Windows Hello 향상된 로그인 보안

  • 아티클

Windows Hello를 사용하면 사용자가 생체 인식 또는 PIN을 통해 인증하므로 암호가 필요하지 않습니다. 생체 인식 인증은 얼굴 인식 또는 지문을 사용하여 안전하고 개인적이며 편리한 방식으로 사용자의 ID를 증명합니다. 향상된 로그인 보안은 VBS(가상화 기반 보안) 및 신뢰할 수 있는 플랫폼 모듈 2.0과 같은 특수 하드웨어 및 소프트웨어 구성 요소를 활용하여 사용자의 인증 데이터를 격리 및 보호하고 해당 데이터가 전달되는 채널을 보호함으로써 바이오 메트릭 데이터에 대한 추가 수준의 보안을 제공합니다.

강화된 로그인 보안에서 생체 인식 데이터를 보호하는 방법

Face

강화된 로그인 보안을 사용하도록 설정하는 경우 얼굴 알고리즘이 VBS를 통해 보호되어 Windows의 나머지 부분과 격리됩니다. 하이퍼바이저는 VBS에서 실행되는 프로세스에서만 액세스할 수 있도록 메모리 영역을 지정하고 보호하는 데 사용됩니다. 하이퍼바이저를 통해 얼굴 카메라에서 이러한 메모리 영역에 쓸 수 있으므로 얼굴 데이터를 카메라에서 얼굴 일치 알고리즘으로 전달하는 격리된 경로를 제공합니다.

얼굴 템플릿은 보호된 얼굴 알고리즘을 통해 VBS에서 생성됩니다. 사용하지 않을 때 얼굴 템플릿 데이터는 생성되고 VBS에서만 액세스할 수 있는 키를 사용하여 암호화된 다음, 디스크에 저장됩니다.

지문

강화된 로그인 보안은 Match-On 센서 기능이 있는 지문 센서에서만 지원됩니다. 이 유형의 센서에는 하드웨어를 사용하여 지문 일치 및 템플릿 저장을 격리하는 데 사용할 수 있는 마이크로프로세서와 메모리가 포함됩니다.

강화된 로그인 보안을 지원하는 센서에는 제조 과정에서 포함된 인증서가 있습니다. 이 인증서는 VBS에서 실행되는 Windows 생체 인식 구성 요소에서 유효성을 검사할 수 있으며 센서와의 보안 세션을 설정하는 데 사용됩니다. 센서 및 Windows 생체 인식 구성 요소는 이 세션을 사용하여 등록 작업을 전달하고 결과를 안전하게 일치시킵니다.

자격 증명 작업

VBS에서 실행되는 Windows 생체 인식 구성 요소는 부팅 중에 TPM에서 VBS와 공유하는 정보를 사용하여 TPM에 대한 보안 채널을 설정합니다. 일치 작업이 성공하면 VBS의 생체 인식 구성 요소는 이 채널을 사용하여 ID 공급자, 애플리케이션 및 서비스를 사용하여 사용자를 인증하기 위한 Windows Hello 키를 사용할 수 있는 권한을 부여합니다.

강화된 로그인 보안을 얻는 방법

사용은 시스템에 사전 설치된 특수 하드웨어, 드라이버 및 펌웨어에 따라 달라집니다. 디바이스 제조업체는 공장에서 디바이스를 구성하면서 디바이스에서 강화된 로그인 보안을 사용하도록 선택할 수 있습니다.

시스템 호환성

강화된 로그인 보안을 사용하도록 설정하려면 다음과 같은 호환되는 하드웨어 및 소프트웨어 구성 요소가 필요합니다.

