본문 바로가기
memo 세미나

공공기관이 윈도8을 눈여겨봐야 하는 5가지 이유

by [김경민]™ ┌(  ̄∇ ̄)┘™ 2013. 4. 27.
728x90

출처 : http://www.ciobiz.co.kr/news/special/analysis/2658926_1807.html

공공기관이 윈도8을 눈여겨봐야 하는 5가지 이유

2012년 10월 10일 (수) 21:09:28 박현선기자 <hspark@etnews.com>
역대 운용체계(OS) 중 가장 많은 변화가 있다는 윈도8이 출시를 앞두고 있다. DOS에서 윈도3.0으로 업그레이드되었을 때와 같은 대변혁이 일어날 것이라는 게 MS와 업계의 기대다. 윈도8은 기존 데스크톱에서의 단축키들을 태블릿PC의 핸드 제스추어로 대체하는 등 인터페이스를 변화시켰으며 다각도로 보안을 강화했다.

무엇보다 윈도8은 통합OS로서 MS의 비전을 보여준다. 데스트톱, 노트북, 태블릿PC 등 단말기의 종류에 상관없이 동일한 PC 환경을 사용할 수 있도록 해주거나 해외 등 물리적 위치에 상관없이 어디에서나 내 PC 환경을 그대로 사용할 수 있도록 해준다는 점에서다. 미 공공IT 전문지인 GCN은 공공기관이 주목해야 하는 윈도8의 혜택을 5가지로 손꼽았다. 그 중 4개가 보안과 관련되어 있다. 다음에 요약 소개한다.

1. BIOS 시대 종료=윈도8은 유용성과 새로운 인터페이스를 자랑한다. 그러나 윈도8의 가장 큰 변화는 보안이다. 보안이 공공기관의 걱정 1순위라는 점을 감안하면 이같은 변화는 긍정적이다. 윈도8 기반 시스템들이 이전 버전보다 보안을 강화할 수 있는 것은 두 가지 핵심적인 새로운 기능 때문이다. 우선 첫 번째는 시스템 BIOS를 없앤 것이다.

BIOS는 1976년 발명되어 지금도 많은 하드웨어와 대부분의 OS 사이에서 가교 역할을 하고 있다. 부팅 과정 중에 기능 키를 누르고 BIOS 내로 들어가는데, 이 BIOS는 루트 키트, 말웨어, 바이러스 공격의 주 타깃이 되며 컴퓨팅 영역의 취약점이 되기도 하다.

윈도8은 BIOS를 유지하지만 UEFI(Unified Extensible Firmware Interface)로 안전하게 기능하도록 설계되었다. UEFI는 윈도8 이후 BIOS를 곧 대체해나갈 것으로 보인다.

UEFI에서 가장 강력한 보안 기능은 윈도8이 마스터 부트레코드에 도달, 초기 상태에서 안전을 확인하는 이른바 ‘시큐어 부트’라고 부르는 프로세스다. 어떤 루트 키트나 말웨어가 무언가를 변화시키려 하거나 윈도8과 UEFI 사이의 연계가 침해되면 UEFI는 시스템 부팅을 허용하지 않는다.

이 때문에 윈도8용으로 설계된 하드웨어들은 리눅스 등 다른 OS를 운영할 수 없다는 불만도 제기된다. 윈도8 OS와 UEFI와의 연계가 침해되면 시스템 부팅이 불가능하기 때문에 이러한 불만은 사실이다. 그러나 MS는 리눅스 기업들이 자사의 OS를 윈도8과 동일한 방식으로 기능할 수 있도록 등록(레지스터)하는 것을 허용하고 있다. 이를 통해 부트 레벨 말웨어로부터 시스템을 보호할 수 있으며 레드햇 리눅스는 이미 이를 완료했다.

2. 말웨어 없는 부팅=윈도8의 두 번째 중요한 보안 업그레이드는 트러스티드 부트(Trusted Boot)다. 이는 중요한 파일을 실수로 삭제하지 않도록 하는 기능으로 윈도7에서 이미 제공했으며 윈도8에서는 이 기능이 시스템 파일에 대해서도 적용되도록 수정했다.

