“커널 보안으로 중심 이동” 크라우드스트라이크 사태로 MS 보안 전략 변화

 전 세계 850만 대 이상의 윈도우 PC에 영향을 미치고 사용자들이 '죽음의 블루 스크린'을 마주해야 했던 크라우드스트라이크(CrowdStrike) 사건으로 인해 마이크로소프트는 운영체제의 복원력을 다시 한 번 돌아보게 됐다.


현재 마이크로소프트는 크라우드스트라이크 이후 보안 아키텍처를 더욱 탄력적이고 견고하게 만들기 위한 시도의 일환으로 소프트웨어 애플리케이션의 커널 수준 액세스를 줄이는 데 우선순위를 두고 있으며, 이는 윈도우 운영체제의 전반적인 보안과 복원력을 강화하기 위한 조처이다.
 

윈도우 서비스 및 딜리버리 프로그램 관리 담당 부사장 존 케이블은 블로그 포스트를 통해 "이번 사건은 윈도우가 엔드 투 엔드 복원력 영역에서 변화와 혁신을 우선시해야 한다는 것을 분명히 보여준다”라고 밝혔다.

케이블은 "혁신의 예로는 커널 모드 드라이버의 변조 방지 기능이 필요 없는 격리된 컴퓨팅 환경을 제공하는 최근 발표된 VBS 엔클레이브와 부팅 경로 보안 상태를 확인할 수 있는 마이크로소프트 애저 어테스테이션(Azure Attestation) 서비스가 있다”라고 설명했다.

마이크로소프트는 주요 혁신으로 VBS 엔클레이브와 마이크로소프트 애저 어테스테이션 서비스의 구현을 강조했다. 이런 기술은 격리된 컴퓨팅 환경을 제공하고 커널 모드 드라이버 없이도 부팅 경로의 보안 태세를 결정하는 데 도움이 된다. 이런 제로 트러스트 접근 방식은 잠재적 위협에 접근할 수 있는 공격 표면을 줄여 보안 위험을 최소화한다.

크라우드스트라이크는 자사의 사고 검토 예비 포스트에서 운영체제의 커널에 있는 테스트 소프트웨어의 버그를 원인으로 언급했다.

전문가들은 소프트웨어 업체에 커널 수준 액세스를 제공하는 것의 단점을 지적했다. 비글 시큐리티의 고문 수닐 바키는 "커널 수준 액세스는 시스템 호출과 저수준 작업을 모니터링하고 가로채서 지능형 위협을 탐지하는 데 중요하지만, 효과적으로 관리하지 않으면 운영체제 안정성에 위험이 따른다”고 지적했다.

커널 액세스는 시스템 수준의 심층적인 상호작용을 허용하기 때문에 중요한 취약점이며, 손상될 경우 광범위한 중단과 침해로 이어질 수 있다. 마이크로소프트는 커널 액세스를 제한함으로써 이런 취약점의 가능성을 줄이려고 한다.

격리된 환경과 증명 서비스는 애플리케이션이나 서비스가 손상되더라도 핵심 시스템의 보안을 유지해 전반적인 복원력을 크게 향상시킨다.

하지만 마이크로소프트가 이런 접근 방식을 테스트한 것은 이번이 처음은 아니다. 마이크로소프트는 2006년에 윈도우 비스타에서 서드파티 보안 솔루션 업체의 커널 액세스를 제한하는 것을 테스트한 적이 있지만 이를 백지화해야 했다.

시만텍과 맥아피는 커널에 대한 액세스를 차단하기로 한 마이크로소프트의 결정이 "반경쟁적 행위"에 해당한다고 주장했다.

커널에 대한 액세스가 없으면 서드파티 보안 솔루션은 프로세스 및 애플리케이션에 대한 심층적인 행동 분석을 수행하는 데 어려움을 겪을 수 있기 때문이다. 바키는 "이런 액세스를 차단하면 정교한 공격을 탐지하고 방지하는 보안 소프트웨어의 기능이 제한될 수 있다"고 설명했다.

이상적으로는 이런 권한 액세스를 엄격하게 관리해 제한된 권한으로 적절하게 테스트되고 디지털 서명된 소프트웨어가 사용되도록 해야 한다. 바키는 "운영체제 업체는 커널의 안정성에 영향을 미칠 수 있는 잠재적 취약성과 위험에 대해 파트너에게 투명하게 공개하는 것이 중요하다”고 덧붙였다.

하지만 크라우드스트라이크 사건은 치명적인 피해를 입혔고, 마이크로소프트가 이 문제를 다시 거론하는 데 충분한 동력을 제공한 것으로 보인다.

바키는 "이제 서드파티 보안 솔루션의 커널 수준 액세스를 차단하기로 한 마이크로소프트의 결정으로 이런 사고의 잠재적 위험을 줄일 수 있을 것이다. 하지만 현재 커널 액세스 권한을 가진 모든 서드파티 솔루션 업체는 목표를 달성하기 위해 마이크로소프트와 협력해 새로운 접근 방식을 찾아야 할 수도 있다"고 지적했다. 그렇지 않으면 마이크로소프트가 제공하는 보안 솔루션이 기본이자 유일한 해결책이 될 수 있다.

하지만 마이크로소프트는 이미 이런 방향을 결정한 것으로 보인다. 케이블은 "우리는 이런 기능을 지속적으로 개발하고 플랫폼을 강화하고 광범위한 보안 커뮤니티와 공개적으로 협력해 윈도우 생태계의 복원력을 개선하기 위해 더 많은 노력을 기울일 것이다"라고 강조했다.

※위 포스팅이 문제될 경우 삭제하겠습니다.
출처 : https://www.itworld.co.kr/t/54650/%EC%9C%88%EB%8F%84%EC%9A%B0/345881
Powered by Blogger.