미디어를 수놓았던 DDOS.. Windows내 보안 기술을 되새겨보며…

Article
03/08/2011

며칠간 DDOS 공격과 관련된 글들이 미디어에 상당한 부분을 덮고 있었습니다. 꽤 많은 좀비 PC의 양산과 이를 통한 공격, 그리고 피해를 보고 있노라면, 일부는 안타까운 면이, 일부는 또다른 생각을 가지게 하던 날들이지 않았나 싶네요.

내부적인 커뮤니케이션에서 대부분의 하드 디스크 파괴 피해를 입은 PC가 Windows XP 기반의 PC라는 소식에.. 2009년 꼬알라를 화려하게 다니게 해줬던 Windows 7이 생각났었네요. 어찌보면 오늘은 제 블로그와 TechNet에 흩어져 있는 정보들을 한데 모아놓은 Windows 7 기본 보안 총정리 포스팅이 되겠네요

살짝 그려본, Windows 7의 기본적인 보안 틀입니다. Windows Vista 이후 UAC(User Account Control) 기술 채택으로 다소 컴퓨팅에 불편함을 가미한 것은 사실이지만, 본인 모르게, 본인이 의도하지 않게 어떤 작업이 일어나는 것을 미연에 방지해주며, UAC 메시지에만 주의를 기울여도 많은 악성 코드의 감염을 막을 수 있습니다. Windows Firewall의 경우에는 Windows XP 서비스팩 2이후 탑재된 기술로 외부에서의 유입을 기본적으로 차단하며, Windows Vista 이후부턴, 특정 응용 프로그램의 포트 사용에 대해서 사용자의 승인을 받도록 UAC와 연계되어져 있으며, 기업내에서는 IPSEC이나 NAP과 연동이 되도록 설계되어져 있습니다.

UAC 관련 아티클 (TechNet)

공통의 보안 영역인 UAC과 Windows 방화벽 위엔 이제 일반 사용자가 생각해 보아야 할 영역과 기업 사용자가 생각해보아야 할 영역으로 나눠지게 됩니다. 일반 사용자의 경우에는 3가지 정도에서 기본적인 보안을 살펴볼 수 있겠죠.

먼저 무엇보다 가장 많이 사용되는 브라우저에 대한 고려를 해야 합니다. 최신 버전의 브라우저는 구 버전의 브라우저보다 안정적이며, 안전합니다. 특히 Windows 7에 기본적으로 탑재된 Internet Explorer 8, 9의 향상된 보안(IE 8 향상점, IE 9 향상점)을 제공합니다. (IE 8 소개 동영상 1, 2)

자녀들의 컴퓨터 사용에 대한 무관심은 자연스럽게 악성 코드의 감염을 유발할 수 있습니다. 언론에 알려진 이번 DDOS의 공격 코드는 특정 응용 프로그램 설치에서 유발되었다고 알려져 있는 만큼, 설치나 사용에 대한 약간의 모니터링과 설정이 필요한 것은 당연합니다. Windows Live의 가족 보호 기능이 이를 도와줄 수 있겠죠. (관련 동영상)

마지막으로 꼭 필요한 것이 바로 멀웨어 프로그램(쉽게 백신)입니다. Microsoft에서는 Security Essential이라는 개인 사용자용 무료 백신을 배포하고 있습니다. 이와 더불어 Windows 7에 기본 포함되어져 있는 Windows Defender가 멀웨어에 대한 방어를 하고 있습니다.

기업 사용자의 경우에는 네트워크, 정보 자체, 응용 프로그램 보안의 기본을 Windows 7이 제공하고 있습니다.

내부 사용자가 기업의 관리되는 응용 프로그램이 아닌, 별도의 외부 프로그램을 설치하거나, 사용하는 경우에 대한 대비책으로는 AppLocker라는 기술을 제공합니다. AppLocker는 사내의 응용 프로그램의 설치에서 실제 실행까지를 화이트 리스트, 또는 블랙 리스트로의 관리를 할 수 있게 합니다.

