악성코드, ‘인터넷 웹브라우저 격리’로 완벽 차단

[CCTV뉴스=최형주 기자] 기업이 정보보안 체계를 구축할 때 가장 어려움을 느끼는 부분은 바로 예산이다. 그런데 잘만 활용한다면 비용을 거의 들이지 않고도 보안성을 획기적으로 높여줄 보안 방책이 존재한다.

바로 윈도우10(Windows10)에 내장된 인터넷 웹브라우저 격리(이하 인터넷 격리) 기능, ‘디펜더 애플리케이션 가드(Defender Application Guard)’를 활용하는 것이다.

그렇다면 인터넷 격리는 무엇이고, 디펜더 어플리케이션 가드는 어떻게 사용해야 할까?

인터넷 격리란?

해커가 정보를 탈취하기 위해선 랜섬웨어, 멀웨어 등의 악성코드를 유포해 침투하고자 하는 컴퓨터에 설치해야 하고, 대부분의 해커는 유저가 웹브라우저를 사용하는 순간을 노려 악성코드 설치를 시도한다.

인터넷 격리는 말 그대로 인터넷 브라우저를 가상의 공간에 가두는, ‘샌드박스’ 기술이다. 인터넷 격리를 사용하면 웹브라우저가 네트워크를 통해 획득한 모든 정보는 가상의 공간 안에서만 존재하고 작동한다. 

이렇게 격리된 정보들은 가상공간 밖(이용자의 PC)으로 결코 넘어갈 수 없으며, 사용자가 인터넷 브라우저 창을 끄는 순간 받아온 모든 인터넷 정보는 사라져 다시는 복구할 수 없다.

사용자가 인터넷 상에 떠도는 랜섬웨어와 멀웨어 같은 악성코드를 실행해 감염이 됐다고 가정하자. 하지만 이때 인터넷 격리를 사용하고 있다면, 웹브라우저를 닫는 즉시 악성코드가 담긴 가상의 공간도 사라지게 된다.

사실상 해커가 침투한, 그러니까 악성코드가 감염시켰다고 착각하는 공간은 내 컴퓨터가 만든 가상공간일 뿐이다.

이 인터넷 격리 기술의 가장 큰 장점은 기존에 사용되는 패턴이나 화이트리스트 혹은 블랙리스트 접근법이 아닌, 그 어떤 소스도 믿지 않고 격리하는 ‘제로 트러스트(Zero-Trust)’ 접근법을 취한다는 것이다. 게다가 최근 인터넷 격리는 시장조사기업들의 고평가와 함께 나날이 그 위상도 높아지고 있다.

지난 2017년 미국 시장조사기업 가트너(Gartner)는 인터넷 격리 기술이 최고의 보안 기술 중 하나라고 평가했고, 마켓아날리시스(marketanalysis)는 인터넷 격리 시장이 연평균 30% 성장해 2024년엔 100억 달러 규모에 이를 것이라고 내다봤다.

Windows Defender Application Guard

애플리케이션 가드 기능은 2017년 9월 윈도우 엔터프라이즈 버전에 처음 업데이트됐다. 초기 애플리케이션 가드는 엔터프라이즈 이용자에게만 제공되는 기능이었으나, 2018년 4월부터는 윈도우 프로 버전에서 이용이 가능해졌다.

마이크로소프트의 애플리케이션 가드에 관한 매뉴얼에 따르면, 이 기능은 운영 체제와 별도로 실행되는 ‘하이퍼-V(Hyper-V) 기반 컨테이너’에서 작동한다. 하이퍼-V란 64비트 윈도우를 위한 가상화 시스템으로, 윈도우 서버 가상화라는 이름으로도 널리 알려져 있다.

이렇게 가상화로 격리된 컨테이너는 익명의 권한으로 실행돼, 해커는 공격 대상 컴퓨터 내에서 악성 파일을 실행하거나 코드를 실행하기 위한 권한을 얻을 수 없다. 이를 통해 이용자는 손쉽게 자신의 PC를 보호할 수 있고, 기업은 해커가 중요 데이터로 접근하는 것을 차단할 수 있게 된다.

애플리케이션 가드, 어떻게 활성화할까?

애플리케이션 가드는 Home버전을 제외한 윈도우10 이용자라면 누구나 쉽게 이용이 가능하다. 하지만 가상화 기술을 사용하는 만큼 약간의 시스템 요구사항이 존재한다. 다음은 마이크로소프트 공식 홈페이지 상의 애플리케이션 가드를 위한 최소 하드웨어·소프트웨어 요구 사항이다.

하드웨어의 경우 CPU가 64비트 이상에 논리프로세서를 포함해 최소 4코어 이상이어야 한다. 특히 CPU가 가상화를 지원해야 하며, 메모리도 최소 8GB 이상이어야 애플리케이션 가드의 실행이 가능하다.

소프트웨어 요구사항은 첫째, 2018년 4월 이후의 업데이트가 설치된 윈도우10 엔터프라이즈 버전이나 프로페셔널 버전, 교육용 에디션이 있어야 한다. 둘째는 마이크로소프트 엣지 브라우저와 인터넷 익스플로러 11버전이 설치돼 있어야 한다.

