다음을 통해 공유

실리콘 지원 보안

  • 아티클
  • 적용 대상:
    Windows 11

보안 기능 목록이 포함된 다이어그램

최신 하드웨어 신뢰 루트 외에도 최신 칩에는 위협에 대한 운영 체제를 강화하는 여러 기능이 있습니다. 이러한 기능은 부팅 프로세스를 보호하고, 메모리의 무결성을 보호하며, 보안에 민감한 컴퓨팅 논리 등을 격리합니다.

보안 커널

커널을 보호하기 위해 VBS(가상화 기반 보안) 및 HVCI(하이퍼바이저 보호 코드 무결성)의 두 가지 주요 기능이 있습니다. 모든 Windows 11 디바이스는 HVCI를 지원하며 대부분의/모든 디바이스에서 기본적으로 VBS 및 HVCI 보호가 켜져 있습니다.

VBS(가상화 기반 보안)

핵심 격리라고도 하는 VBS(가상화 기반 보안)는 보안 시스템의 중요한 구성 요소입니다. VBS는 하드웨어 가상화 기능을 사용하여 운영 체제와 분리된 보안 커널을 호스트합니다. 즉, 운영 체제가 손상되더라도 보안 커널은 여전히 보호됩니다. 격리된 VBS 환경은 메모리에서 실행되는 다른 프로세스로부터 보안 솔루션 및 자격 증명 관리자와 같은 프로세스를 보호합니다. 맬웨어가 기본 OS 커널에 액세스하더라도 하이퍼바이저 및 가상화 하드웨어는 맬웨어가 VBS 환경에서 무단 코드를 실행하거나 플랫폼 비밀에 액세스하지 못하도록 방지합니다. VBS는 기본 커널에 구현된 VTL0(가상 신뢰 수준 0)보다 높은 권한을 가지는 VTL1(가상 신뢰 수준 1)을 구현합니다.

VBS 아키텍처 다이어그램

더 많은 권한 있는 VTL(가상 신뢰 수준)이 자체 메모리 보호를 적용할 수 있으므로 더 높은 VTL은 낮은 VTL로부터 메모리 영역을 효과적으로 보호할 수 있습니다. 실제로 더 낮은 VTL은 더 높은 VTL로 보호하여 격리된 메모리 영역을 보호할 수 있습니다. 예를 들어 VTL0은 VTL1에 비밀을 저장할 수 있으며 이때 VTL1만 액세스할 수 있습니다. VTL0이 손상되더라도 비밀은 안전합니다.

더 알아보세요

HVCI(하이퍼바이저로 보호된 코드 무결성)

메모리 무결성이라고도 하는 HVCI(하이퍼바이저 보호 코드 무결성)는 VBS를 사용하여 기본 Windows 커널 대신 보안 VBS 환경 내에서 KMCI(커널 모드 코드 무결성)를 실행합니다. 이렇게 하면 드라이버와 같은 항목에 대한 커널 모드 코드를 수정하려는 공격을 방지할 수 있습니다. KMCI는 모든 커널 코드가 올바르게 서명되었으며 실행이 허용되기 전에 변조되지 않았는지 확인합니다. HVCI는 유효성이 검사된 코드만 커널 모드에서 실행할 수 있도록 합니다. 하이퍼바이저는 프로세서 가상화 확장을 사용하여 커널 모드 소프트웨어가 코드 무결성 하위 시스템에서 먼저 유효성을 검사하지 않은 코드를 실행하지 못하도록 하는 메모리 보호를 적용합니다. HVCI는 커널에 악성 코드를 삽입하는 기능을 사용하는 WannaCry와 같은 일반적인 공격으로부터 보호합니다. HVCI는 드라이버 및 기타 커널 모드 소프트웨어에 버그가 있는 경우에도 악성 커널 모드 코드의 삽입을 방지할 수 있습니다.

Windows 11 새로 설치하면 필수 구성 요소를 충족하는 모든 디바이스에 대해 기본적으로 VBS 및 HVCI에 대한 OS 지원이 설정됩니다.

더 알아보세요

HVPT(하이퍼바이저 적용 페이징 번역)

하이퍼바이저가 적용한 HVPT(페이징 번역)는 게스트 실제 주소 번역에 게스트 가상 주소의 무결성을 적용하는 보안 향상 기능입니다. HVPT는 공격자가 버퍼 오버플로의 결과로 임의의 위치에 임의의 값을 쓸 수 있는 쓰기-위치 공격으로부터 중요한 시스템 데이터를 보호하는 데 도움이 됩니다. HVPT는 중요한 시스템 데이터 구조를 구성하는 페이지 테이블을 보호하는 데 도움이 됩니다.

