마이크로소프트, 윈도우 보안 기본값 바꾼다…앱 권한 ‘동의 우선’ 전환
윈도우는 전 세계 기업 환경의 핵심 인프라로 자리 잡았다. 10억 대 이상 기기에서 구동되며, 수백만 개 애플리케이션을 지원한다. 그러나 마이크로소프트는 최근 일부 앱이 사용자 인지나 승인 없이 설정을 변경하고 추가 구성 요소를 설치하거나 윈도우의 핵심 기능을 바꾸는 사례가 늘고 있다고 밝혔다.
이에 따라 마이크로소프트는 ‘동의 우선(consent-first)’ 모델을 도입할 계획이다. 새 기본 보안 기준에서는 사용자가 명시적으로 승인한 앱에만 접근을 허용한다. 사용자는 권한을 허용하거나 거부할 수 있고, 이미 부여한 권한도 언제든 되돌릴 수 있다. 앱과 AI 에이전트의 동작 방식도 모두 확인할 수 있도록 투명성을 강화한다.
소크레이더(SOCRadar)의 CISO 엔사르 세케르는 “잘못 구성한 엔드포인트를 악용하거나, 사용자 권한 수준에서 자격 증명을 탈취하고, 침해 이후 리빙 오프 더 랜드(living-off-the-land) 기법을 활용하는 실제 공격 사례에 대응하는 조치”라고 설명했다.
기본 보안은 강화하고, 예외는 투명하게 관리
‘윈도우 베이스라인 보안 모드(Windows Baseline Security Mode)’를 적용하면 런타임 보호 기능이 기본으로 활성화된다. 정식으로 서명한 앱, 서비스, 드라이버만 실행할 수 있다. 다만 필요할 경우 사용자와 관리자가 특정 앱에 대해 예외를 설정할 수 있다. 어떤 보호 기능이 작동 중인지, 예외를 허용했는지도 직접 확인할 수 있다. 마이크로소프트는 이를 통해 시스템 변조나 무단 변경을 막겠다는 목표를 제시했다.
또한 새로 도입하는 투명성·동의 기반 조치에 따라 앱이 파일, 카메라, 마이크 등 민감한 데이터와 자원에 접근하려 하거나 의도하지 않은 소프트웨어를 설치하려 할 경우 사용자에게 알림을 표시한다. 사용자는 보호 대상 데이터와 하드웨어에 대한 접근 요청을 승인하거나 거부할 수 있고, 이미 부여한 권한도 언제든 철회할 수 있다.
마이크로소프트 윈도우 플랫폼 개발자 로건 아이어는 블로그를 통해 “윈도우는 개방형 플랫폼의 특성을 유지하면서도 기본적으로 안전해야 한다”라며 “어떤 앱을 설치하더라도 사용자 경험의 무결성을 보호해야 한다”라고 밝혔다.
마이크로소프트는 자사가 오랜 기간 개방형 플랫폼 전통을 이어왔다고 강조했다. 앞으로도 모든 개발자에게 열려 있고, 사용자가 원하는 앱을 자유롭게 설치할 수 있는 환경을 유지하겠다는 입장을 밝혔다.
개발자 및 파트너와 협력해 단계적 도입
마이크로소프트는 이번 조치를 명확한 원칙에 따라 단계적으로 도입하겠다고 밝혔다. 다만 기업 환경에서 구체적으로 어떻게 적용될지, 언제부터 변화가 체감될지는 공개하지 않았다. 컴퓨터월드의 추가 질의에도 세부 내용은 밝히지 않았다.
새 보안 모델 도입을 지원하기 위해 마이크로소프트는 관련 도구와 API를 제공한다. 이를 통해 사용자와 IT 관리자가 시스템 내에서 앱과 AI 에이전트가 어떤 방식으로 동작하는지 확인하도록 지원한다. 기존에 정상적으로 동작하던 앱은 그대로 사용할 수 있다. 개발사에는 강화한 보안·개인정보 보호 기준을 충족할 수 있도록 충분한 시간과 준비 기간을 제공한다. 마이크로소프트는 크라우드스트라이크, 오픈AI, 어도비, 1패스워드, 레이캐스트(Raycast) 등 주요 파트너 및 개발사와 협력해 관련 작업을 진행하고 있다.
소크레이더의 세케르는 “기본 보호 기능을 선택 사항이 아니라 기본값으로 적용해 보안 적용 시점을 앞당기고, 소프트웨어 스택 하위 계층까지 보안 태세를 강화하는 조치”라고 평가했다. 특히 강화한 기본 구성과 사용자에게 보이는 투명성·명시적 동의를 결합한 점이 눈에 띈다고 강조했다. 단순히 보안 통제를 보이지 않게 강제하는 방식과는 다르다는 설명이다.
세케르는 “정책 중심 보안에서 설계와 기본 기대 수준에 기반한 보안으로 전환하는 신호”라며 “특히 OS 계층은 그동안 많은 조직이 충분히 투자하지 않았던 영역”이라고 분석했다.
기본 보안, 더 이상 선택 사항 아니다
보서론 시큐리티(Beauceron Security)의 데이비드 십리는 마이크로소프트의 새로운 보안·가시성 강화 조치를 긍정적으로 평가했다.
십리는 “위협 행위자가 너무 쉽게 활용해온 광범위한 공격 경로를 차단하는 데 도움이 될 것”이라며 “상당히 의미 있는 진전”이라고 말했다. 특히 자율형 AI 확산 흐름을 고려하면 기본값이 안전하게 설정되는 구조는 필수라고 강조했다. 기본 보안이 전제되지 않은 상태였다면 지금의 에이전틱 AI 경쟁은 훨씬 더 큰 위험을 초래했을 것이라는 분석이다.
이어 십리는 “자율형 AI 확산이 결국 ‘새로운 불을 지피기 전에 기존 불부터 꺼야 한다’는 문제의식을 만든 계기”라고 덧붙였다.
소크레이더의 세케르는 마이크로소프트가 일반적인 공격 경로를 초기에 차단함으로써 피싱, 초기 침투형 악성코드, 관리되지 않은 권한 상승으로 인한 피해 확산 범위를 줄이려 한다고 짚었다. 특히 하이브리드 근무와 개인 기기 활용 환경처럼 엔드포인트 통일성이 떨어지는 환경에서 의미가 크다고 봤다.
세케르는 “가장 큰 장점은 ‘보안 기능은 갖췄지만 실제로 배포하지 않는 문제’를 없애는 데 있다”라고 말했다. 기본값으로 활성화한 보안 기준은 보호까지 걸리는 시간을 크게 줄이고, IT팀의 의사결정 부담도 완화한다는 설명이다.
다만 기업은 마찰 가능성도 고려해야 한다. 레거시 앱, 고급 사용자, 특수 업무 환경은 정상적으로 작동하지 않거나 예외 설정이 필요할 수 있다. 이런 예외를 엄격히 관리하지 않으면 기존 보안 공백이 다시 생기고, 오히려 더 복잡한 구조로 굳어질 수 있다.
세케르는 이번 변화를 엔드포인트 확산, 문서화하지 않은 의존성, 비공식 관리자 권한을 정비하는 계기로 삼아야 한다고 조언했다. 실제 환경을 반영한 파일럿 그룹에서 보안 기준을 테스트하고, 예외 처리 절차를 사전에 설계하며, 사용자 요구로 보안 설정이 되돌아가지 않도록 헬프데스크팀과 조율해야 한다고 강조했다.