  • 공장에서 Windows 10 2020년 10월 업데이트가 구성된 디바이스
  • Device Guard Enablement 및 신뢰할 수 있는 플랫폼 모듈 2.0을 포함한 VBS(가상화 기반 보안)에 대한 요구 사항 충족
  • 강화된 로그인 보안을 지원하는 생체 인식 센서 하드웨어
  • 강화된 로그인 보안과 호환되는 생체 인식 센서 드라이버
  • 디바이스 제조업체에서 포함된 생체 인식 하드웨어에 대해 올바르게 구성한 SDEV(보안 디바이스) ACPI 테이블이 있는 디바이스 펌웨어

생체 인식 센서 호환성

얼굴 생체 인식 센서

향상된 로그인 보안은 제한된 수의 칩 세트에서 일부 IR 카메라만 지원합니다. 지원되는 카메라는 펌웨어에서 강화된 로그인 보안을 지원해야 합니다. Windows 기본 제공 UVC 카메라 드라이버를 사용해야 합니다. 카메라 모듈에서 강화된 로그인 보안을 지원하는지 확인하려면 먼저 디바이스 관리자로 이동하여 "범용 직렬 버스 컨트롤러" 섹션을 펼칩니다. 이름에 eXtensible 호스트 컨트롤러가 있는 디바이스를 마우스 오른쪽 단추로 클릭하고 속성 옵션을 선택하여 디바이스 속성을 봅니다. 호스트 컨트롤러에 대한 여러 항목이 있는 경우 모두에 대한 속성 섹션을 검사. 드라이버의 [세부 정보] 탭으로 이동하여 [속성] 드롭다운 메뉴에서 [기능]을 선택합니다. 디바이스 중 하나에 "CM_DEVCAP_SECUREDEVICE" 기능이 있다고 표시됩니다.

FaceBiometricSensorCapabilities

다음으로, 디바이스 관리자의 "카메라" 섹션으로 이동하여 PC 카메라의 속성 섹션을 확인합니다. PC 카메라 대한 항목이 여러 개 있는 경우 모두에 대한 속성 섹션을 검사. 드라이버의 [세부 정보] 탭으로 이동하여 [속성] 드롭다운 메뉴에서 [기능]을 선택합니다. PC 카메라 디바이스 중 하나에 "CM_DEVCAP_SECUREDEVICE" 기능이 있다고 표시됩니다.

FaceBiometricSensorCameraProperties

지문 생체 인식 센서

강화된 로그인 보안 지원 지문 센서는 칩에서 일치해야 합니다. 센서에는 제조 중에 디바이스에 새겨 넣은 Microsoft 발급 인증서가 있어야 합니다. 장치 드라이버 및 펌웨어는 강화된 로그인 보안 기능을 지원해야 합니다. 지문 모듈에서 강화된 로그인 보안을 지원하는지 확인하려면 먼저 열린 디바이스 관리자를 탐색하고 생체 인식 디바이스 섹션을 펼칩니다. 지문 센서에 대한 항목이 있습니다. 마우스 오른쪽 단추로 지문 판독기 항목을 클릭하고, [속성], [세부 정보]로 차례로 이동합니다. [속성] 옵션에서 "디바이스 인스턴스 경로"를 선택합니다.

FingerprintEnabledEnhanced Sign-in Security

regedit.exe를 열고, HKLM\SYSTEM\CurrentControlSet\Enum\[DeviceInstancePath]\Device Parameters\WinBio\Configurations로 이동합니다. 여기서 DeviceInstancePath는 디바이스 관리자에 나열된 경로입니다. "구성"을 선택합니다. 데이터 값이 1인 "SecureFingerprint"라는 레지스트리 키가 나열됩니다. 없는 경우 디바이스에서 보안을 사용할 수 없습니다.

또한 구성에는 그 아래에 두 개의 폴더가 있습니다. 하나는 "0" 레이블, 다른 하나는 "1" 레이블로 지정되어 있습니다. 두 개 대신 하나의 폴더만 있는 경우 디바이스에서 보안을 사용할 수 없습니다.

FingerprintEnhanced Sign-in SecurityConfigurations

강화된 로그인 보안이 사용하도록 설정되었는지 확인하는 방법

Security Center

Windows 보안 애플리케이션의 [디바이스 보안] 섹션에는 시스템에서 사용하도록 설정된 경우 [강화된 로그인 보안] 항목이 있습니다. 이 항목은 시스템의 하드웨어 기능을 설명합니다. [강화된 로그인 보안] 섹션이 없으면 시스템에서 이 기능이 사용하도록 설정되지 않은 것입니다.