하드웨어 적용 스택 보호

하드웨어 적용 스택 보호는 메모리 손상 및 제로 데이 익스플로잇과 같은 사이버 위협에 대한 최신 방어를 위해 소프트웨어와 하드웨어를 통합합니다. Intel 및 AMD 섀도 스택의 CET(제어 흐름 적용 기술)를 기반으로 하드웨어 적용 스택 보호는 스택의 반환 주소를 하이재킹하려는 악용 기술로부터 보호하도록 설계되었습니다.

애플리케이션 코드에는 해커가 스택 스매싱이라는 유형의 공격을 손상하거나 중단시키려는 프로그램 처리 스택이 포함되어 있습니다. 실행 파일 공간 보호와 같은 방어가 이러한 공격을 저지하기 시작했을 때 해커는 반환 지향 프로그래밍과 같은 새로운 방법으로 전환했습니다. 고급 스택 스매싱의 한 형태인 반환 지향 프로그래밍은 방어를 우회하고, 데이터 스택을 하이재킹하고, 궁극적으로 디바이스가 유해한 작업을 수행하도록 강제할 수 있습니다. 이러한 제어 흐름 하이재킹 공격을 막기 위해 Windows 커널은 반환 주소에 대해 별도의 섀도 스택 을 만듭니다. Windows 11 스택 보호 기능을 확장하여 사용자 모드와 커널 모드 지원을 모두 제공합니다.

더 알아보세요

DMA(커널 직접 메모리 액세스) 보호

Windows 11 DMA(직접 메모리 액세스) 공격과 같은 물리적 위협으로부터 보호합니다. Thunderbolt, USB4 및 CFexpress를 비롯한 PCIe(주변 장치 상호 연결 Express) 핫 플러그형 디바이스를 사용하면 사용자가 USB와 동일한 플러그 앤 플레이 편의를 통해 다양한 외부 주변 장치를 PC에 연결할 수 있습니다. 이러한 디바이스에는 그래픽 카드 및 기타 PCI 구성 요소가 포함됩니다. PCI 핫 플러그 포트는 외부에 있고 쉽게 액세스할 수 있으므로 PC는 DMA 공격에 취약합니다. 메모리 액세스 보호(커널 DMA 보호라고도 함)는 외부 주변 장치가 메모리에 무단으로 액세스하지 못하도록 방지하여 이러한 공격으로부터 보호합니다. 드라이브 기반 DMA 공격은 일반적으로 시스템 소유자가 없는 동안 빠르게 발생합니다. 공격은 PC의 디스어셈블리가 필요하지 않은 저렴한 기성 하드웨어 및 소프트웨어로 만든 간단한 공격 도구를 사용하여 수행됩니다. 예를 들어 PC 소유자는 빠른 커피 휴식을 위해 장치를 떠날 수 있습니다. 한편 공격자는 외부 도구를 포트에 연결하여 정보를 훔치거나 잠금 화면을 우회하는 기능을 포함하여 PC에 대한 원격 제어를 제공하는 코드를 삽입합니다. 메모리 액세스 보호가 기본 제공되고 사용하도록 설정되면 Windows 11 사용자가 작업할 때마다 물리적 공격으로부터 보호됩니다.

더 알아보세요

보안 코어 PC 및 Edge Secured-Core

2021년 3월 보안 신호 보고서에 따르면 기업의 80% 이상이 지난 2년 동안 하나 이상의 펌웨어 공격을 경험한 것으로 나타났습니다. 금융 서비스, 정부 및 의료와 같은 데이터에 민감한 산업의 고객을 위해 Microsoft는 OEM 파트너와 협력하여 SCPC(보안 코어 PC)라는 특수 범주의 디바이스와 ESc(Edge Secured-Core)라는 포함된 IoT 디바이스의 동등한 범주를 제공했습니다. 디바이스는 Windows를 뒷받침하는 펌웨어 계층 또는 디바이스 코어에서 더 많은 보안 조치를 사용하도록 설정하여 제공됩니다.

보안 코어 PC 및 에지 디바이스는 하드웨어 적용 신뢰 루트를 사용하여 시작 시 클린 신뢰할 수 있는 상태로 시작하여 맬웨어 공격을 방지하고 펌웨어 취약성을 최소화하는 데 도움이 됩니다. 가상화 기반 보안은 기본적으로 사용하도록 설정됩니다. 기본 제공 하이퍼바이저 보호 코드 무결성(HVCI)은 시스템 메모리를 보호하여 모든 커널 실행 코드가 알려진 인증 기관 및 승인된 기관에서만 서명되도록 합니다. 또한 보안 코어 PC 및 에지 디바이스는 커널 DMA 보호를 사용하여 DMA(드라이브 기반 직접 메모리 액세스) 공격과 같은 물리적 위협으로부터 보호합니다.

