윈도우 7의 UAC, 끝없는 고민

보안성과 편의성 사이에서 교묘한 절충안을 내야 하는 것이 보안 관계자나 IT 관리자의 일상 업무입니다. 편리하게 하자니 보안이 허술해지고, 안전하게 하자니 사용이 불편해지고.

마이크로소프트에서도 제품 설계에 이런 고민을 반영한 흔적이 한 두 군데가 아닙니다만, 그 중 수많은 논란의 핵심에 있었던 것이 윈도우 비스타에서 최초 소개된 사용자 계정 컨트롤, UAC입니다. 비스타가 설치된 PC를 처음 사용하는 경우, 내 컴퓨터에서 왜 일일이 허락을 받아야 되냐는 불만이 대부분이었습니다. Wikipedia의 UAC 항목 중 Criticism 섹션에도 그런 얘기가 나와 있지요.

윈도우 7에서는 이런 점을 반영해 설계를 바꿔서 지난 1월 베타 버전 때 공개가 됐습니다. UAC를 비스타에서처럼 켜는 것도 아니고 그렇다고 완전히 끄는 것도 아닌 중간 단계를 마련했습니다.

그런데 이게 또 도마 위에 올랐습니다. 설정을 바꾸려고 할 때 화면이 어두워지면서 단지 UAC의 UI만을 제어할 수 있는 이른바 Secure Desktop을 거쳐 들어가는 것이 아니라, 위에서처럼 쉽게 설정을 바꿀 수 있다면 다른 애플리케이션(악성코드)에서 SendKeys 메서드를 사용해 UAC를 꺼 버릴 수 있으니 윈도우 7의 새로운 취약점이 된다는 얘기가 나왔습니다. 타당성이 있는 주장이었습니다.

반갑게도, 마이크로소프트의 윈도우 7 개발팀은 그런 의견에 수긍해 윈도우 7의 UAC를 다시 약간 바꾸기로 했다는 소식입니다. 다음에 나올 RC 버전에서 만나보게 될 텐데, 달라지는 점은 (1) UAC 설정을 바꾸는 위 제어판 화면은 높은 무결성(high integrity) 프로세스로 실행해 낮음이나 중간 무결성 프로세스가 보내는 요청을 막게 되며, (2) UAC 설정 변경, 즉 위 화면 자체에 들어가려면 UAC가 물어보는 확인 화면을 거쳐야 한다는 점입니다.

결론적으로 위 문제를 제기한 분의 피드백을 반영하게 되었다는 소식입니다.