우리가 몰랐던 윈도10의 세 가지 강력한 보안 기능

[IT동아 강일용 기자] 탁 터놓고 말하자. 우리에게 윈도는 불안한 운영체제였다. 제아무리 마이크로소프트(MS)가 "윈도는 안전한 운영체제입니다"고 강조해도, 틈만 나면 보안 사고가 발생해 우리를 불안하게 했다.

윈도10은 다를 모양이다. MS는 지난 4일 미국 시카고에서 IT전문가를 위한 개발자 컨퍼런스 '이그나이트2015'를 개최하고 윈도10의 보안 기능이 얼마나 강력해졌는지 공개했다.

사용자 중심의 보안 '윈도 헬로'

기업에게 보안은 필수불가결한 것이다. MS의 자체 조사결과에 따르면 보안 위협은 하루에 30만 개씩 생겨난다. 이 가운데 기업 운영에 치명적인 영향을 미칠 수 있는 위협이 섞여 있다.

하지만 기업 구성원(사용자)에게 보안이란 불편하고 거추장스러운 것이다. 모 벤쳐기업의 사례를 들어보자. 10년전 그 회사는 모든 구성원에게 비밀번호를 바꾸라고 공지했다. 새 비밀번호는 영어 대문자, 소문자, 숫자, 특수기호를 혼합해 매우 복잡하게 만들어야 했다. 그러자 대부분의 직원이 모니터 옆에 비밀번호를 적어놓은 메모를 붙여놓는 사태가 벌어졌다. 보안을 강화하려고 비밀번호를 바꾸라고 한 것인데, 이 지시가 오히려 보안을 취약하게 한 것이다. 결국 모니터 옆에 붙여놓은 메모를 모두 떼어내라는 공지도 내려왔다. 이를 실행하자 IT 지원팀에 비밀번호 변경에 관한 문의가 쇄도했다.

윈도10은 다르다. 수많은 보안 기술을 탑재했지만, 사용자를 불편하게 하는 것은 없다. MS는 사용자가 불편하게 여기지 않으면서 보안성이 뛰어난 보안 방식을 개발하기 위해 심혈을 기울였다. 그 결과 '윈도 헬로(Windows Hello)' 같은 사용자 중심의 보안 방식을 개발할 수 있었다.

윈도 헬로는 사용자의 얼굴, 동공, 지문 등을 인식해 등록된 사용자가 아니면 PC, 스마트폰, 태블릿PC를 사용할 수 없게 하는 생체인식 보안 기술이다. 기존 얼굴인식 보안 기술보다 두 가지 면에서 뛰어나다. 일단 살아있는지 여부를 파악할 수 있다. 기존 얼굴인식 보안 기술은 형태를 분석해 사용자를 감지하기 때문에 사진을 이용해 보안을 뚫을 수 있다는 맹점이 존재했다. 윈도 헬로는 다르다. 열감지 카메라를 통해 사진이 아니라 실제 살아있는 당사지 인지 파악할 수 있다. 사진을 들이밀면 거부한다. 키넥트(MS의 동작인식 카메라) 팀이 개발한 기술인 만큼 움직임도 인식할 수 있다. 사용자의 얼굴 형태뿐만 아니라 특정 동작도 패스워드로 지정할 수 있다는 뜻이다.

윈도10 사용자는 복잡한 패스워드를 외우지 않아도 된다. PC, 스마트폰, 태블릿PC 앞에서 윙크를 하거나 손을 쥐었다 펴는 것만으로 사용자 인증을 할 수 있다. 사용자 본인 외에는 그 누구도 풀 수 없지만, 사용자 본인에겐 간편하기 그지 없는 보안 방식이다. 윈도 헬로의 오인증확률(인증된 사용자가 아닌데 인증을 허락할 확률)은 0.001%이고, 오작동확률(인증된 사용자인데 인증을 거부할 확률)은 2~4%다. 오작동확률이 조금 높은 것은 보안에 만전을 기하기 위함으로 풀이된다.

가상화로 악성 코드 원천 차단

윈도10은 MS가 만든 운영체제 가운데 가장 안전하다. VSM(가상 보안 모드), 디바이스 가드, 윈도 디펜더 등 새로운 보안 기술을 투입해 악성코드 유입과 실행을 방지하기 때문이다.

