마이크로소프트가 지난 6월 25일 윈도 11(Windows 11) 공식 발표했다. 윈도 10이 마지막 윈도가 될 것이라는 마이크로소프트의 말과 달리 또 다른 윈도 버전의 등장에 따른 기대 반 우려 반의 반응이 나오고 있다. 무엇보다 마이크로소프트는 윈도 10을 윈도 11로 무료 업그레이드할 수 있다고 발표했음에도 오히려 혼란이 커졌다. 마이크로소프트가 윈도 11을 위한 최소 하드웨어 조건을 공개하고 이를 확인할 수 있는 유틸리티를 내놓은 뒤 벌어진 현상이다. 6년 전 출시된 윈도 10이 최대한 많은 하드웨어를 지원했던 것과 전혀 다른 정책을 내놓자 많은 기업과 이용자가 당황하고 있다.
마이크로소프트가 이러한 결정을 이유는 ‘보안’이다. 기존 운영체제인 윈도10도 보안을 중점에 두면서 하드웨어 지원을 늘린 것을 것을 감안할 때 강화된 하드웨어 조건은 선뜻 이해하기 어려운 부분이 있지만, 이번만큼은 결정을 돌릴 것 같진 않다. 더욱 지능화되고 교묘해진 사이버 공격을 운영체제만으로 막기 힘든 게 현실이기 때문이다.
새로 설정된 윈도 10의 수명 주기
윈도 11의 달라진 부분을 설명하기에 앞서 먼저 윈도 11 출시 이후 윈도 10의 수명 주기 정책이 어떻게 달라지는 지 알아야 한다. 윈도 수명 주기가 중요한 이유는 새 기능은 물론 보안이나 운영체제의 버그를 고치는 데 책임을 정한 기한이라서다. 일반적으로 윈도의 수명 주기는 10년 안팎이었고 새 윈도를 발표할 때 수명 주기도 함께 공개됐다.
그런데 윈도 10은 기존 수명 주기 정책을 따르지 않았다. 마이크로소프트가 윈도 10을 발표할 당시 서비스로서 윈도(Windows as a Service)라는 개념의 적용으로 상하반기 대규모 업데이트마다 버전을 올리고 18개월의 수명 주기를 설정해서다. 기존의 윈도 수명 주기를 적용하면 2015년에 출시한 윈도 10의 수명 주기는 2024년쯤 끝난다고 볼 수 있었으나, 18개월마다 수명 주기를 설정하면 윈도 10은 업데이트 후 버전이 바뀔 때마다 18개월씩 수명 주기가 연장되므로 거의 무한대 지원을 받을 수 있는 환경이었다.
하지만, 이 정책은 마이크로소프트가 윈도 11 발표 이후 바뀐다. 다시 예전 같은 수명 주기가 설정된 것이다. 윈도 10 홈 및 프로, 엔터프라이즈, 에듀케이션 등 모든 버전의 수명 주기는 2025년 10월 14일로 확정됐다. 이는 윈도 10을 위한 보안 및 수정 업데이트가 해당 날짜까지 지원되는 것을 뜻한다. 때문에 윈도 10을 쓰는 기관이나 기업, 일반 이용자들은 윈도 11로 이전할 것인지 여부를 결정해야 한다. 그 결정에 남은 시간은 4년 남짓이다.
왜 CPU 세대를 나눴는가?
앞서 윈도 10 이용자는 윈도 11로 무료로 업그레이드할 수 있지만, 모든 시스템에 허용되지 않는다. 윈도 11은 업그레이드에 필요한 하드웨어 조건을 매우 세분화 해 놓았는데, 조건이 미달되면 업그레이드는 불가능하다. 마이크로소프트가 이전 세대에 비해 꼼꼼하게 최소 하드웨어 조건을 구성한 것은 드문 일이지만, 이런 선택의 모든 종착지는 결국 ‘보안’이다.
윈도 11의 최소 요구 조건에 CPU의 세대를 구분한 것은 아주 흥미로운 대목이다. 아주 오래된 프로세서는 더 이상 지원하지 않는다. 인텔 프로세서는 7세대 이후, AMD 프로세서도 젠2 아키텍처 전체와 극히 일부 젠1 아키텍처의 시스템만 가능하다. 이마저도 최초 기본 제원보다 많이 완화한 것이다.
윈도 11에서 CPU 세대를 구분한 것은 2년 전 컴퓨팅 업계를 뒤집어 놓았던 스펙터(Spectre)와 멜트다운(Meltdown)의 영향 때문이다. 스펙터와 멜트다운은 더욱 효율적으로 데이터를 처리할 수 있도록 만든 분기 예측 실행에서 시스템 권한 상승을 악용해 캐시 데이터를 빼내는 취약점은 당시 업계에 큰 충격을 안겼다. 이후 운영체제를 통해 해당 문제를 일부 수정했지만, 현대적인 프로세서에서 나타날 수 있는 이 문제에 대해 단호한 해결책을 내놓아야 하는 고민이 생겼다.
