2021.01.28

'윈도우 보안의 시작' MS 디펜더의 숨겨진 설정 분석

Susan Bradley | Computerworld
누군가에게 어떤 바이러스 백신 소프트웨어를 사용하는지 물어보면 자신의 제품에 대해 거의 종교적인 주장을 들을 수 있다. 실제로 바이러스 백신 선택은 운영체제에 대한 신뢰 혹은 불신에 관련된 경우가 많다. 서드파티 제품으로 컴퓨터를 보호하겠다는 윈도우 사용자도 있다. 그러나 필자와 같은 사람은 요즘은 바이러스 백신 소프트웨어 자체보다는, 바이러스 백신 공급업체가 윈도우 업데이트를 적절하게 처리하고 문제를 일으키지 않는 것이 더 중요하다고 생각한다.
 
ⓒ Getty Images Bank

이런 가운데 마이크로소프트 디펜더(Microsoft Defender)를 사용하는 이들도 여전히 많다. 디펜더는 윈도우 XP 이후로 여러 형태로 운영체제에 존재해왔다. 최근 디펜더는 자동으로 수정된 제로 데이 문제가 있었다. 그 결과 필자는 많은 사람에게 설치된 디펜더 버전을 확인하도록 당부했다. 확인하려면 시작 > 설정 > 업데이트 및 보안 > 윈도우 보안 > 보인 열기를 클릭한 후 톱니바퀴 모양의 ‘설정’ 아이콘을 찾고 ‘정보’를 선택하면 된다.

여기서 4줄의 정보를 찾을 수 있다. 첫 번째는 안티멀웨어 클라이언트 버전(Antimalware Client Version) 번호, 두 번째는 엔진 버전이다. 세 번째는 바이러스 백신 버전 번호, 마지막은 안티스파이웨어(Antispyware) 버전 번호다.

이때 디펜더의 엔진 버전, 안티바이러스 버전, 안티스파이웨어 버전이 0.0.0.0이라면 어떤 의미일까? 서드파티 바이러스 백신이 설치돼 있음을 의미하는 것일 수 있다. 서드파티 백신이 디펜더를 대신하므로 디펜더는 종료된다. 일부 사람은 사용 중인 ‘온디맨드’ 바이러스 백신 공급업체가 단지 스캔 전용 도구만 제공하고, 디펜더가 여전히 주요 바이러스 백신 도구라고 생각했지만 서드파티 스캐닝 도구가 실시간 바이러스 백신으로 표시되는 경우 시스템에서 작동하는 소프트웨어가 된다.

디펜더는 불량 파일과 다운로드만 확인하는 것이 아니다. 대부분의 사용자가 정기적으로 확인하지 않거나 알지 못하는 다양한 설정을 제공한다. 일부는 GUI에 표시된다. 다른 제품은 추가 지침과 이해를 제공하기 위해 서드파티 개발자에 의존한다. 이런 옵션 중 하나는 깃허브(GitHub) 다운로드 사이트의 컨피규어디펜더(ConfigureDefender) 도구로, 파워셸(Powershell) 또는 레지스트리를 통해 사용할 수 있는 모든 설정을 표시한다).
 
컨피규어디펜더 툴 © ConfigureDefender

컨피규어디펜더 사이트에 명시된 바와 같이, 윈도우 10의 버전이 다르면 디펜더 툴도 달라진다. 모든 윈도우 10 버전에는 리얼타임 모니터링(Real-time Monitoring), 행동 모니터링(Behavior Monitoring), 다운로드한 모든 파일과 첨부파일 검사, 보고 수준(MAPS 회원 수준), 스캐닝 중 평균 CPU 로드, 자동 샘플 제출, 사용자 동의 없이 설치된 앱 검사(PUA 보호라고 함), 기본 클라우드 보호 수준(기본값), 기본 클라우드 검사 시간제한이 포함된다.

윈도우 버전마다 새로운 기능이 추가되기도 했다. 윈도우 10 1607 버전에서는 ‘즉각적 차단’ 설정이 도입됐고, 1703 버전에서는 클라우드 보호 수준과 클라우드 검사 시간제한의 더 세분화된 계층이 추가됐다. 1709부터는 공격 표면 감소(Attack Surface Reduction, ASR), 클라우드 보호 수준(윈도우 프로와 엔터프라이즈의 확장 수준 포함), 제어된 폴더 액세스와 네트워크 보호가 지원됐다.