VSM은 사용자의 계정과 암호를 관리하는 윈도 핵심영역을 가상화(VM)해 따로 분리해놓는 기술이다. 윈도를 프로그램 실행을 위한 '일반 윈도'와 보안을 위한 '인증용 윈도'로 나눠 관리한다고 이해하면 된다. 일반 윈도가 악성코드에 감염되더라도 인증용 윈도에 접근할 수 없기 때문에 사용자의 계정과 암호 유출을 방지할 수 있다. 인증용 윈도는 매우 가볍다. 기기의 퍼포먼스에 거의 영향을 주지 않는다. VSM을 활용하려면 프로세서가 가상화 기능을 지원해야 한다. 인텔 코어 i3 프로세서부터 가상화를 지원하니 많은 사용자와 기업이 VSM의 혜택을 받을 수 있을 전망이다.

디바이스 가드는 윈도10 기기(하드웨어)에 탑재된 보안 기술이다. 기기가 앱을 분석해 앱이 정상적이지 않거나, 악성코드에 감염됐다고 판단되면 실행 자체를 막는다. 하드웨어를 위변조가 거의 불가능한 점을 감안하면 SW만을 활용해 악성코드의 침입을 막는 것보다 한층 발전된 방식이다. 가짜 앱이 진짜 앱으로 둔갑하는 것(피싱)을 원천 차단할 수 있을 것으로 기대된다. MS는 레노버, HP, 에이서, 도시바, 후지쯔 등 주요 PC 및 노트북 제작사와 협력해 디바이스 가드를 보급할 계획이다.

윈도 디펜더(MS 시큐리티 이센셜) 역시 한층 강화된다. 일단 악성코드를 감치/차단/치료하는 능력이 대폭 강화된다. 윈도 디펜더를 끄는 것도 매우 어려워진다. 이는 사용자 뿐만 아니라 타프로그램에도 고스란히 적용된다. 인증된 백신 프로그램 외에는 윈도 디펜더를 중단시킬 수 없다는 뜻. 다시 말해 가짜 백신의 유입을 차단할 수 있다는 것이다. 또한 다른 백신 프로그램의 엔진이 3일 이상 업데이트되지 않으면 윈도 디펜더가 자동 실행된다. 이를 통해 윈도10을 언제나 안전한 상태로 관리할 수 있다.

MDM 추가로 기업 보안 강화

윈도10에는 윈도 인튠 기반 MDM(모바일 기기 관리) 기술이 대거 탑재된다. 보안 담당자는 감사 기능을 통해 파일 저장, 변경, 유출 등 기업 구성원의 행동을 모두 추적할 수 있다. 윈도10에는 기업 구성원의 암호가 유출된 것으로 의심스러울 때 보안 담당자에게 경고해주는 기능과 구성원이 기업 인트라넷에서 자신의 영역 외 다른 부분에 마구 접속하는 것으로 파악되면 이를 보안 담당자에게 통보해주는 기능도 탑재되어 있다. MS가 작년 인수한 이스라엘의 보안관련 스타트업 '아오라토(Aorato)'의 기술이다.

파일 자동 암호화 기능도 제공한다. 파일을 저장하는 순간 바로 암호화돼 권한있는 사용자만이 파일을 열어볼 수 있게 된다. 암호화된 파일을 누가 언제 열었고, 열지 못했는지, 복사했는지 등을 추적할 수도 있다. 또한 원격으로 신호를 보내 문서 속 내용을 모두 삭제하고 파일을 파기하는 것도 가능하다(복제된 파일 포함).

사실 이러한 보안 기능은 지금도 얼마든지 구현할 수 있다. 하지만 이러한 보안 기능을 구현하기 위해 기업은 굉장히 많은 보안 솔루션을 설치해야 했다. 때문에 비용 부담이 늘어나고, 보안 솔루션끼리 충돌하는 문제에 부딪칠 수 밖에 없었다. 윈도10은 MDM 기능을 기본 탑재함으로써 기업 보안을 강화하고 기업의 부담을 한층 낮출 수 있을 것으로 기대된다.

한국MS 개발전도사 백승주 부장은 "하나의 기기로 업무와 개인적인 용무를 모두 처리할 수 있게 하는 것이 윈도10의 목표"라며, "윈도10의 보안 기능은 둘의 양립을 돕기 위해 더욱 강력해졌다"고 설명했다.

글 / IT동아 강일용(zero@itdonga.com)