마이크로소프트가 CPU 세대를 구분 짓기는 했지만, 정확하게는 가상화 기반 보안(Virtualization-Based Security)과 HVCI(Hypervisor-Enforced Code Integrity)가 가능한 하드웨어인가를 따지는 것이다. 가상화 기반 보안은 하이퍼V 같은 가상화 도구를 이용해 운영체제의 가상 보안 모듈(VSM)을 운영체제와 분리해 실행하는 것이고, HVCI는 가상 보안 모듈을 실행할 때 드라이버나 운영체제의 코드에 안전한지 무결성을 확인하고 실행을 돕는다.
이 두 가지는 운영체제가 악성 코드에 감염되지 않은 무결성을 확인하는 핵심적 기능으로, 마이크로소프트는 이를 통해 60%의 악성 코드 공격을 배제할 수 있다고 블로그를 통해 설명했다. 그런데 VBS와 HVCI는 윈도 10 출시 이후 어느 정도 시간이 흐른 뒤 운영체제 업데이트에 적용된 것이어서 윈도 10에서 활성화할 수 있다. 단지 강제력이 없을 뿐이다. PC 제조사도 이를 선택적으로 활성화할 수 있는 상황이다. 즉, 지금 윈도 10도 하드웨어 조건만 맞으면 VBS와 HVCI를 쓸 수 있으나 선택적이라는 이야기다.
결과적으로 윈도 11은 이러한 선택적 활성화를 제거한다. 보안 및 악성 코드 공격을 막기 위해 운영체제가 안정적으로 작동할 수 있는 환경을 만들 수 없다면 윈도 11이 아무리 강력한 보안을 탑재해도 소용없기 때문이다. 또한 두 가지 기능을 활성화하면 CPU에 따라 성능 저하가 나타날 수 있기 때문에 성능 저하 없이 두 기능을 쓸 수 있는 CPU 세대의 마지노선을 정한 셈이다.
TPM 2.0과 UEFI, 시큐어 부트의 3단 콤보
CPU 세대 조건을 통과해도 넘어야 할 언덕이 몇 개 더 있다. 그것도 3개의 언덕이 연달아 있다. 먼저 시스템 펌웨어를 다루는 인터페이스로 UEFI(Unified Extensible Firmware Interface)여야 한다. 시스템 펌웨어는 PC의 운영체제를 실행하기에 앞서 각 부품의 상태를 확인한 뒤 운영체제에 그 정보를 전달하는 데, 이때 운영체제와 시스템 펌웨어 사이에서 정보를 주고 받을 수 있도록 만든 통로가 확장 펌웨어 인터페이스다. 지난 몇 년 동안 출시된 PC나 노트북은 UEFI를 갖췄고, 아주 오래된 PC 정도가 여전히 바이오스(BIOS)를 기반으로 하고 있는데, 윈도 11은 더 이상 바이오스를 쓰는 쓰는 시스템에 설치할 수 없다.
UEFI 기반의 펌웨어를 가진 시스템이라도 시스템 펌웨어에 보안 부트(Secure Boot) 기능이 없으면 안된다. 보안 부팅은 시스템을 켰을 때 설치된 운영체제를 신뢰할 수 있는지 여부를 확인하는 기능이다. 즉, 제조사의 디지털 서명이 올바르지 않은 운영체제를 시스템에 설치했으면 시스템은 이를 확인하고 부트 절차를 중단한다. 악성 코드나 바이러스 같은 공격에 손상됐거나 정상적인 경로로 설치하지 않은 운영체제에 대해 시스템이 미리 제어함으로써 사용자의 데이터를 보호한다. 지금은 거의 모든 시스템 펌웨어에 보안 부트가 내장되어 있지만, 오래 전 메인보드라면 이 기능이 없을 수 있다.
마지막으로 신뢰 플랫폼 모듈(TPM) 2.0이다. TPM(Trusted Platform Module)은 PC나 노트북에서 암호화 작업을 하도록 설계된 프로세서다. TPM은 운영체제나 시스템에서 필요한 고유의 암호화 키를 생성하고 자격 증명을 저장하는 것과 더불어 장치를 인증하고 플랫폼 무결성을 확인하는 데 쓰이고 있다. 윈도에서 활용되는 이용자의 생체 정보도 TPM 안에 저장된다. 또한 저장 장치의 데이터를 암호화하는 비트로커(BitLocker)도 TPM과 함께 작동한다. TPM은 이미 수많은 노트북과 PC에 탑재되어 있으나 역시 오래된 PC나 노트북은 옛 버전만 있거나 아예 없는 경우도 있어서 이런 제품을 쓰고 있는 이용자들은 윈도 11을 업그레이드할 수 없다.
여기서 중요한 사실은 TPM 2.0과 UEFI, 시큐어 부트는 셋 중 하나만 충족해선 안된다는 점이다. TPM 2.0을 쓰려면 UEFI 펌웨어가 필요하고, 시큐어 부트 상태 증명을 위해선 TPM이 필요하므로 결과적으로 이 세 요소는 한 세트인 셈이다. 더구나 TPM은 CPU를 통한 가상화 기반 보안에 필요한 요소여서 결국 세 요소를 모두 충족해야 한다.
