지난 주 드디어 Windows 8이 정식 발매되기 시작하였습니다. 주위에 많은 분들이 업그레이드(1만원대) 용으로 많이 구매하기 시작합니다.
때 마침 Computerworld 에 게시된 흥미로운 기사를 보고, 짧게 기사내용 리뷰해 봅니다.
[원문] http://www.computerworld.com/s/article/9232943/Windows_8_security_focuses_detecting_malware_early
크게 보면 다음과 같은 보안에 관한 여러 요소들이 Windows 8에 적용되었다고 합니다.
– UEFI(Unified Extensible Firmware Interface) 펌웨어 대체
– ELAM(Early Launch Anti Malware) 기능 추가
– Windows Defender
– IE(Internet Explorer) 10 버전 탑재
Windows 8 에는 malware를 실행 전 탐지할 수 있는 향상된 기능이 내포되어 있고, 이를 위해 Windows가 부팅하는 동안 malware 를 탐지할 수 있는 2가지 중요한 기능에 대해서 언급하고 있습니다.
# UEFI(Unified Extensible Firmware Interface) 펌웨어 대체
——————————————————————————————————
RootKit 이란 ???
기사에서 언급된 일반적인 정의는 다음과 같은 기능들을 가지는 스텔스(Stealthy) Malware 입니다.
– PC를 조정할 수 있는 백도어를 오픈
– 컴퓨터 시작시 재실행될 수 있는 코드 사용
– AntiVirus 제품을 무력화시키는 기능
MS는 이러한 Rootkit 을 방어하기 위해 30년간 사용해오던 옛 BIOS firmware를 버리고, 일명 “Secure Boot”라고 불리우는 UEFI(Unified Extensible Firmware Interface) 로 대체했다고 합니다. 이는 부팅시 실행되는 코드가 신뢰(Trusted)할 수 있는 출처로부터 온 것이라는 것을 확인시켜줍니다.
따라서, 초기 BootUp 코드가 UEFI firmware 안에 Key로부터 추출된 인증서(certificate)로 싸인되어야 하기 때문에 펌웨어 변조가 어려워져 RootKit이 로딩되는 것을 더욱 어렵게 만들 수 있다는 것입니다.
# ELAM(Early Launch Anti Malware) 기능 추가
——————————————————————————————————
Malware의 또 다른 초기 탐지기능으로는 ELAM(Early Launch Anti MAlware) 기능을 소개합니다.
이는 OS가 로딩되는 동안 Anti-Virus 벤더의 소프트웨어도 실행시킬 수 있는 향상된 보안 기능입니다.
# Windows Defender
——————————————————————————————————
무엇보다 Anti-Virus 벤더들이 가장 관심을 갖을만한 내용은 자사의 제품과 영역 충돌이 일어날 수 있는 Windows 8에 탑재된 Windows Defender 새버전입니다.
ESET에서는 Windows 8에 대해 다음과 같은 보고서를 발표하였습니다.
http://go.eset.com/us/resources/white-papers/ESETNA_WP-Windows8-FUD.pdf
ESET 테스트 결과에 의하면, 정식 버전 Defender는 무료 Anti-Virus 제품보다 성능면에서는 좋으나, task scheduling, centralized management, reporting 등의 사용자 편의를 제공하는 부가적인 기능들이 다소 부족하다고 말하고 있습니다.
또한, Windows8의 가장 큰 변화는 MS가 모든 벤더제품이 clean uninstall 되는 것을 요구하기 때문에, 이는 모든 제품에 대한 잔여 files, drivers, registry 등등이 남겨 지지 않기 때문에 기존에 발생하던 충돌 문제등이 해결될 수 있다고 합니다.
MS 사는 Anti-Virus 제품의 설치 및 제거가 보다 쉬워졌다고 밝히고 있습니다.
# IE(Internet Explorer) 10 버전 탑재
——————————————————————————————————
Windows 8에는 기본적으로 IE(Internet Explorer)의 최신 버전인 IE 10이 탑재되었습니다.
브라우저 안에는 이미 Google의 Crome에서 사용되고 있는 Sandbox 구조인 Adobe Flash sandbox 동작이 가능하다고 합니다.
또한, Flash에 대한 자동 업데이트 기능도 포함되어 있어 기존에 MS 제품 외에도 Second 벤더에 대한 업데이트에 신경써야 했던 문제들을 해결할 수 있다고 합니다.
기존에 Flash를 공격에 이용하고 있는 공격자들에게 좋지 않은 소식이 되겠습니다. ^^;;
하지만, Kandek에 의하면 Browser Plugin이 해커들의 또다른 좋은 먹잇감(공격대상)이 될 것으로 예상된다고 합니다.
![[QuickReview] Windows 8 Security Focus](http://3.bp.blogspot.com/-uyMLGw7f0SI/UKAPwmIjc4I/AAAAAAAAFlw/_tGdzXgfYnI/s1600/1780x1200_CommonExploitPacks2012u18.jpg)