세계에서 가장 널리 사용되는 데스크톱 운영 체제인 Windows 11에는 분명 문제가 있습니다. 하지만 이러한 문제에도 불구하고, 많은 사용자가 원치 않는 추가 기능 때문에 Windows XNUMX을 사용하지 않게 된 것에도 불구하고 Windows XNUMX은 Windows XNUMX 운영 체제 중 가장 발전된 버전입니다. 가능한 한 오랫동안 Windows 10을 사용하세요 또는 대신 Linux로 이동하세요하지만 Windows에는 항상 저를 괴롭혔던 특정 측면이 하나 있는데, 바로 Microsoft가 오랫동안 운영 체제에서 드라이버를 로드하기 전에 드라이버에 디지털 서명을 요구한다는 정책입니다.
간단히 말해, 드라이버는 하드웨어나 소프트웨어가 Windows와 상호 작용할 수 있도록 하는 저수준 코드(대개 운영 체제 커널에서 실행됨)입니다. 서명된 드라이버에는 신뢰할 수 있는 기관(예: Microsoft 자체 인증서 또는 과거에는 Microsoft에서 승인한 인증 기관)의 암호화 서명이 포함되어 있으며, Windows는 드라이버 실행을 허용하기 전에 이 서명의 진위성과 무결성을 검증합니다. 이러한 드라이버 서명 구현은 수십 년에 걸쳐 발전하여 필수적인 게이트키퍼 역할을 했으며, 이중적인 특성을 가지고 있습니다.
한편으로는 악성코드가 (적절한 인증서 없이는 도용될 수 있는) 심층적인 공격을 차단하여 보안을 확실히 향상시키지만, 다른 한편으로는 사용자 제어를 제한하고 Microsoft 규정 준수를 요구합니다. 사용자의 자유를 침해하는 측면도 있지만, 분명한 장점도 있습니다. Windows 최고의 보안 기능 중 하나이지만, 그 존재 자체가 본질적으로 소비자를 침해하는 것입니다.
운전자 서명이란 무엇인가요?
드라이버 서명은 Microsoft 또는 다른 신뢰할 수 있는 기관에서 장치 드라이버에 부여하는 디지털 인증서입니다. 이 서명은 드라이버가 정품이며 장치 제조업체에서 배포한 이후 변조되거나 수정되지 않았음을 Windows에 알려줍니다. 드라이버의 무결성과 안정성을 보장하는 디지털 인증이라고 생각하면 됩니다.
즉, 드라이버 게시자의 신원을 확인하고 소프트웨어가 변조되지 않았는지 확인하는 방법입니다. 드라이버는 운영 체제 내부에서 깊숙이 작동하기 때문에, 드라이버가 악성이거나 불안정할 경우 시스템 충돌이나 보안 취약점과 같은 심각한 문제를 일으킬 수 있으므로 이는 매우 중요합니다.
서명된 드라이버를 설치하면 Windows는 드라이버 설치를 허용하기 전에 서명을 확인합니다. 서명이 유효하면 해당 드라이버가 Microsoft 또는 다른 신뢰할 수 있는 기관에서 테스트 및 인증을 받았으며 설치가 안전함을 의미합니다. 서명이 유효하지 않거나 누락된 경우 Windows는 드라이버가 안전하지 않거나 시스템과 호환되지 않을 수 있다는 경고를 표시합니다.
운전자 서명이 중요한 이유는 무엇입니까?
- 안전: 시스템을 위험에 빠뜨릴 수 있는 악성 또는 변조된 드라이버의 설치를 방지합니다.
- 안정: 드라이버가 Windows와 호환되고 시스템 문제를 일으키지 않는지 확인합니다.
- 참고: 해당 드라이버가 Microsoft 또는 신뢰할 수 있는 다른 당사자에 의해 테스트 및 인증되었음을 나타냅니다.
일반적으로 드라이버 서명은 시스템을 맬웨어로부터 보호하고 안정성과 신뢰성을 보장하는 중요한 보안 메커니즘입니다. 따라서 서명된 드라이버만 설치하는 것이 가장 좋습니다.
오랜 보호의 역사
드라이버 서명은 코드 무결성 보안 기능의 핵심 부분입니다. Microsoft, 이는 1900년대에 처음 도입되었습니다. Windows Vista 그것은 의무화되었습니다 윈도우 10, 버전 1607. 개념은 간단하고 직관적입니다. 커널에서 실행되는 모든 코드는 다음을 수행해야 합니다. Windows ("링 0"이라고 함) 신뢰할 수 있는 기관의 유효한 디지털 서명입니다. 설명서에 따르면 Microsoft 공식적으로 코드 무결성은 "메모리에 로드될 때마다 드라이버나 시스템 파일의 무결성을 확인하여 운영 체제의 보안을 향상"합니다. Windows 64비트, "커널 모드 드라이버는 디지털 서명되어야 합니다." 실제로 이는 다음을 의미합니다. Windows 인정된 인증서가 없는 운전자는 탑승이 거부됩니다.