도구를 스크롤하다 보면 마이크로소프트의 공격 표면 감소 규칙에 대한 제어를 다루는 섹션이 표시된다. 기본적으로 많은 기능이 비활성화 돼 있으며, 마이크로소프트 디펜더에서 가장 간과되는 설정에 속한다. 네트워크 전체에 대한 모니터링을 완전히 표시하려면 엔터프라이즈 라이선스가 필요하지만, 독립 실행형 컴퓨터와 소규모 기업도 이러한 설정과 보호 기능을 활용할 수 있다. 최근 문서인 마이크로소프트 디펜더 공격 표면 감소 권장 사항에서 명시했듯 대부분의 환경에서 보안을 개선하는 몇 가지 설정이 있다. 활성화할 권장 설정은 다음과 같다
 
  • USB에서 실행되는 신뢰할 수 없거나 서명되지 않은 프로세스를 차단한다.
  • 어도비 리더(Adobe Reader)가 하위 프로세스를 생성하지 못하도록 차단한다.
  • 이메일 클라이언트와 웹메일에서 실행 가능한 콘텐츠를 차단한다.
  • 자바스크립트 또는 VB스크립트(VBScript)가 다운로드된 실행 가능 콘텐츠를 시작하지 못하도록 차단한다.
  • 윈도우 로컬 보안 기관 하위 시스템(lsass.exe)에서 자격증명 도용을 차단한다.
  • 오피스 애플리케이션이 실행 가능한 콘텐츠를 생성하지 못하도록 차단한다.

이들 설정을 ‘활성화하면’, 즉 작업을 차단해도 일반적으로 독립 실행형 컴퓨터에서도 영향이 거의 없다. 툴을 사용해 값을 설정하고 시스템에 미치는 영향을 검토할 수 있다. 아마 이러한 설정이 보호를 강화하고 있다는 사실조차 깨닫지 못할 것이다. 다음으로, 비즈니스 또는 컴퓨팅 요구사항을 훼손하지 않도록 환경에 맞게 검토해야 하는 설정이 있는데, 다음과 같다.
 
  • 오피스 애플리케이션이 다른 프로세스에 코드를 주입하지 못하도록 차단한다.
  • 오피스 매크로에서 Win32API 호출을 차단한다.
  • 모든 오피스 애플리케이션이 하위 프로세스를 만들지 못하도록 차단한다.
  • 잠재적으로 난독화된 스크립트 실행을 차단한다.

특히 아웃룩과 팀즈가 포함된 환경에서는 “모든 오피스 애플리케이션에서 하위 프로세서 작성 차단’ 설정이 켜져 있으면 많은 이벤트가 등록된다. 다시 말하지만, 이들 설정을 활성화한 후 실제 영향을 받는지 확인해야 한다. 주의해야 할 설정은 다음과 같다.
 
  • 실행 파일이 보급률 또는 배포 연차, 신뢰할 수 있는 목록 기준을 충족하지 않는 한 실행되지 않도록 차단한다.
  • 랜섬웨어에 대한 고급 보호 기능을 사용한다.
  • PSExec과 WMI 명령에서 발생하는 프로세스 생성을 차단한다.
  • 모든 오피스 통신 애플리케이션이 하위 프로세스를 만들지 못하도록 차단한다.

이러한 설정을 검토해 LOB(Line of Business) 앱과 비즈니스 프로세스를 방해하지 않는지 확인해야 한다. 예를 들어, ‘랜섬웨어에 대한 고급 보호 기능 사용’은 모두가 원하는 설정처럼 들리지만, 팀이 내부용 소프트웨어를 개발한 기업에서는 개발자 워크플로우에 문제가 발생했다(이 설정은 특히 시스템에 들어오는 실행 파일을 검사해 신뢰할 수 있는지 확인한다. 파일이 랜섬웨어와 유사한 경우 이 보안 규칙이 실행을 차단한다).

권장 사항에 따르면, ‘PSExec과 WMI 명령에서 발생하는 프로세스 생성을 차단’ 설정은 특히 문제가 많았다. 감사 로그에 많은 이벤트가 발생할 뿐만 아니라, 구성 관리자 클라이언트가 제대로 작동하려면 WMI 명령이 필요하므로 마이크로소프트 엔드포인트 구성 매니저(Microsoft Endpoint Configuration Manager)와 호환되지 않는다.