AppLocker… 조직내 필요한 소프트웨어만을 구동… Windows 7 - Windows Server 2008 R2와 만났을 때 (4)
AppLocker와 ActiveX(OCX), 그리고 DLL - Windows 7
무엇이든 물어보세요! Windows 7… #4 - AppLocker (동영상)

Windows 7 AppLocker 기능 개요, Windows 7 및 Windows Server 2008 R2용 AppLocker 설명서 (TechNet)

Windows XP Mode의 활용도 한번쯤 생각해볼만 합니다. 내부 사용자가 개인용도로 인터넷을 사용하는 경우, 업무용 OS에는 영향을 끼치지 않도록 별도의 가상화 데스크톱을 제공하는 방안입니다. 일각에선 망분리의 용도로도 사용이 되고 있습니다.

Windows Virtual PC - Windows XP Mode for Windows 7, Windows Virtual PC (XP Mode)와 Windows 7의 데스크톱 연동
Winkey 쌤과 꼬알라의 Windows 7 만담 시리즈 15편! - Windows Virtual PC (XP Mode : XPM) (동영상)

Windows XP Mode 구성 및 사용, Windows XP Mode 설정 (TechNet)

어떠한 형태든 외부에서 악성 코드에 감염이 된 후라면, 이제 네트워크에 대한 방어를 통해 해당 PC가 활동하지 못하게 해야 합니다. 지속적인 보안 컴플라이언스 관리가 필요합니다. 기업 보안 정책 위반시 네트워크에서 격리하고, 관련 검역 작업을 자동화할 수 있는 기술이 Microsoft에서는 NAP(Network Access Protection) 입니다.

네트워크 액세스 보호(NAP)... 이제는 고민해야 할 때..., Windows Server 2008이 나오면... (3) - NAP
Windows Server 2008 NAP Step-By-Step 가이드 최종본, Virtualization(Hyper-V) & Network Access Protection에 관련된 백서...
기타 NAP 관련 태그 링크 (너무 많아서 다 올리기가..)

네트워크 액세스 보호 (TechNet)

인터넷을 통해, 아니면 분실로 인해 정보가 유출되었다면, 유출된 정보에 대한 암호화를 통해 보호가 필요합니다. EFS(암호화 파일 시스템) 은 파일 단위 PKI 암호화, BitLocker와 BitLocker To Go는 컴퓨터의 하드 디스크와 이동식 저장소에 대한 암호화를 해, 분실시 데이터 유출을 방지합니다. 게다가 ADRMS(Active Directory Right Management Service)을 이용하여 문서에 대한 IRM(Information Right Management)를 반영할 수 있습니다.

암호화 파일 시스템 (TechNet)

Winkey 쌤과 꼬알라의 Windows 7 만담 시리즈 7편! - BitLocker, BitLocker to Go (동영상)
설치시 자동 생성되는 200MB 빈 파티션의 진실은? Windows 7 BitLocker와 BitLocker To Go (Windows 7 출시 시점엔 100MB 파티션)
Windows Server 2008이 나오면... (26) - ADRMS, Windows Server 2008이 나오면... (11) - PKI, Certificate

BitLocker 드라이브 암호화 개요 (TechNet)

와! 정리해놓고 보니, 뿌듯하네요. Windows 플랫폼의 보안은 마치 양파 껍질과 같이 하나하나 더해가면서 강해져 갑니다. Windows 7/Windows Server 2008 R2에 대한 보안 가이드는 Windows 7 보안 가이드 및 보안 컴플라이언스 관리 툴킷에서 살펴보실 수 있습니다. 보안보다 더 중요한 한가지! 바로 사용자의 노력입니다. 출처가 불분명한 프로그램 설치/실행 시, 인터넷 사이트 방문시 예상치 못한 UAC 창의 등장에서 다시 한번 생각하고 예, 아니오를 선택하는 센스(!)도 필요하겠죠.

마지막 동영상은 바로 2009년 11월에 쉬프트웍스의 대표이사이신 홍민표님과 함께 보안과 관련된 이야기를 나눈 동영상으로 마쳐봅니다. 그분은 Windows 보안을 어떻게 생각하고 있을까요?

[Video]

미디어를 수놓았던 DDOS.. Windows내 보안 기술을 되새겨보며…

Additional resources