다른 운영 체제와 마찬가지로 커널(ntoskernel.exe, 또는 핵 윈도우 NT)는 운영 체제의 핵심이며, 가장 높은 권한을 가지고 있으므로 이 영역에서 무단 코드가 실행되는 것을 방지하는 것이 매우 중요합니다. 디지털 서명은 드라이버가 특정 개발자에 의해 게시되었으며 그 이후로 변경되지 않았음을 보장합니다. 간단히 말해, 서명되지 않았거나 악의적으로 수정된 드라이버는 기본 정책에 따라 설치되지 않으며, 보안 측면에서 이는 소비자와 기업 모두를 보호하는 데 도움이 됩니다.
실제로 이는 합법적인 하드웨어 공급업체와 개발자가 드라이버에 서명하는 프로세스를 거쳐야 함을 의미합니다. Windows 현대에는 확장된 검증 인증서를 취득하고 운전자를 다음 위치로 보내는 것이 종종 포함됩니다. Microsoft 승인하려면 이 승인 없이 커널에서 코드를 실행하려고 하면 "실행할 수 없습니다"와 유사한 오류가 표시됩니다. Windows 이 장치에 필요한 드라이버의 디지털 서명을 확인하세요." 이를 통해 맬웨어가 루트킷이나 악성 드라이버를 설치하여 시스템을 완전히 제어할 수 있는 모든 종류의 공격을 방지할 수 있습니다. Windows 64비트에서는 장치 드라이버를 로드하는 것이 커널에서 임의의 코드를 실행하는 유일한 방법이지만, 서명되지 않은 실행 파일의 경우 이 방법이 완전히 작동하지 않습니다.
관리자는 어떻게 되나요? 이 수준의 권한을 가진 계정이라도 예외는 아닙니다. 신원과 관계없이 서명되지 않은 드라이버를 로드할 수 없습니다. Windows 64비트. 비활성화하는 유일한 방법은 "드라이버 서명 적용 비활성화" 부팅 옵션을 사용하는 것입니다. 이 옵션은 다음 부팅 시 재설정됩니다. 또는 BCDEDIT 검증을 완전히 비활성화하는 거예요. 제가 마련한 안전망이에요. Microsoft 컴퓨터 소유자라도 이를 우회해서는 안 됩니다.
Microsoft는 수년에 걸쳐 요구 사항을 강화해 왔습니다.
Microsoft는 더욱 원활하고 안전한 사용자 환경을 제공하기 위해 수년에 걸쳐 Windows 운영 체제 요구 사항을 점진적으로 강화해 왔습니다. 이러한 요구 사항 변화는 지속적인 기술 발전, 성능 향상, 그리고 증가하는 보안 위협에 대한 보호 강화의 필요성을 반영합니다. Microsoft는 새로운 Windows 버전을 출시할 때마다 시스템을 효율적으로 실행하는 데 필요한 최소 사양을 높이고 있으며, 특히 프로세서, RAM(Random Access Memory), 저장 공간, 그리고 TPM(Trusted Platform Module)과 같은 최신 기술 지원에 중점을 두고 있습니다.
이러한 요구 사항 강화는 사용자에게 직접적인 영향을 미칩니다. 일부 사용자는 이전 기기에서 최신 버전의 Windows를 실행할 수 없을 수 있기 때문입니다. 그러나 이러한 조치를 통해 Microsoft는 새롭고 향상된 기능을 도입하고, 전반적인 시스템 성능을 향상시키며, 더 높은 수준의 보안을 제공할 수 있습니다. 예를 들어 Windows 11의 일부 고급 기능을 사용하려면 특정 명령어를 지원하는 최신 프로세서와 함께 향상된 보안 및 데이터 보호를 위한 TPM 2.0 모듈이 필요합니다.
또한, 엄격한 요구 사항을 통해 Microsoft는 최신 기기 지원 및 최신 기술과의 호환성 향상에 집중하여 전반적으로 더 나은 사용자 경험을 제공할 수 있습니다. 이러한 변화는 구형 기기를 사용하는 사용자에게는 다소 불편을 초래할 수 있지만, 기기를 업그레이드하거나 새 기기를 구매하는 사용자는 Windows 운영 체제에서 최상의 성능과 보안을 누릴 수 있습니다.
이는 장치 드라이버를 검사하는 간단한 도구로 시작되었습니다.