윈도7에서 노트패드 프로그램을 삭제했다면 몇 분 후 바로 복구된다. 시스템이 노트패드를 중요 프로그램으로 인식하고 사본을 OS의 안전 영역에 저장해두었기 때문이다. 시스템이 프로그램 파일 삭제를 인지하는 순간 사본을 불러오는 것이다. 윈도8에서는 부트 프로세스에 필요한 시스템 파일들과 주요 .DLL 파일들에 대해 이를 적용할 수 있도록 수정했다.

트러스티드 부트 프로세스는 부트 단계에서 로드되는 모든 파일들을 스캔한다. 스캔 중에 말웨어 등에 의해 수정되었거나 대체된 파일이 확인되면 윈도8은 안전 영역에서 해당 파일을 복사해와 안전하게 부팅을 완료한다.

트러스티드 부트와 시큐어 부트는 새로운 하드웨어를 요구하지만 새 OS로 업그레이드된 기존 하드웨어에서도 사용할 수 있는 몇 가지 보안 기능이 있다. 가장 인상적인 기능이 안티바이러스 소프트웨어의 빠른 로딩으로, 악성코드 방지에 기여한다.

바이러스 제작자들이 최근 몇 년 동안 사용했던 트릭은, 안티바이러스 프로그램 이전에 시스템 명령이나 드라이버에 말웨어를 로드하는 것이다. 이렇게 되면 안티바이러스 프로그램이 작동하지 않도록 막게 되며 심지어 사용자에게 허위 정보를 알려주게 된다. 윈도8은 시장에 출시되어 있는 합법적인 안티바이러스 프로그램을 식별하고 이들의 드라이버를 가장 먼저 로드한다.

사용자에게 안티바이러스 프로그램이 전혀 없을 경우에는 윈도8의 윈도 디펜더를 이용할 수 있다. 윈도 디펜더 역시 부팅 후 최초로 로드되는 프로그램으로, 시스템의 다른 어떤 것보다 우선적으로 로딩된다.

GCN의 테스터 랩에서는 실제로 바이러스를 이용해 이 기능을 실험했다. 말웨어가 안티바이러스 프로그램 로드 이전에 시스템 파일에 로드되도록 테스트했는데 윈도XP에서는 바이러스가 성공적으로 시스템을 장악했다. 심지어 이 PC는 안티 바이러스 소프트웨어도 설치되어 있었다. 하지만 같은 테스트를 윈도8에서 수행했을 때에는 말웨어의 시스템 장악이 실패했다고 전했다.

3. 더욱 쉬워진 암호화=누구에게나 유용하지만 특히 정부기관에 유용한 기능이 비트로커 프로그램이다. 윈도8은 비트로커를 사용해 시스템 전체를 완전 암호화할 수 있는 옵션을 제공한다.

과거에는 비트로커 프로그램이 기관에서 그리 환영받지 못했다. 기관 내 PC들에 업데이트 푸시 작업 시 비트로커를 적용한 PC에는 관리자들이 접근할 수 없었기 때문이다. 이 PC들에 각각 암호키가 직접 입력되기 전에는 어떤 패치나 업데이트도 허용되지 않았다. 또 PC 사용자들은 외근 등에서 돌아와 PC를 켜고 암호를 입력하는 순간, 미뤄졌던 패치 업데이트 작업이 수행되기 때문에 곧바로 업무를 볼 수 없고 오랫동안 기다려야 했다.

윈도8은 비트로커로 보호되는 시스템들이 특정 조건을 만족시킬 때 중앙 관리자의 액세스가 가능하도록 함으로써 이 문제를 해결했다. 해당 PC는 케이블에 의해 트러스티드 네트워크에 접속되어 있으면 현장의 개입 없이 중앙에서 관리자가 이들 PC를 작동시켜 패치 작업 등을 수행할 수 있다. 무선 접속 환경에서는 불가하다. 이러한 기능은 엔터프라이즈 환경에서 비트로커를 더욱 매력적으로 보이게 한다.

비트로커가 드라이브 전체에 적용되어 있다면 윈도8은 DAC(다이나믹 액세스 컨트롤) 리스트에 확장 계층을 추가해 개별 파일들의 보안을 향상시킬 수 있다. DAC는 네트워크 간 액세스 권한을 추적하지만 대규모 그룹 관리에는 어려운 것으로 악명이 나 있다.