보안 코어 PC 및 에지 디바이스는 하드웨어 및 펌웨어 공격에 대한 강력한 보호의 여러 계층을 제공합니다. 정교한 맬웨어 공격은 일반적으로 탐지를 회피하고 지속성을 달성하기 위해 시스템에 부트킷 또는 루트킷 을 설치하려고 시도합니다. 이 악성 소프트웨어는 Windows가 로드되기 전 또는 Windows 부팅 프로세스 자체 중에 펌웨어 수준에서 실행되어 시스템이 최고 수준의 권한으로 시작할 수 있습니다. Windows의 중요한 하위 시스템은 가상화 기반 보안을 사용하므로 하이퍼바이저 보호가 점점 더 중요해지고 있습니다. Windows 부팅로더 전에 무단 펌웨어 또는 소프트웨어를 시작할 수 없도록 하기 위해 Windows PC는 모든 Windows 11 PC의 기준 보안 기능인 UEFI(Unified Extensible Firmware Interface) 보안 부팅 표준을 사용합니다. 보안 부팅은 신뢰할 수 있는 디지털 서명이 있는 권한 있는 펌웨어 및 소프트웨어만 실행할 수 있도록 합니다. 또한 모든 부팅 구성 요소의 측정은 TPM에 안전하게 저장되어 SRTM(정적 측정 신뢰 루트)이라고 하는 부팅의 검증할 수 없는 감사 로그를 설정하는 데 도움이 됩니다.

수천 개의 OEM 공급업체는 다양한 UEFI 펌웨어 구성 요소가 있는 수많은 디바이스 모델을 생산하며, 이로 인해 부팅 시 믿을 수 없을 만큼 많은 수의 SRTM 서명과 측정값이 생성됩니다. 이러한 서명 및 측정값은 기본적으로 보안 부팅에서 신뢰할 수 있기 때문에 특정 디바이스에서 부팅하는 데 필요한 것만 신뢰하도록 제한하는 것은 어려울 수 있습니다. 전통적으로 차단 목록과 허용 목록은 신뢰를 제한하는 데 사용되는 두 가지 기본 기술이며 디바이스가 SRTM 측정에만 의존하는 경우 계속 확장됩니다.

DRTM(Dynamic Root of Trust for Measurement)

보안 코어 PC 및 에지 디바이스에서 System Guard Secure Launch는 DRTM(Dynamic Root of Trust for Measurement)이라는 기술로 부팅을 보호합니다. DRTM을 사용하면 시스템은 처음에 일반적인 UEFI 보안 부팅 프로세스를 따릅니다. 그러나 시작하기 전에 시스템은 하드웨어로 제어되는 신뢰할 수 있는 상태로 들어가 CPU를 하드웨어 보안 코드 경로로 강제 적용합니다. 맬웨어 루트킷 또는 부트킷이 UEFI 보안 부팅을 우회하고 메모리에 있는 경우 DRTM은 가상화 기반 보안 환경으로 보호되는 비밀 및 중요한 코드에 액세스하지 못하게 합니다. 펌웨어 FASR(공격 표면 감소) 기술은 Microsoft Surface와 같은 지원되는 디바이스에서 DRTM 대신 사용할 수 있습니다.

SMM(시스템 관리 모드) 격리는 하이퍼바이저보다 더 높은 유효 권한으로 실행되는 x86 기반 프로세서의 실행 모드입니다. SMM은 공격 노출 영역을 줄여 DRTM에서 제공하는 보호를 보완합니다. SMM 격리는 Intel 및 AMD와 같은 실리콘 공급자가 제공하는 기능에 의존하여 SMM 코드가 OS 메모리에 액세스하지 못하도록 방지하는 등의 제한을 구현하는 정책을 적용합니다. SMM 격리 정책은 Microsoft Azure 원격 증명과 같은 검증 도구로 보낼 수 있는 DRTM 측정의 일부로 포함됩니다.

보안 시작 구성 요소의 다이어그램

더 알아보세요

구성 잠금

많은 조직에서 IT 관리자는 사용자가 구성을 변경하지 못하도록 방지하고 구성 드리프트를 만들어 OS를 보호하고 디바이스를 준수 상태로 유지하기 위해 회사 디바이스에 정책을 적용합니다. 구성 드리프트는 로컬 관리자 권한이 있는 사용자가 설정을 변경하고 장치를 보안 정책과 동기화되지 않도록 할 때 발생합니다. 비규격 상태의 디바이스는 디바이스 관리 솔루션으로 구성을 다시 설정할 때 다음 동기화까지 취약할 수 있습니다.

구성 잠금은 사용자가 보안 설정을 원치 않게 변경할 수 없도록 하는 보안 코어 PC 및 에지 디바이스 기능입니다. 구성 잠금을 사용하면 Windows에서 지원되는 레지스트리 키를 모니터링하고 드리프트를 감지한 후 몇 초 만에 IT 원하는 상태로 되돌려집니다.

더 알아보세요