Microsoft가 장치 드라이버에 디지털 서명을 의무화하려는 움직임은 2000년대 중반, 스파이웨어, 루트킷, 운영 체제 안정성에 대한 우려가 커지면서 시작되었습니다. Windows XNUMX부터 Driver Verifier는 명령줄 프로그램으로, 장치 드라이버의 불법 기능을 테스트하고 오류를 감지하는 데 사용되었으며, Windows XP 출시와 동시에 그래픽 사용자 인터페이스로 업데이트되었습니다. 당시에는 드라이버 서명 기능이 존재했지만 엄격하게 요구되는 것은 아니었습니다. 다만 그룹 정책 옵션을 통해 설치를 완전히 차단하거나, 사용자에게 경고하지만 설치를 허용하거나, 또는 자동으로 설치하도록 설정할 수 있었습니다.
이러한 상황은 Windows x64 버전부터 바뀌었습니다. Windows Vista부터(그리고 제한된 형태로 Windows XP x64 Edition까지) 인증서에 직접 서명할 수는 있지만,), 64비트 Windows 시스템은 커널 모드 정의에 서명을 요구했는데, 이는 비공식적으로 PatchGuard라고 불리는 커널 패치 보호(Kernel Patch Protection)를 포함한 광범위한 보안 이니셔티브의 일환으로 이루어졌습니다. Vista x64에 의무 서명 기능이 도입된 것은 당시 논란의 여지가 있었지만, Microsoft의 공식 목표는 일부 보고서에 따르면 전체 악성 소프트웨어 클래스와 DRM(디지털 권리 관리) 보호.
장치 드라이버에 서명을 요구하는 것이 여러 업계의 이해관계와 일치한다는 것은 공공연한 사실입니다. 이는 당시 마이크로소프트가 기업들이 드라이버 배포 라이선스 비용을 지불하도록 강제할 수 있음을 의미하기도 했습니다. 그렇지 않으면 이러한 드라이버는 대부분의 기기에 설치되지 않았을 것입니다. 그 이후로 요구 사항은 더욱 엄격해졌고, 앞서 언급했듯이 Windows 10 버전 1607에서는 드라이버 서명을 요구했습니다. 짹짹짹 정의는 Microsoft 인증서로 서명됩니다.
Windows 11이 필요합니다. UEFI 보안 부팅 새 시스템에 기본적으로 적용되는 TPM은 안정적인 부팅 및 드라이버 인증 보장을 두 배로 강화합니다. 다시 말해, 최신 Windows에는 실행 가능한 저수준 코드를 결정하는 중앙 기관(Microsoft)이 있습니다. 결과적으로 Microsoft(및 몇몇 인증서 공급업체)가 Windows 플랫폼의 게이트키퍼 역할을 하게 되면서 공격자가 침투하기 훨씬 더 어려운 목표물이 됩니다.
Microsoft는 어떤 대가를 치르더라도 커널을 보호하려고 노력합니다.
Microsoft는 Windows 운영 체제의 보안을 강화하기 위해 끊임없이 노력하고 있으며, 커널 보호는 최우선 과제입니다. 커널은 운영 체제의 핵심이며, 커널이 침해되면 기기를 완전히 장악하게 됩니다. 이러한 이유로 Microsoft는 다층적인 보호 기능을 통해 커널에 대한 무단 접근을 차단하는 기술과 소프트웨어에 막대한 투자를 하고 있습니다.
이러한 노력에는 커널 무단 수정을 방지하는 커널 패치 보호(Kernel Patch Protection)와 민감한 프로세스를 안전한 가상 환경에서 격리하는 가상화 기반 보안(Virtualization-Based Security)과 같은 기술이 포함됩니다. Microsoft는 또한 커널을 손상시키려는 시도를 실시간으로 탐지하는 고급 분석 도구를 개발하고 있습니다.
커널 보안은 특히 사이버 공격 방식이 진화함에 따라 지속적인 과제입니다. 따라서 Microsoft는 Windows의 보안과 안정성을 유지하기 위해 보안 메커니즘을 지속적으로 업데이트하고 개발하는 데 전념하고 있습니다. 이러한 노력은 Microsoft가 사용자 데이터와 장치의 무결성을 유지하는 데 있어 커널의 중요성을 인식하고 있음을 반영합니다.
일반 개발자도 사용할 수 없다는 뜻이더라도요.
드라이버 서명 적용이 Windows 운영 체제의 보안을 크게 향상시켰다는 강력한 주장이 있습니다. 서명되지 않은 드라이버를 차단함으로써 루트킷이나 커널 수준 맬웨어와 같이 바이러스 백신 소프트웨어가 감지하지 못하는 모든 유형의 디지털 공격이 차단됩니다. 과거에는 최첨단 맬웨어 중 상당수가 메모리에 접근하거나 시스템을 심층적으로 변경하기 위해 드라이버로 위장하려고 시도했습니다. 오늘날 맬웨어는 도난당하거나 유출된 디지털 인증서를 보유하지 않는 한 완전히 패치된 64비트 Windows 시스템에 드라이버를 로드할 수 없습니다. 이는 Windows XP 시절보다 훨씬 높은 장벽입니다. 부팅 시 서명되지 않은 드라이버가 발견되면 시스템이 시작되지 않습니다.