마이크로소프트 디펜더에서 추가 설정을 찾지 못한 경우, 깃허브에서 zip 파일을 다운로드하고 압축을 푼 다음 ConfigureDefender.exe를 실행해 이러한 설정이 컴퓨팅에 미치는 영향을 확인한다. 컴퓨팅 경험에 영향을 주지 않으면서 보호 기능을 더 추가할 수 있다는 사실에 놀랄 것이다. editor@itworld.co.kr
 


2021.01.28

'윈도우 보안의 시작' MS 디펜더의 숨겨진 설정 분석

Susan Bradley | Computerworld
누군가에게 어떤 바이러스 백신 소프트웨어를 사용하는지 물어보면 자신의 제품에 대해 거의 종교적인 주장을 들을 수 있다. 실제로 바이러스 백신 선택은 운영체제에 대한 신뢰 혹은 불신에 관련된 경우가 많다. 서드파티 제품으로 컴퓨터를 보호하겠다는 윈도우 사용자도 있다. 그러나 필자와 같은 사람은 요즘은 바이러스 백신 소프트웨어 자체보다는, 바이러스 백신 공급업체가 윈도우 업데이트를 적절하게 처리하고 문제를 일으키지 않는 것이 더 중요하다고 생각한다.
 
ⓒ Getty Images Bank

이런 가운데 마이크로소프트 디펜더(Microsoft Defender)를 사용하는 이들도 여전히 많다. 디펜더는 윈도우 XP 이후로 여러 형태로 운영체제에 존재해왔다. 최근 디펜더는 자동으로 수정된 제로 데이 문제가 있었다. 그 결과 필자는 많은 사람에게 설치된 디펜더 버전을 확인하도록 당부했다. 확인하려면 시작 > 설정 > 업데이트 및 보안 > 윈도우 보안 > 보인 열기를 클릭한 후 톱니바퀴 모양의 ‘설정’ 아이콘을 찾고 ‘정보’를 선택하면 된다.

여기서 4줄의 정보를 찾을 수 있다. 첫 번째는 안티멀웨어 클라이언트 버전(Antimalware Client Version) 번호, 두 번째는 엔진 버전이다. 세 번째는 바이러스 백신 버전 번호, 마지막은 안티스파이웨어(Antispyware) 버전 번호다.

이때 디펜더의 엔진 버전, 안티바이러스 버전, 안티스파이웨어 버전이 0.0.0.0이라면 어떤 의미일까? 서드파티 바이러스 백신이 설치돼 있음을 의미하는 것일 수 있다. 서드파티 백신이 디펜더를 대신하므로 디펜더는 종료된다. 일부 사람은 사용 중인 ‘온디맨드’ 바이러스 백신 공급업체가 단지 스캔 전용 도구만 제공하고, 디펜더가 여전히 주요 바이러스 백신 도구라고 생각했지만 서드파티 스캐닝 도구가 실시간 바이러스 백신으로 표시되는 경우 시스템에서 작동하는 소프트웨어가 된다.

디펜더는 불량 파일과 다운로드만 확인하는 것이 아니다. 대부분의 사용자가 정기적으로 확인하지 않거나 알지 못하는 다양한 설정을 제공한다. 일부는 GUI에 표시된다. 다른 제품은 추가 지침과 이해를 제공하기 위해 서드파티 개발자에 의존한다. 이런 옵션 중 하나는 깃허브(GitHub) 다운로드 사이트의 컨피규어디펜더(ConfigureDefender) 도구로, 파워셸(Powershell) 또는 레지스트리를 통해 사용할 수 있는 모든 설정을 표시한다).
 
컨피규어디펜더 툴 © ConfigureDefender

컨피규어디펜더 사이트에 명시된 바와 같이, 윈도우 10의 버전이 다르면 디펜더 툴도 달라진다. 모든 윈도우 10 버전에는 리얼타임 모니터링(Real-time Monitoring), 행동 모니터링(Behavior Monitoring), 다운로드한 모든 파일과 첨부파일 검사, 보고 수준(MAPS 회원 수준), 스캐닝 중 평균 CPU 로드, 자동 샘플 제출, 사용자 동의 없이 설치된 앱 검사(PUA 보호라고 함), 기본 클라우드 보호 수준(기본값), 기본 클라우드 검사 시간제한이 포함된다.

윈도우 버전마다 새로운 기능이 추가되기도 했다. 윈도우 10 1607 버전에서는 ‘즉각적 차단’ 설정이 도입됐고, 1703 버전에서는 클라우드 보호 수준과 클라우드 검사 시간제한의 더 세분화된 계층이 추가됐다. 1709부터는 공격 표면 감소(Attack Surface Reduction, ASR), 클라우드 보호 수준(윈도우 프로와 엔터프라이즈의 확장 수준 포함), 제어된 폴더 액세스와 네트워크 보호가 지원됐다.

