모두에서 언급됐다. 비록 UAC가 보안 제어기능 중 하나로 인식되고 사용되고 있지만, 오히려 안전한 소프트웨어 개발 관행을 유도하는 것으로, 보안은 일종의 부가수당이라는 것이 전문가들의 의견.

 

레귤리는 윈도우 7의 UAC 정책이 완화됨에 따라, “사람들이 UAC를 더 많이 활성화 시킬 것”으로 기대했다. 보안성은 낮아졌으나, 전반적인 보안을 향상시킬 수 있을 것이라는 평가다.

 

그러나 위스니스키는 UAC가 초기에 전혀 보안기능을 하지 못했던 점을 들면서 레귤리의 의견에 반대했다. 하지만 “개발자들이 적절한 권한 분리 모델을 따르도록 하기 위해 UAC를 계속 사용할 필요가 있다. 왜냐하면 이로써 마이크로소프트가 더 안전한 윈도우를 만들 수 있기 때문이다”라고 덧붙였다. editor@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.