온라인 게임을 위한 최신 안티치트 시스템 또한 Windows 드라이버 서명 요구 사항의 주요 수혜자가 되었습니다. 많은 경쟁 타이틀에서 최첨단 치트 개발자들은 사용자 모드 안티치트 도구의 탐지를 피하기 위해 커널 모드에서 치트를 실행하려고 시도합니다. 이것이 Easy-AntiCheat, Faceit, 그리고 폭동 선봉대 다른 많은 안티 치트 솔루션은 모두 안티 치트 제품군의 일부로 자체 커널 드라이버를 설치합니다. 이러한 안티 치트 프로그램은 관리자 권한보다 더 높은 권한 수준에서 실행됩니다(관리자조차 서명되지 않은 드라이버를 설치할 수 없다는 것을 기억하시나요?). 이를 통해 시스템의 부정 행위를 감시하고, 게임 메모리 접근을 차단하고, 게임 코드가 변조되지 않았는지 확인합니다. 드라이버 서명은 개발자가 게임을 중심으로 구축하는 이러한 보호 체계의 핵심 요소입니다. Windows는 적절하게 서명되지 않은 드라이버를 거부하기 때문에, 치트 개발자는 단순히 사용자 지정 커널 드라이버를 만들어 임의로 로드하여 안티 치트를 우회할 수 없습니다. 운영 체제가 이를 허용하지 않기 때문입니다.
이에 대응하여, 치트 프로그램 제공업체와 악성코드 개발자들은 드라이버 무차별 대입 공격의 효과를 보여주는 취약점을 찾아왔습니다. 흔히 사용되는 기법 중 하나는 BYOVD(Bring Your Own Vulnerable Driver)로, 공격자가 알려진 취약점이 있는 서명된 드라이버를 찾는 것입니다. 정식 드라이버가 로드되어 Windows에서 승인되면, 해당 취약점을 악용하여 커널에서 코드를 실행합니다. 이러한 공격의 한 예는 다음과 같습니다. Lenovo Mapper 드라이버 오용, 서명되지 않은 치트 드라이버를 배포하고 Riot의 Vanguard TPM 검사를 비활성화합니다.
이는 직접 메모리 접근(DMA) 공격 및 부정 행위와도 관련이 있습니다. DMA는 하드웨어 장치가 CPU를 우회하여 시스템 메모리에 직접 접근할 수 있도록 허용하며, 잠재적으로 보조 컴퓨터가 게임 메모리를 읽거나 쓸 수 있도록 합니다. 그러나 Windows에는 IOMMU를 사용하는 커널 DMA 보호 기능이 있어 허가되지 않은 PCIe 장치가 메모리에 접근하는 것을 차단합니다. DMA 리매핑 호환 드라이버 이 기능은 Microsoft의 서명 적용을 통해 보호됩니다. Windows 시작 전에 부팅 시 악성 코드나 치트 로더가 침투하는 것을 방지하는 보안 부팅, 그리고 TPM 기반 부팅 검증 기능을 함께 사용하면 사용자 제어 PC라는 점을 고려했을 때 매우 안전한 환경을 구축할 수 있습니다.
이 기술은 게임 부정행위에만 국한되지 않습니다. 드라이버를 악용하여 시스템 보안 기능을 비활성화하고 커널에 악성 코드를 심는 랜섬웨어 사례는 수없이 많습니다. 이로 인해 공격 영역이 운영 체제에서 마이크로소프트가 검증하고 서명한 저수준 코드로 이동하게 됩니다. 맬웨어 개발자는 사용자 기기에 이미 설치된 기존 드라이버를 악용해야 하는데, 이는 널리 사용되는 드라이버에서 취약점을 발견하거나 사용자를 속여 해당 취약점이 있는 소프트웨어를 설치하게 하는 것을 의미합니다.
드라이버 서명 적용은 포괄적인 보안 아키텍처의 한 요소일 뿐이며, 그 자체로는 모든 것을 차단하기에 충분하지 않습니다. 하지만 Microsoft에서 사용하는 다른 기술들과 결합하면 보안 수준을 크게 높일 수 있다는 것은 부인할 수 없습니다. 도난당한 인증서는 감지 및 해지되기 전까지 차용된 시간 동안 작동하며, 하드웨어적인 해결책 또한 종종 효과가 없습니다.
운전자의 서명이 소비자에게 불리한 것으로 간주되는 이유는 무엇입니까?