위 조건들을 모두 갖추었다면, 작업표시줄의 돋보기 버튼을 눌러 다음 사진과 같이 ‘기능 켜기’를 입력하고 Windows 기능 켜기/끄기를 실행하자.

▶Windows 기능 켜기/끄기를 실행하면 다음과 같은 창이 뜬다. 이 창에 표시된 윈도우 기능 중 ‘Windows Defender Application Guard’를 찾아 V체크한다.

▶이제 확인 버튼을 누르면 윈도우 10이 변경 내용을 적용한다. 변경 내용 적용이 끝나면 다시 시작 버튼을 눌러 컴퓨터를 리셋해준다.

▶이제 마이크로소프트 엣지를 실행하고 우측 상단에 ‘…’ 버튼을 클릭하면, ‘새 응용 프로그램 보호 창’ 이라는 메뉴를 볼 수 있다.

▶이 버튼을 클릭하면 다음과 같은 메시지를 볼 수 있다.

▶약간의 시간이 걸려 새로운 인터넷 창이 뜬다.

▶애플리케이션 가드로 실행한 웹브라우저는 좌측 상단의 검은색 버튼으로 웹브라우저가 격리됐음을 알려준다. 이제 이 웹브라우저를 통해 받는 모든 인터넷 데이터는 내 컴퓨터와 그 어떤 상호작용도 하지 못한다.

▶파일을 다운로드 받을 수 있지만, 위와 같이 새로운 가상 드라이브를 만들어 해당 웹브라우저가 켜져 있는 동안만 존재한다. 다운로드 받은 파일을 실행할 수도 없다.

▶그리고 웹브라우저를 닫는 순간, 엣지를 통해 인터넷에서 받은 모든 정보가 사라진다. 따라서 악성코드가 실행될 수 없고, 혹여 다운로드돼 컴퓨터에 남아 있지 않을까 걱정하지 않아도 된다. 게다가 누군가에게 들키고 싶지 않은 웹사이트를 볼 때도 유용할 수 있다.

크롬에서 애플리케이션 가드 사용하기

애플리케이션 가드는 구글 크롬 브라우저에 적용해 사용할 수도 있다. 먼저 앞의 과정을 성실히 이행한 후 구글 크롬을 실행하고 검색창에 ‘application guard chrome’을 입력한다.

▶첫 번째 링크를 클릭하면 구글 웹스토어로 연결돼 다음과 같은 화면을 볼 수 있다.

▶우측 상단의 ‘Chrome에 추가’ 버튼을 누르고 확장 프로그램에 추가하자. 이제부터 크롬을 통해 접속하는 사이트 중 신뢰할 수 없는 사이트는 모두 엣지 인터넷 격리 브라우저, 애플리케이션 가드를 통해 열리게 된다.

여기까지 잘 따라했고, 실행이 된다면 더 이상 그 어떤 인터넷 데이터도 두려워할 필요 없다. 랜섬웨어나 악성코드 같은 것들은 이제 신경쓰지 말고, 마음껏 웹서핑을 즐기면 된다. 학교 과제, 회사 보고서 제출 등을 위해 난생 처음보는 외국 사이트들을 뒤져야 한다면, 이보다 더 안성맞춤인 프로그램은 없다.

2020년, 오피스용 애플리케이션 가드 업데이트 예정

오늘날 윈도우는 거의 대부분의 기업들이 사용하는, 없어서는 안될 기본적인 소프트웨어가 됐다. 그리고 현 시점에서 최고의 보안 기술 중 하나로 손꼽히는 인터넷 격리 기술을 별도의 추가 비용없이 사용할 수 있다는 사실은, 보안 프로그램을 따로 마련할 예산이 없는 중소기업들에겐 큰 메리트가 된다.

그러나 단점도 있다. 바로 느리고, 불편하다는 점이다. 일반적으로 사무용 컴퓨터는 사양이 그리 높지 않다. 기자 본인의 사무용 컴퓨터도 메모리가 고작 8GB로, 다양한 멀티태스킹으로 인해 과부화 중인 컴퓨터에서 엣지 브라우저를 실행하면 느리다는 느낌을 지울 수 없다.

게다가 엣지가 기본적으로 프리뷰를 제공하는 PDF파일을 제외하고는, 모든 첨부 문서 파일을 실행할 수 없다. 따라서 기업의 업무영역 전체를 커버하는 보안프로그램은 아니기 때문에 다른 보안 프로그램과 함께 병행해 사용해야 한다.

그런데 최근 좋은 소식이 생겼다. 마이크로소프트가 오는 2020년 여름, 애플리케이션 가드를 오피스365 Pro Plus 이상 버전에 적용할 것이라고 발표한 것이다. 이로써 현재는 프리뷰를 지원하지 않는 워드, 엑셀, 파워포인트 문서 파일을 격리된 가상 컴퓨터 안에서 열고, 매크로 등의 악성 코드 위협없이 편집도 가능할 것으로 보인다.

마이크로소프트 관계자는 “오피스용 애플리케이션 가드는 우리의 윈도우와 오피스, 그리고 위협 방어(Threat Protection)가 통합된 새로운 혁신 기술”이라며, “현재는 프리뷰 기능이 제한적이지만, 더 많은 고객 의견과 피드백을 통해 기능을 확장해 나갈 것”이라고 밝혔다.