생체 인식 센서가 강화된 로그인 보안을 지원하지 않는 디바이스에 포함되어 있거나 해당 유형의 생체 인식 하드웨어가 시스템에 없는 경우 해당 센서 옆에 "호환되지 않는 하드웨어로 인해 사용할 수 없음"이라는 설명이 표시됩니다. 이 메시지는 하드웨어에서 강화된 로그인 보안을 지원하는 데 필요한 센서 요구 사항을 따르지 않음을 나타냅니다.

이벤트 뷰어

Windows 생체 인식 프레임워크는 시스템의 각 센서를 열거할 때 로그 이벤트를 생성합니다. 이러한 로그에는 센서가 강화된 로그인 보안이 사용하도록 설정된 상태에서 작동하는지 여부를 나타내는 정보가 포함됩니다. 생체 인식 이벤트 로그는 이벤트 뷰어의 이벤트 뷰어 > 애플리케이션 및 서비스 로그 > Microsoft > Windows > 생체 인식 > 작동 아래에서 찾을 수 있습니다.

Windows 생체 인식 프레임워크에서 생체 인식 디바이스를 제대로 로드하면 해당 센서에 대한 ID가 1108인 로그 이벤트가 있습니다. 디바이스가 강화된 로그인 보안이 사용하도록 설정된 상태에서 작동하는 경우 센서는 "가상 보안 모드" 프로세스에서 격리된 것으로 지정됩니다. 디바이스에서 강화된 로그인 보안을 사용하지 않는 경우 "시스템" 프로세스에서 격리된 것으로 지정됩니다.

OperationalEventViewer

1108 이벤트에서 카메라는 "Windows Hello 얼굴 소프트웨어 디바이스(ROOT\WINDOWSHELLOFACESOFTWAREDRIVER\0000)"를 사용하여 설명하고, 지문 디바이스는 디바이스의 특정 모듈 및 디바이스 ID를 사용하여 설명합니다. 지문 디바이스의 경우 디바이스 ID는 디바이스 관리자의 생체 인식 디바이스> [지문 모듈] > 속성 > 세부 정보 > 디바이스 인스턴스 경로 아래에서 찾을 수 있습니다.

애플리케이션 호환성

강화된 로그인 보안 지원 카메라가 있는 디바이스의 경우 SDEV(보안 디바이스) 테이블이 필요합니다. SDEV 테이블이 구현되고 VBS가 켜진 경우 SDEV 테이블은 보안 커널에서 구문 분석되고 PCI(Peripheral Component Interconnect) 디바이스 구성 공간 액세스에 대한 제한 사항이 적용됩니다. 이러한 제한 사항은 악성 프로세스에서 SDEV 테이블에 지정된 보안 디바이스의 구성 공간을 조작하지 못하도록 방지하기 위해 설정됩니다.

Windows에서 명시적으로 지원하는 경우를 제외하고 PCI 구성 공간을 읽고 쓰려고 하는 애플리케이션은 SDEV 테이블을 구문 분석하고 적용할 때 버그 확인을 수행합니다.

디바이스 이미지에 포함된 모든 드라이버와 소프트웨어는 이러한 소프트웨어 제한 사항을 고려하여 호환성을 테스트해야 합니다. Windows 업데이트, Microsoft Store 또는 디바이스 제조업체에서 허용하는 기타 채널을 통해 시스템에 배포되는 소프트웨어 또는 드라이버도 호환성을 확인해야 합니다. 이 확인이 없으면 시스템에서 예기치 않은 동작이 발생할 수 있습니다.

지원되지 않는 시나리오

Windows 업그레이드에서 강화된 로그인 보안 사용

강화된 로그인 보안은 현재 디바이스 제조업체에서 Windows 10 2020년 10월 업데이트를 통해 기능을 사용하도록 구성한 디바이스에서만 지원됩니다. 이 OS 빌드로 업그레이드하는 시장 내 하드웨어 지원 디바이스는 현재 지원되지 않습니다.

강화된 로그인 보안을 지원하지 않는 센서

강화된 로그인 보안이 사용하도록 설정되면 강화된 로그인 보안을 지원하는 생체 인식 센서만 시스템에서 작동합니다. 이 기능이 없는 모든 센서는 Windows 생체 인식 프레임워크에서 열거되지 않습니다.