드라이버 서명 적용은 Windows와 같은 운영 체제가 시스템에 설치된 드라이버가 신뢰할 수 있고 변조되지 않았는지 확인하기 위해 따르는 보안 조치입니다.
하지만 왜 일부 사람들은 이러한 움직임을 "소비자 반대"로 보는 걸까?
답은 여러 가지에 있습니다.
- 선택의 자유 제한: 서명 적용은 사용자가 신뢰하는 드라이버라도 Microsoft 또는 다른 공인 기관에서 디지털 서명하지 않았다는 이유로 설치하지 못하게 할 수 있습니다. 이는 사용자가 원하는 하드웨어와 소프트웨어를 선택할 수 있는 자유를 제한합니다.
- 오래된 장치 지원의 어려움: 제조업체는 종종 구형 기기의 드라이버 업데이트를 중단합니다. 구형 기기용 드라이버가 서명되지 않은 경우, 사용자는 드라이버 서명을 강제하는 최신 운영 체제에서 해당 드라이버를 사용할 수 없습니다. 이로 인해 구형 기기가 여전히 잘 작동하더라도 사용자는 새 하드웨어를 구매해야 합니다.
- 서명을 받는 데 드는 비용: 디지털 서명을 얻는 것은 특히 개인 개발자나 소규모 사업체의 경우 비용이 많이 들 수 있습니다. 이는 혁신을 저해하고 특수 기기나 희귀 기기용 새 드라이버 개발을 어렵게 만들 수 있습니다.
- 호환성 문제: 서명된 드라이버가 다른 하드웨어나 소프트웨어와의 호환성 문제를 일으키는 경우가 있습니다. 특히 IT 전문가가 아닌 사용자는 이러한 문제를 파악하고 해결하는 데 어려움을 겪을 수 있습니다.
- 대기업의 독점: 운전자 서명을 요구하는 것은 대기업이 소기업이나 개인 개발자에 비해 불공평한 이점을 제공한다고 여겨집니다. 대기업은 디지털 서명을 쉽게 얻을 수 있는 자원을 가지고 있는 반면, 개인 개발자는 어려움을 겪을 수 있습니다.
간단히 말해, 운전자 서명 시행은 보안을 강화하기 위한 것이지만, 선택의 자유를 제한하고, 오래된 기기에 대한 지원을 어렵게 만들고, 비용을 증가시키고, 호환성 문제를 일으키고, 대기업의 독점을 강화하는 등 소비자에게 부정적인 영향을 미칠 수 있습니다.
따라서 운전자 서명을 강제하는 데 따른 보안상의 이점은 소비자와 혁신에 미치는 부정적인 영향과 균형을 이루어야 합니다.
이는 특정 기기에서 무엇을 실행할 수 있고, 무엇을 실행할 수 없는지에 대한 것입니다.
드라이버 서명이 보안에 그렇게 유익하다면, 무엇이 소비자에게 불리하게 작용할까요? 이러한 비판은 이 보안 메커니즘이 사용자의 자유와 시스템 제어권을 심각하게 제한한다는 사실에서 비롯됩니다. 보안과 개방성 사이에는 암묵적인 상충 관계가 존재하며, 마이크로소프트는 후자보다는 보안에 크게 의존합니다. 마이크로소프트는 운영 체제가 마이크로소프트가 검증한 저수준 코드만 신뢰하는 모델을 채택했습니다. 이는 업계의 이익과 부합하는 방식으로 권한을 중앙 집중화하고 인증을 통해 수익을 창출하는 방식입니다.
드라이버 서명 확인 비활성화로 돌아가서, 개인용 하드웨어든 소유한 기기든, 개인 용도로 사용자 지정 드라이버를 개발하는 것은 번거로운 일입니다. "드라이버 서명 적용 비활성화" 시작 옵션으로 부팅하여 무결성 검사를 완전히 비활성화하거나, Windows 서명 확인 모드를 활성화해야 하는데, 둘 다 특별히 편리하지는 않습니다. 개인적인 "소유권"이 일반적으로 의미하는 것과 같은 방식으로 컴퓨터에 대한 통제권을 Microsoft가 유지합니다.
또한, 대기업이나 자원이 풍부한 개발자만이 드라이버 서명 요건을 쉽게 충족할 수 있습니다. 최신 Windows 릴리스에 대해 제대로 서명된 드라이버를 얻으려면 개발자는 EV 코드 서명 인증서를 취득해야 하는데, 이 인증서는 엄격한 신원 확인 및 하드웨어 코드 검증을 요구하며, 연간 수백 달러의 비용이 발생합니다. Notepad++가 대표적인 예이다. 이는 코드 서명 문제와 관련이 있는데, 마이크로소프트에 연간 인증 수수료를 지불하지 않으면 사용자 수준 소프트웨어가 영향을 받게 됩니다. 드라이버에도 동일한 개념이 적용됩니다.