도구를 스크롤하다 보면 마이크로소프트의 공격 표면 감소 규칙에 대한 제어를 다루는 섹션이 표시된다. 기본적으로 많은 기능이 비활성화 돼 있으며, 마이크로소프트 디펜더에서 가장 간과되는 설정에 속한다. 네트워크 전체에 대한 모니터링을 완전히 표시하려면 엔터프라이즈 라이선스가 필요하지만, 독립 실행형 컴퓨터와 소규모 기업도 이러한 설정과 보호 기능을 활용할 수 있다. 최근 문서인 마이크로소프트 디펜더 공격 표면 감소 권장 사항에서 명시했듯 대부분의 환경에서 보안을 개선하는 몇 가지 설정이 있다. 활성화할 권장 설정은 다음과 같다
 
  • USB에서 실행되는 신뢰할 수 없거나 서명되지 않은 프로세스를 차단한다.
  • 어도비 리더(Adobe Reader)가 하위 프로세스를 생성하지 못하도록 차단한다.
  • 이메일 클라이언트와 웹메일에서 실행 가능한 콘텐츠를 차단한다.
  • 자바스크립트 또는 VB스크립트(VBScript)가 다운로드된 실행 가능 콘텐츠를 시작하지 못하도록 차단한다.
  • 윈도우 로컬 보안 기관 하위 시스템(lsass.exe)에서 자격증명 도용을 차단한다.
  • 오피스 애플리케이션이 실행 가능한 콘텐츠를 생성하지 못하도록 차단한다.

이들 설정을 ‘활성화하면’, 즉 작업을 차단해도 일반적으로 독립 실행형 컴퓨터에서도 영향이 거의 없다. 툴을 사용해 값을 설정하고 시스템에 미치는 영향을 검토할 수 있다. 아마 이러한 설정이 보호를 강화하고 있다는 사실조차 깨닫지 못할 것이다. 다음으로, 비즈니스 또는 컴퓨팅 요구사항을 훼손하지 않도록 환경에 맞게 검토해야 하는 설정이 있는데, 다음과 같다.
 
  • 오피스 애플리케이션이 다른 프로세스에 코드를 주입하지 못하도록 차단한다.
  • 오피스 매크로에서 Win32API 호출을 차단한다.
  • 모든 오피스 애플리케이션이 하위 프로세스를 만들지 못하도록 차단한다.
  • 잠재적으로 난독화된 스크립트 실행을 차단한다.

특히 아웃룩과 팀즈가 포함된 환경에서는 “모든 오피스 애플리케이션에서 하위 프로세서 작성 차단’ 설정이 켜져 있으면 많은 이벤트가 등록된다. 다시 말하지만, 이들 설정을 활성화한 후 실제 영향을 받는지 확인해야 한다. 주의해야 할 설정은 다음과 같다.
 
  • 실행 파일이 보급률 또는 배포 연차, 신뢰할 수 있는 목록 기준을 충족하지 않는 한 실행되지 않도록 차단한다.
  • 랜섬웨어에 대한 고급 보호 기능을 사용한다.
  • PSExec과 WMI 명령에서 발생하는 프로세스 생성을 차단한다.
  • 모든 오피스 통신 애플리케이션이 하위 프로세스를 만들지 못하도록 차단한다.

이러한 설정을 검토해 LOB(Line of Business) 앱과 비즈니스 프로세스를 방해하지 않는지 확인해야 한다. 예를 들어, ‘랜섬웨어에 대한 고급 보호 기능 사용’은 모두가 원하는 설정처럼 들리지만, 팀이 내부용 소프트웨어를 개발한 기업에서는 개발자 워크플로우에 문제가 발생했다(이 설정은 특히 시스템에 들어오는 실행 파일을 검사해 신뢰할 수 있는지 확인한다. 파일이 랜섬웨어와 유사한 경우 이 보안 규칙이 실행을 차단한다).

권장 사항에 따르면, ‘PSExec과 WMI 명령에서 발생하는 프로세스 생성을 차단’ 설정은 특히 문제가 많았다. 감사 로그에 많은 이벤트가 발생할 뿐만 아니라, 구성 관리자 클라이언트가 제대로 작동하려면 WMI 명령이 필요하므로 마이크로소프트 엔드포인트 구성 매니저(Microsoft Endpoint Configuration Manager)와 호환되지 않는다.

마이크로소프트 디펜더에서 추가 설정을 찾지 못한 경우, 깃허브에서 zip 파일을 다운로드하고 압축을 푼 다음 ConfigureDefender.exe를 실행해 이러한 설정이 컴퓨팅에 미치는 영향을 확인한다. 컴퓨팅 경험에 영향을 주지 않으면서 보호 기능을 더 추가할 수 있다는 사실에 놀랄 것이다. editor@itworld.co.kr
 


X