윈도 11의 방향 : 제로 트러스트 보안
윈도 11이 구형 CPU를 쓰는 PC나 노트북에서 쓰기 어려운 운영체제가 됐지만, 여기에 담긴 메시지는 분명하다. 보안에 취약한 레거시 하드웨어와 결별을 선언한 것이다.
마이크로소프트가 이처럼 윈도 11의 보안을 위해 하드웨어 요건을 강화한 것은 제로 트러스트 보안(Zero Trust Security) 개념을 구현하려는 것이다. 제로 트러스트는 기업 또는 가정에 구축된 네트워크 아키텍처에 기반한 신뢰를 제거하고 모든 접근에 대해 지속적으로 감지하고 신뢰 여부를 확인한다. 즉, 절차에 따라 이용자나 장치를 한 번 등록해 놓으면 어디라도 상관 없이 네트워크에 접근해도 영구적으로 신뢰하고 권한을 부여했던 이전 방식을 배제하고, 이용자와 장치가 시스템에 접근할 때마다 신원 확인 과정을 거쳐 그 때마다 권한을 부여하는 것이다.
윈도 11이 제로 트러스트에 좀더 초점을 맞춘 것은 최근 늘어난 원격 업무와 교육과 무관치 않다. 코로나19의 영향으로 원격 업무와 교육이 증가하면서 조직 안이 아닌 바깥에서 더 많은 접근이 일어나는 데다, 상당수가 클라우드를 통해 필요한 일들을 처리하고 있다. 하지만, 원격 컴퓨팅은 피싱과 랜섬 웨어, 그 밖의 취약성을 악용한 온갖 공격에 이용자와 기업 모두 노출될 위험성을 안고 잇다. 이에 마이크로소프트는 칩-투-클라우드(Chip-To-Cloud) 제로 트러스트를 통해 클라우드를 통한 작업에서 이용자가 안전하게 작업할 수 있는 환경을 갖추려는 것이다.
사실 윈도 11은 제로 트러스트를 처음 적용한 운영체제는 아니다. 앞서 마이크로소프트는 2019년 이와 똑같은 윈도 10 기반의 보안 코어 PC를 발표한 바 있다. 이 보안 코어 PC는 미국국립표준기술원과 미 국무부에서 채택됐지만, 윈도 11처럼 광범위하게 적용했던 것이 아니라 환경에 따라 선택적으로 도입된 것이어서 차이가 있다.
이와 함께 DNS-over-HTTPS를 운영체제 안에 내장한 것도 눈길을 끈다. 이용자가 웹사이트나 다른 인터넷 서비스에 접근할 때 DNS 서버에 쿼리해야 하는 호스트 이름과 IP 주소를 HTTPS를 통해 암호화함으로써 이용자의 접속 정보를 수집하는 행위를 피하고 정부 및 ISP가 이용자의 트래픽을 모니터링해 사이트 연결을 차단하는 인터넷 검열에서 자유로워질 수 있다. 마이크로소프트는 윈도 11이 클라우드 플레어와 구글, 쿼드9의 DNS 서버를 지원하고, 네트워크 설정에서 DoH를 구성할 수 있다고 밝힌 상태다.
이처럼 윈도 11은 (일부 국가를 제외하고) 보안을 상황에 따라 취사 선택하는 것을 더 이상 허용하지 않는다. 원격 컴퓨팅 활용이 늘고 이용자 및 시스템의 취약점을 노리는 정교하고 세밀한 공격들이 끊임 없이 이어지는 상황에서 이에 대비하겠다는 의지를 담은 것이 윈도 11이다. 물론 적지 않은 이용자가 하드웨어 요건으로 인해 윈도 11로 업그레이드를 하는 데 어려움을 겪게 될 것이다. 그럼에도 불구하고 이제 보안에 대한 기존의 상식을 바꿔야 한다는 윈도 11의 메시지는 바뀌지 않을 것이다. 그것을 바꿀 수 없는 위험이 이미 우리 곁에 다가와 있기 때문이다.
참조 문서
1. Windows Insiders gain new DNS over HTTPS controls. Microsoft 2021.6.29
2. Windows 11 enables security by design from the chip to the cloud. Microsoft 2021.6.25
3. Update on Windows 11 minimum system requirements. Microsoft 2021.6.28
덧붙임 #
1. 이 글은 KISA 리포트 2021.07에 기고한 것으로 편집본은 KISA 리포트 자료실에서 다운로드할 수 있습니다. 이 글은 편집본과 일부 내용이 다를 수 있습니다.
2. 스킨 오류로 이 곳에 공개된 모든 글의 작성일이 동일하게 표시되고 있습니다. 이 글은 2021년 8월 3일에 공개되었습니다.
Be First to Comment