하지만 이 요구 사항은 일반 소비자가 서명된 드라이버 업데이트를 받지 않은 구형 기기를 사용하지 못하게 할 수도 있습니다. 예를 들어 Windows 11 PC에 연결하려는 구형 PC 주변 기기가 있다고 가정해 보겠습니다. 해당 드라이버가 Windows XP 시대 버전이고 디지털 서명이 없는 경우, 해당 기기는 완전히 차단됩니다. 서명 적용을 비활성화하거나(이 경우 여러 문제가 발생할 수 있습니다) 기기를 폐기할 수 있습니다. 과거에는 드라이버를 직접 수정할 수 있었지만, 관련 비용과 복잡성 때문에 요즘은 DIY 솔루션이 거의 사용되지 않습니다.
사실, 커뮤니티 구성원들이 직접 문제를 해결하더라도 금방 역효과가 날 수 있습니다. 개발자가 자신의 애플리케이션에서 시스템 팬을 제어하는 데 사용할 수 있는 잘 알려진 드라이버는 InpOut32와 WinRing0 두 가지입니다. 전자는 라이엇의 Vanguard와 충돌하기 때문에 많은 사람들이 Fan Control과 같은 도구의 핵심인 후자를 선택했습니다. 하지만 이 문제는 2020년에 발견되었습니다. WinRing0에는 심각한 보안 취약점이 있었습니다. 몇 년 후 Windows Defender에서 이 취약점이 보고되어 차단되었고, 이에 의존하던 애플리케이션은 더 이상 사용할 수 없게 되었습니다.
이 문제는 Microsoft에서 허용하는 유효한 드라이버를 개발하고 유지하는 데 드는 비용 때문에 더욱 심각해집니다. 다음은 기사 발췌문입니다. 직전 이는 문제를 설명합니다.
SignalRGB의 설립자인 티모시 선은 보안 위험이 훨씬 더 복잡하다고 설명합니다. "WinRing0가 시스템 전체에 설치되기 때문에 사용자 시스템에 처음 설치된 버전에 의존하고 있다는 것을 알게 되었습니다. 이로 인해 다른 애플리케이션이 잠재적으로 취약한 버전을 설치했는지 확인하기가 매우 어려웠고, 우리의 노력에도 불구하고 사용자를 위험에 빠뜨렸습니다."라고 그는 말합니다.
그래서 그의 회사는 자체 RGB 인터페이스에 투자했고, 결국 0년에 WinRing2023을 폐기하고 자체 SMBus 드라이버를 채택했습니다. 하지만 Sun을 포함하여 제가 이야기를 나눈 개발자들은 이것이 막대한 비용이 드는 제안이라는 데 동의합니다.
Sun은 "감히 말씀드리자면, 개발 과정이 까다로웠고 상당한 엔지니어링 자원이 필요했습니다."라고 말했습니다. OpenRGB의 Adam Honsey는 "소규모 오픈소스 프로젝트는 이러한 방향으로 나아갈 재정적 여력도 부족하고, 마이크로소프트 커널 개발에 필요한 전문 지식도 부족합니다."라고 말했습니다.
WingRing0의 개발자인 OpenLibSys는 요즘 활동이 없는 것으로 보이며, 동일한 드라이버가 업데이트되더라도 Microsoft의 엄격한 지침에 따라 서명을 승인받을 가능성은 낮습니다. Microsoft는 또한 이 드라이버에 의존하는 애플리케이션이 얼마나 많은지 알고 있었습니다(Razer Synapse, SteelSeries Engine 등 여러 애플리케이션도 이 드라이버를 사용). 따라서 2025년 지원 중단 전까지 몇 년 더 사용할 수 있을 것으로 예상했습니다.
리눅스는 어떤가요?
Linux는 Windows나 macOS만큼 널리 사용되지는 않지만, 특히 개발자와 IT 전문가에게는 강력하고 안정적인 선택입니다. Linux는 매우 유연하고 사용자 정의가 가능하여 운영 체제를 완벽하게 제어하려는 사용자에게 이상적입니다. 또한 Linux는 안전하고 안정적인 운영 체제로 간주되며, 다른 운영 체제보다 맬웨어와 바이러스에 덜 취약합니다.
Linux 사용을 고려하고 있다면 Ubuntu, Fedora, Debian 등 다양한 배포판이 있다는 점을 알아두는 것이 중요합니다. 각 배포판은 고유한 기능과 도구를 갖추고 있으므로 자신의 필요와 요구 사항에 가장 적합한 배포판을 선택하는 것이 중요합니다. 예를 들어 Ubuntu는 사용하기 쉽고 널리 사용 가능하여 초보자에게 인기 있는 반면, Fedora는 최신 기술을 경험하고 싶은 사용자에게 좋은 선택입니다.
