![퀘이사존](https://img2.quasarzone.com/editor/2024/07/03/12fab372c5de3e2bda740b9d2382bba3.jpg)
가상화 기반 보안(VBS)은 윈도우 11 설치 시 기본적으로 활성화되는 보안 기능으로 논란이 되고 있습니다. OS를 Hyper-V 하이퍼바이저 위에서 실행되는 가상 머신으로 전환하면 데이터 보호 및 무결성이 크게 향상되지만 성능에는 부정적인 영향을 미칩니다.
게이머와 일반 사용자는 일반적으로 게임과 일반 소프트웨어 모두에서 눈에 띄는 성능 향상을 얻으려면 VBS 및 Hyper-V 기반 가상화를 비활성화하는 것이 좋습니다. 하지만 마이크로소프트는 VBS가 윈도우 10/11의 보안을 크게 향상시킬 수 있다고 단호하게 말합니다. 마이크로소프트는 이제 데이터 보호가 최우선 과제인 경우 완전히 새로운 방식으로 애플리케이션을 빌드할 수 있는 VBS 엔클레이브라는 또 다른 VBS 기반 기능을 도입하고 있습니다.
VBS 환경은 "호스트 애플리케이션 내부의 소프트웨어 기반 TEE(신뢰할 수 있는 실행 환경)입니다."라고 마이크로소프트는 설명합니다. Hyper-V 덕분에 VBS는 하이퍼바이저 위에 있는 가상 머신에서 실행되는 운영 체제보다 더 높은 권한 수준의 환경을 만들 수 있습니다. 개발자는 VBS 엔클레이브를 통해 모든 표준 윈도우 프로그램에서 로드할 수 있는 동적 링크 라이브러리(DLL) 파일을 사용하여 애플리케이션의 특정 부분을 보호할 수 있습니다.
VBS가 Hyper-V 하이퍼바이저를 통해 생성하는 격리된 권한 가상 환경을 가상 신뢰 수준 1(VTL1)이라고 하며, 마이크로소프트는 이를 "OS의 신뢰 루트"라고 설명합니다. 기존 윈도우 환경은 더 낮은 권한 수준(VTL0)에서 작동하는 반면, VTL1은 격리된 사용자 모드와 보안 커널로 더 세분화됩니다.
![퀘이사존](https://img2.quasarzone.com/editor/2024/07/03/7a7110db1f9fad5425e39ac6ed44bef8.jpg)
가상화된 윈도우 설치는 VTL1에서 많은 보안 기능을 호스팅하며, VBS 엔클레이브를 사용하여 애플리케이션의 일부를 VTL1에서도 격리할 수 있습니다. VTL0에서 실행 중인 어떤 것도 VTL1의 보안 인클레이브에 액세스할 수 없으므로 개발자는 적어도 이론적으로는 해커가 없는 격리된 환경에서 비밀번호와 같은 '비밀'을 보호하고, 데이터를 봉인하고, 암호 해독 작업을 수행할 수 있습니다.
VBS 엔클레이브를 사용하도록 설계된 소프트웨어를 만들고 사용하려면 VBS/HVCI 기능이 활성화된 가상화된 윈도우 설치 등 특정 장치 요구 사항에 따라 달라집니다. 또한 윈도우 11 또는 윈도우 Server 2019가 필요합니다. 개발자는 Visual Studio 2022 버전 17.9 이상을 사용하여 프로젝트를 코딩해야 하며, 마이크로소프트에서 제공하는 '엔클레이브 인증서'로 VBS 코드에 서명해야 합니다.
크게 강화된 보안을 제공하지만, VBS 엔클레이브는 윈도우 API에 대한 액세스가 제한되도록 설계되었습니다. 마이크로소프트는 사이버 범죄자에게 더 작은 공격 표면을 노출하기 위해 제한된 범위의 기능을 제공하기로 선택했으며, 이는 결과적으로 VTL1의 무결성을 더 쉽게 유지할 수 있게 해줍니다. DLL 파일은 "호스트가 의도한 애플리케이션"뿐만 아니라 모든 프로그램에 의해 로드될 수 있으므로 코더는 VBS 인클레이브를 설계할 때 호스트를 신뢰해서는 안 됩니다.
※ 퀘이사존 공식 기사가 아닌 해외 뉴스/기사를 번역한 것으로, 퀘이사존 견해와 주관은 포함되어 있지 않습니다. |