사용자 계정 컨트롤(UAC)에 대한 많은 고민.. 그리고 결과… Windows 7

  • Article

Windows7_h_rgb

Windows 7 Beta 출시 이후, 전세계적으로 매우 많은 분들께서 Windows 7 Beta를 다운로드받아서 설치하시고, 각종 피드백을 Microsoft로 전달해 주시고 있습니다. 사용자적인 입장에서 살펴보았을 때는, 매우 긍정적인 방향으로 보이며, 실제 Windows를 사용하시는 분들의 의견을 적극 반영하는 것이 더 나은 컴퓨팅 환경을 마련하는데에는 당연히 좋겠죠.

얼마전 외신과 더불어 국내의 몇몇 블로거분들의 사이트, 대표적으론 웹초보님의 블로그에도 올라왔었던 UAC에 대한 보안 걱정 포스팅이 있었습니다.

image

Windows Vista에서는 UAC가 On 또는 Off라는 두가지 설정만 가능했지만, Windows 7에서는 두가지 모드가 더 추가되어, 사용자분들에게 보안과 편의성 사이의 고민에 몇가지 유연성을 추가해드렸습니다. 꼬알라가 포스팅하였던 Windows 7의 UAC 포스팅을 살펴보시면 전체적인 이야기를 보실 수 있을 것입니다만, 간단히 정리해드리면, 사용자가 직접 Windows에 대한 설정을 변경헀을 경우엔, 별도의 UAC 확인을 받지 않고, 처리를 해주어, 편의성을 가미한 것이죠. 이러한 편의성은 UAC에 대한 많은 Windows 사용자분들의 피드백에 근간하여, 결정한 사항이라고 합니다.

이러한 UAC의 추가된 2가지 사항, 사용자가 직접 Windows 설정을 변경할 때 UAC 확인을 통과(기본값), 그리고 보안 데스크톱을 거치지않고, 일반 데스크톱에서 처리되게 하는 UAC 레벨(밑에서 2번째 레벨)이 Windows 7 Beta 출시 이후, 보안에 대한 걱정 사항으로 외국의 블로거, Rafael Rivera, Long Zheng에 의해서 포스팅되었고, 이를 시연하는 코드까지 첨부되었습니다.

해당 코드는 스크립트내 SendKey 메소드를 이용하여, UAC의 설정을 변경할 수 있는 간단한 스크립트였는데요. 기술적인 이유는 간단합니다. Windows 7내 UAC는 Windows 내부 응용 프로그램과 서드 파티의 외부 응용 프로그램에 대한 차이점 파악을 응용 프로그램을 서명해놓은 인증서를 가지고 하고 있습니다. Microsoft 인증서로 서명된 응용 프로그램을 사용할 때, 이를 Windows내 신뢰하는 프로그램을 처리한다는 의미입니다. 그러나, Windows 응용 프로그램을 이용하여, 실행되는 외부 코드에 대해서는 상속적으로 신뢰하여 처리하게 된다는 것이죠. 이러한 기술적인 사항이 이번의 UAC 토론을 낳게 되었습니다. 이러한 토론이 시작된 이후, Windows 7이 Windows Vista보다 더 보안상 약할 수 있다라고 걱정하시는 외신 기사도 보았습니다.

Microsoft에서 가장 중요하게 생각하는 개발 사상중에 하나는 바로 보안입니다. 이번 발표(미국 시간 지난 2월 5일)를 포스팅한 Engineering Windows 7 블로그에서 살펴보아도 Windows 7 개발팀은 기존 Windows Vista보다 더욱 안전한 운영 체제를 만들기 위해서 노력하고 있다는 것입니다.

image

그리고 무엇보다 중요한 사항은 사용자분들의 피드백입니다. 이에 Windows 7 개발팀에서는 최근 UAC에 대한 몇가지 변경 사항을 발표하였고, 이는 Release Candidate에서 보실 수 있을 것입니다.

image 

UAC 제어판은 이제 두가지 사항이 변경될 것이고, 이미 내부적으로는 변경이 완료된 것으로 알고 있습니다. 첫째, UAC 제어판은 높은 무결성(High Integrity) 레벨에서 동작하므로, 일반적인 응용 프로그램이 가지는 Medium, 그리고 인터넷에서 다운로드 받은 파일이 가지게 되는 Low 레벨에 의해서 제어될 수 없습니다. 둘째, UAC의 설정을 변경할 때는 항상 UAC 확인을 받아야 한다는 것입니다.

기술적인 사항보다 더 박수치고 싶은 것은 바로 사용자분들의 의견을 수렴했다는 것입니다. Windows 7뿐만 아니라, 근 2년이내 많은 제품, 기술군에 대해 Microsoft는 사용자분들의 의견을 적극 수렴하고 있고, 좋은 의견이나 기술에 대한 걱정을 어떻게 제품에서 잘 처리할 수 있을 것인가를 고민하고 있다는 좋은 예라고 볼 수 있습니다. 짝짝짝~~!