전반적으로 Linux는 다른 운영체제에 비해 많은 장점을 제공하는 훌륭한 운영체제입니다. 하지만 처음에는 사용법을 익히는 것이 다소 어려울 수 있으며, 특히 Windows나 macOS에 익숙하다면 더욱 그렇습니다. 하지만 조금만 노력하면 Linux는 여러분의 요구를 충족할 수 있는 강력하고 안정적인 운영체제임을 알게 될 것입니다.
완전히 다른 정신
Windows와 달리 Linux는 오픈 소스 운영 체제입니다. 커널에서 무엇을 실행할 수 있는지 결정하는 단일 중앙 기관이 없습니다. Linux 배포판은 모듈 서명을 강제할 수 있습니다(특히 보안 부팅이 활성화된 경우; 일부 배포판은 커널 모듈에 키 서명을 요구합니다). 하지만 궁극적으로는 사용자가 커널을 재컴파일하거나 이러한 검사를 비활성화할 수 있습니다. 이것이 바로 Windows에서처럼 Linux에 안티치트 소프트웨어를 배포할 수 없는 여러 이유 중 하나입니다.
Linux에서 루트 수준 접근 권한을 가진 치터는 전능한 것으로 간주됩니다. 이들은 커널을 재컴파일하여 안티 치트 후크를 제거하거나, 중앙 서명 기관 없이도 자체 커널 모듈을 로드할 수 있습니다. 많은 치터들이 탐지를 피하기 위해 /root 디렉터리에서 루트 권한으로 치트를 실행한다는 점을 고려하면, 게임 개발자들이 안티 치트 소프트웨어를 Linux로 포팅하는 데 그다지 적극적이지 않은 이유를 알 수 있습니다. 게임이 루트 접근 권한을 요구하더라도(Windows에서 단순한 안티 치트 프로그램보다 더 나쁠 것입니다), "fakeroot" 환경에서 실행하면 게임이 루트 접근 권한이 없는 경우에도 루트 권한이 있는 것처럼 인식하게 할 수 있습니다.
이 모든 것은 리눅스의 개방적인 특성으로 인해 어떠한 방어 수단도 동등한 권한을 가진 공격으로 대응할 수 있음을 의미하며, 이러한 현실은 현재 리눅스 게임의 현실에도 반영되어 있습니다. 많은 인기 게임들이 리눅스에서 플레이할 수 있지만(종종 윈도우에서보다 훨씬 더 나은 경우도 있습니다), 결과적으로 많은 경쟁 게임들은 리눅스에서 아예 실행되지 않습니다. 이러한 개념은 악성코드에도 적용되지만, 리눅스에서 악성코드가 발생하는 상황은 상당히 다릅니다.
Microsoft의 드라이버 서명 강제 적용은 기업에 매력적입니다. Windows는 커널을 잠금으로써 이러한 제한 없이는 더 개방적인 시스템에서는 불가능했을 수준의 보안 및 제어 기능(치트 방지, 맬웨어 방지 등)을 제공합니다. 많은 게이머와 기업에게 이러한 절충안은 일부 사용자에게는 실망스러울 수 있지만, 그만한 가치가 있는 경우가 많습니다. Linux 사용자는 비교할 수 없는 제어 기능을 누리지만, 바로 이러한 자유로움 때문에 클라이언트 측 치트 방지 메커니즘은 대개 쓸모가 없습니다. Linux 컴퓨터에서 Windows가 누리는 이러한 보안 이점을 활용하려면 애초에 Windows를 떠나고 싶게 만들었던 것과 동일한 제한 사항이 다시 적용됩니다.
중앙 인증 기관이 없음에도 불구하고 Linux 사용자가 안전하게 유지되는 이유는 여러 가지가 있습니다. Linux의 고급 사용자 권한 시스템, 보안 취약점이 발견되면 신속하게 패치를 제공하는 오픈소스 커뮤니티(xz-utils와 같은 주요 익스플로잇이 유출되더라도), 낮은 시장 점유율로 인해 공격 대상으로서 매력도가 낮다는 점, 그리고 검증된 저장소를 통해 주로 설치되는 소프트웨어 패키지 등의 이유로 Windows 사용자를 공격 대상으로 삼는 것만큼 매력적이지 않습니다.
자유와 안보: 항상 이루기 어려운 방정식
종종 이런 의문이 제기됩니다. 자유와 안보 사이에서 균형을 이룰 수 있을까요? 답은 간단하지 않습니다. 현실은 최대한의 자유를 얻는 것이 최대한의 안보를 보장하는 것과 때로는 상충될 수 있으며, 그 반대의 경우도 마찬가지라는 점을 인식하게 합니다.
