윈도우 생태계의 현실과 실제 사용자의 현실 간에는 상당한 간극이 있는 것처럼 보인다. 사용자에게 필요한 것은 지금 현재의 보안이기 때문이다.
악성코드는 보통 피싱이나 가짜 링크를 통해 시스템에 침투한다. 사실 마이크로소프트는 이미 시스템에 탑재되어 있지만 활성화되어 있지 않은 보안 솔루션을 권장하는 것만으로도 사용자에게 훨씬 나은 보안을 제공할 수 있다. 이런 설정의 일부는 추가 라이선스도 필요없다.
물론 많은 보안 기능이 마이크로소프트 365 E5 라이선스에 가로막혀 있다. E5 라이선스 하나를 구매해 향상된 보안 기능을 이용하는 것이 어려운 일은 아니지만, 마이크로소프트가 보안을 기본 탑재된 기능이 아니라 운영체제의 추가 프로그램으로 만들고 있다는 우려를 지울 수 없다. 필자는 마이크로소프트의 SD3+C(Secure by Design, Secure by Default, Secure in Deployment and Communication) 전략을 기억한다. 하지만 지금은 이미 윈도우에 있는 보안이 아니라 E5 라이선스가 제공하는 보안 솔루션을 강조하고 있다.
라이선스 없이 이용할 수 있는 설정은 마이크로소프트 디펜더의 공격 표면 감소(Attack Surface Reduction, ASR) 규칙에 포함되어 있거나 디펜더의 특정 설명에 파묻혀 있다. 사용자가 이용할 수 있는 옵션 중 하나는 컨피켜 디펜더(Configure Defender)같은 서드파티 깃허브 툴을 사용하는 것이다. 깃허브에서 압축 파일을 다운로드해 압축을 풀고, ConfigureDefender.exe를 실행하면 된다. 이 툴을 이용해 시스템에 부담을 주지 않고 보호 수준을 높일 수 있는 설정은 다음과 같다.
- USB에서 실행되는 신뢰할 수 없고 서명이 없는 프로세스 차단
- 어도비 리더의 하위 프로세스 생성 차단
- 이메일 클라이언트나 웹메일의 실행 가능한 콘텐츠 차단
- 다운로드한 실행 가능 콘텐츠에서의 자바스크립트나 비주얼베이직 스크립트 실행 차단
- WMI 이벤트 구독을 통한 일관성 차단
- 윈도우 로컬 보안 인증 하위 시스템으로부터의 크리덴셜 절취 차단
- 오피스 애플리케이션의 실행 가능한 콘텐츠 생성 차단
컨피겨 디펜더를 다운로드해 이들 설정을 활성화해 보기 바란다. 일상적인 PC 운영에 아무런 영향이 없다는 것을 알 수 있다. 그렇다면, 마이크로소프트는 왜 윈도우 11에 이런 ASR 규칙을 위한 더 나은 인터페이스를 만들지 않는 것일까? 왜 여전히 혼란스러운 제어판 구석에 파묻혀 있어 IT 관리자가 그룹 정책이나 도메인으로 관리해야만 하는 것일까?
기업 사용자에게 공격자가 네트워크에 침입했는지 끊임없이 확인하는 것은 불안한 일이다. 얼마 전에도 뉴욕 연방검찰청 4곳의 직원들이 사용하는 마이크로소프트 이메일 계정의 80%가 유출됐다는 보도가 나왔다. 미 사법부는 해킹 캠페인 기간 동안 연방검찰청 27곳에서 최소한 하나 이상의 직원 이메일이 침해되었다고 밝혔다.
해커가 오피스 365 메일함에 액세스할 수 있다면, 공격자가 실제로 내용에 액세스했는지, 어떤 정보에 액세스했는지가 중요하다. 하지만 이런 정보는 E5 라이선스에 막혀 있다. 따라서 공격자가 획득한 정보가 정확하게 무엇인지는 MailItemsAccessed를 포함한 고급 감사 기능을 구매하지 않는 이상은 알 수 없다. 사용자는 1회에 한해 E5 트라이얼 버전을 활성화해 6개월치의 마이크로소프트 클라우드 애플리케이션 보안(Microsoft Cloud application security, MCAS) 로그에 액세스할 수 있다. 하지만 MCSA를 활성화해도 오피스 365용 감사 로그를 수작업으로 활성화하지 않으면 공격 시점으로 되돌아갈 수 있는 로그 파일은 볼 수 없다.
애저 액티브 디렉토리도 마찬가지다. 무료 버전에서는 단 1주일치의 로그인 및 감사 로그를 볼 수 있다. 과거에는 애저 AAD P1/P2, EMS E5 라이선스를 구매하는 즉시 30일치의 로그를 볼 수 있었다. 하지만 지금은 이들 라이선스를 활성화해도 과거의 로그 파일에는 액세스할 수 없다.
기본 오피스 365에서는 7일 이상의 감사용 로그로 사용할 수 있는 것은 보안 및 컴플라이언스 센터(Security and Compliance Center, SCC) 파일뿐이다. SCC의 일반적인 로그 보존 기간은 90일이며, E5 라이선스가 컴플라이언스 애드온을 구매하면 1년까지 늘릴 수 있다. 새로운 정부 기관용 버전은 보존 기간이 10년이다. 참고로, 파워셸 전문가라면 약간의 스크립트 작업으로 추가 정보를 얻을 수 있다.
이것으로 마이크로소프트가 컴플라이언스 로그를 제품에 포함된 기본 정보로 취급하는 것이 아니라 추가 구매가 필요한 보안 기능으로 보고 있다는 것을 알 수 있다. 필자는 클라우드 제품이라면, 보안은 추가 라이선스를 요구해서는 안된다.
모든 사용자, 특히 기업 사용자에게 보안은 기본값이어야 한다. 과연 마이크로소프트는 자사 고객을 충분히 안전하게 지키고 있다고 할 수 있는가? editor@itworld.co.kr