윈도8에서 관리자들은 DAC 리스트에 손쉽게 확장 게이트웨이를 만들 수 있는데, 예를 들어 “If User.country = US, allow Read/Write”라고 하면 액티브 디렉토리 리스팅에 따라 미국 내에서 접근하려는 사람들에게 파일 읽기만 허용하거나 읽기/쓰기도 허용할 수 있다. DAC가 액세스되기 전에도 이 확장 게이트웨이는 체크되며 따라서 중국 등에서 액세스하려고 한다면 액세스가 거절되며 파일 읽기도 허용되지 않는다.

4. 원격 보안키 드라이브=보안 측면에서 윈도8의 마지막 주요 업그레이드는 윈도8의 모든 사본들이 ‘윈도 투 고(Windows to Go)’를 지원한다는 것이다. 이는 윈도8이 플래시 드라이브에도 설치될 수 있다는 뜻이다. 플래시 드라이브를 어떤 PC에나 꽂으면, 이 드라이브에 저장되어 있는 안전한 PC 환경에서 업무를 할 수 있고 호스트 컴퓨터에 벌어지는 일은 무시할 수 있다.

즉 이 기능을 이용해 공공기관 임직원들이 쇼핑몰에 있는 공용 PC를 터미널로 사용해서 안전하게 업무를 볼 수 있다는 뜻이다. 노트북이나 태블릿PC가 도난당할 경우 데이터 손실도 보호해준다. 모든 실제 데이터와 심지어 OS까지 보안키 드라이브에 있기 때문이다. 이러한 기능은 공공기관이나 기업 임직원들이 집, 사무실이 아닌 장소에 안전하게 스마트워크를 할 수 있도록 해주며 조직의 BYOD(Bring Your Own Device Programs)를 스마트폰 등 모바일 단말기에서 PC로 확대할 수 있도록 해준다. 또 기업이나 기관의 업무 연속성 계획에도 기여한다.

다만 이 기능을 사용하는 데에는 몇 가지 제약 조건이 있다. 우선 보안키 드라이브가 USB 3 인증을 받아야 한다. 호스트 시스템의 USB2 포트를 사용할 수는 있지만 플래시 드라이브 자체는 USB 3이어야 한다. 이 플래시 드라이브는 OS에 자신을 고정 드라이브로 인식하게 하는데, 사용하려는 각 드라이브마다 윈도 투 고 사용 권한이 필요하므로 MS의 SA(Software Assurance) 라이선스를 구매할 필요가 있다.

5. 친화적인 인터페이스=새로운 OS가 아무리 뛰어난 보안 기능을 제공한다고 해도 인터페이스가 달라지는 것은 사용자들에게 큰 걱정거리다. 윈도8은 데스크톱PC에서도 태블릿PC와 비슷한 인터페이스를 제공한다고 하지만 대부분의 데스크톱 PC는 터치스크린 기능을 제공하지 않으며 이는 윈도8 잠재적 사용자들의 우려를 사고 있다. GCN의 테스터조차 윈도8 테스트를 하며 이 점을 우려했지만 “OS 업그레이드 때문에 PC 사용법에 혼란을 일으키는 일은 없다”고 강조했다.

윈도8의 메인 부트 스크린은 매우 강력하고 사용하기 쉬우며, 시스템에 설치된 모든 프로그램은 화면에 아이콘으로 연결되어 있다. 어떤 프로그램을 삭제하고 싶다면 해당 아이콘을 언인스톨하는 것만으로 간단히 제거할 수 있다. 예전처럼 단축키를 제거하거나 실제 프로그램을 없앨 필요가 없다.

이런 포인트&클릭 인터페이스가 마음에 들지 않는다면 키보드에서 윈도 키를 눌러 이전 윈도7 데스크톱과 유사한 화면을 불러 올 수 있다. 윈도7 데스크톱 또한 새 메인 화면에서 아이콘 형태로 존재하므로, 이를 클릭해 이전 윈도 화면을 불러 올 수 있다.

또 공공기관에 유용한 것이 ‘온프렌들리’ 기능이다. 이는 사용자에게 필요한 모든 프로그램들로 구성된 작업 환경을 만들어두고 플랫폼에 상관없이 동일한 컨피규레이션에 액세스할 수 있도록 복제하는 것이다. 사용자는 데스크톱, 태블릿, 노트북 등에서 모두 동일한 화면으로 볼 수 있다. 사용자에게도 유용하지만 IT기술지원팀의 업무 부담도 크게 줄여줄 수 있다.

박현선기자 hspark@etnews.com

전자신문미디어 테크트렌드팀  

728x90

댓글