자유라는 개념은 표현의 자유, 이동의 자유, 신념의 자유 등 여러 측면을 포괄합니다. 그러나 이러한 자유는 제대로 통제되지 않을 경우, 개인이나 집단이 사회의 안보와 안정을 위협하는 데 악용될 수 있습니다. 예를 들어, 표현의 자유는 기본권이지만, 증오와 폭력을 확산하거나 제도에 대한 신뢰를 훼손하는 허위 정보를 조장하는 수단으로 악용될 수 있습니다.
반면, 광범위한 감시, 개인 이동 제한, 정보 접근 제한과 같은 강화된 보안 조치는 개인의 자유를 침해하고 민주 사회의 기반을 훼손할 수 있습니다. 보안에 대한 과도한 강조는 두려움과 자기 검열의 분위기를 조성하여 개인이 박해를 두려워하여 자신의 의견을 표현하거나 권리를 행사하기를 꺼리게 할 수 있습니다.
그렇다면 자유와 안보 사이에서 최적의 균형을 어떻게 찾을 수 있을까요? 해결책은 자유의 범위를 정의하고 안보를 위협하는 데 악용되지 않도록 명확한 통제와 기준을 수립하는 것입니다. 이러한 통제는 위협의 규모에 비례해야 하며, 필요 이상의 통제가 이루어지지 않도록 정기적인 검토를 거쳐야 합니다.
또한, 보안 조치 시행에는 투명성과 책임이 있어야 합니다. 개인은 자신의 권리를 인지하고, 자신의 자유를 침해한다고 생각되는 모든 조치에 이의를 제기할 권리가 있어야 합니다. 또한, 보안이라는 명목으로 권력이 남용되지 않도록 독립적인 감독 체계가 마련되어야 합니다.
간단히 말해, 자유와 안보의 관계는 복잡하고 역동적입니다. 어느 한쪽을 희생해서만 완전히 달성될 수는 없습니다. 둘 사이의 균형을 이루려면 지속적인 대화와 우리를 이끄는 가치와 원칙에 대한 사회적 합의가 필요합니다. 우리는 자유와 안보가 상충되는 목표가 아니라 번영하고 안정적인 사회의 필수 요소임을 항상 기억해야 합니다.
Linux와 Windows의 근본적인 차이점
Microsoft의 드라이버 서명 정책이 보안 측면에서 매우 효과적이라는 것은 의심의 여지가 없습니다. 모든 커널 드라이버의 서명 및 검증을 요구함으로써 Microsoft는 저수준 맬웨어 및 악성 도구에 맞서 가장 강력한 소비자 운영 체제 중 하나를 구축했습니다. 플랫폼으로서 Windows는 사용자와 프로그램이 신뢰할 수 있는 안정적인 운영 체제를 유지하는 독보적인 능력을 갖추고 있습니다. 이것이 바로 Windows가 최고의 보안 기능 중 하나인 이유이며, 그 이유는 바로 제대로 작동하기 때문입니다. 정말 잘 이는 시스템을 보호하는 데 큰 변화를 가져왔습니다.
하지만 이러한 보안은 소비자에게 비용을 초래합니다. 중앙 기관의 통제권을 빼앗아 가고, 운영 체제의 기능을 완벽하게 제어할 수 없다는 점은 개방형 컴퓨팅을 중시하는 많은 사람들에게 매력적이지 않습니다. 어떤 의미에서 Windows 11은 커널 코드와 관련하여 사용자를 신뢰할 수 없는 존재로 취급하며, 누구든 (당신을 포함하여) 통제되지 않으면 악의적인 행동을 할 수 있다고 가정합니다.
보안 관점에서 이 기능은 위험 완화의 훌륭한 사례입니다. 가장 위험한 공격 경로 중 하나를 상당히 차단하지만, 소비자 권리 관점에서는 단순히 우리는 우리 자신의 장비를 사용하기 위해 일자리를 고용합니다.우리는 마이크로소프트가 허용하고 허용하지 않는 것에 영향을 받기 때문입니다. 이 개념이 운영 체제 "보호"까지 포함하도록 확장된다면 어떨까요? 만약 디블로깅 도구와 프로그램이 마이크로소프트가 승인하지 않을 수정을 한다면 어떨까요? 시스템을 변경하기 때문입니다.
일반 사용자에게 드라이버 서명을 적용하는 것은 매우 중요한 조치입니다. 이는 의심의 여지가 없습니다. 하지만 오픈 소스 개발자들이 자체 소프트웨어를 개발하고 다른 사람들과 공유하는 데 드는 비용 때문에 플랫폼에서 배제되는 것은 바람직하지 않으며, 마치 내가 소프트웨어를 소유하지 못하는 것처럼 느끼는 것도 바람직하지 않습니다. 오, 진짜 내 기기는 Windows를 주요 상호 작용 수단으로 사용하는 경우입니다.
댓글이 닫혀있다.