제조업체는 시스템에 포함된 하드웨어와 강화된 로그인 보안이 기본적으로 사용하도록 설정되어 있는지 여부를 결정합니다. 바이오 메트릭 형식이 차단되는 것과 관련된 문제가 있는 경우 디바이스 제조업체에 지원을 요청하세요.

플러그형/주변 장치 생체 인식 센서

강화된 로그인 보안은 외부 지문 센서 또는 카메라 모듈을 지원하지 않습니다. 강화된 로그인 보안을 사용하도록 설정하면 보안 가능 여부와 관계없이 외부 또는 주변 장치 생체 인식 센서의 작동이 차단됩니다. 향상된 로그인 보안과 함께 주변 장치를 사용하여 Windows Hello로 로그인하려면 향상된 로그인 보안 사용 안 함/사용 설정을 참조 하세요.

지문 센서에 대한 터치 입력 시 절전 모드 해제

WoT(Wake on Touch)는 지문 센서가 시스템을 절전 모드 해제하고 사용자가 센서를 두 번 터치할 필요 없이 사용자를 로그인하는 기능을 설명합니다. 최신 대기를 지원하는 디바이스는 절전 모드 해제 센서 동작을 사용하도록 설정합니다.

Windows 11 SE, 버전 22H2 및 Windows 11 Pro Edu/Education 버전 22H2부터 KB5027303 WoT를 ESS 디바이스에 사용할 수 있습니다.

문제 해결

얼굴/지문 인증이 작동하지 않음

생체 인증이 작동하지 않으면 먼저 VBS가 실행 중이고 보안 구성 요소가 시작되었는지 확인합니다. VBS가 실행 중인지 확인하려면 [시스템 정보]를 열고 "시스템 요약" 아래에서 확인합니다. 그러면 [실행 중]으로 나열된 "가상화 기반 보안" 항목이 있습니다.

BiometricAuthenticationTroubleshooting

또한 생체 인식 격리 신뢰 항목이 실행되고 있는지 확인합니다. 이는 [시스템 정보 > 소프트웨어 환경 > 작업 실행] 아래에 "bioiso.exe" 및 "ngciso.exe"로 나열됩니다. 이러한 확인 중 하나가 실패하면 시스템에서 강화된 로그인 보안에 대한 요구 사항을 충족하지 못할 수 있습니다. 아래의 (3)을 사용하여 생체 인식 서비스를 다시 시작해 봅니다.

보안 연결이 성공했는지 확인하려면 "강화된 로그인 보안이 사용하도록 설정되었는지 확인하는 방법" 섹션이 포함되어 있습니다.

  1. [설정]의 [로그인 옵션] 아래에서 작동하지 않는 등록을 제거하고 다시 등록합니다. "Windows Hello 얼굴과 호환되는 지문 스캐너를 찾을 수 없습니다."라는 조건 또는 이와 비슷한 조건으로 인해 Windows Hello 얼굴/지문 항목을 사용할 수 없는 경우 (2)로 건너뛰어 인증이 작동하는지 확인합니다.
  2. 디바이스 관리자에서 센서는 생체 인식 디바이스 아래에 나열됩니다. 마우스 오른쪽 단추로 디바이스 이름을 클릭하고 [디바이스 제거]를 선택하여 드라이버를 다시 설치합니다. 디바이스를 다시 시작합니다. 이때 Windows에서 드라이버를 다시 설치하려고 시도합니다. 인증이 작동하는지 확인합니다.
  3. 생체 인식 서비스를 다시 시작하려면 먼저 [로그인 옵션]으로 이동하고 PIN을 제거하여 시스템에서 PIN을 제거합니다. 관리자 권한으로 명령 프롬프트를 열고, "net stop wbiosrvc"를 입력한 다음, "net start wbiosrvc"를 입력합니다. 지문 인증이 작동하는지 확인합니다.
  4. 생체 인식이 여전히 디바이스에서 작동하지 않는 경우 피드백 허브를 사용하여 피드백 항목을 제출합니다.

PIN이 작동하지 않음

PIN은 잠금 화면의 [로그인 옵션] 아래에서 다시 설정할 수 있습니다. 이렇게 하려면 PIN을 제거하고 다시 추가합니다. 그러면 PIN 기능을 복원해야 하는 PIN 재설정이 표시됩니다.

향상된 로그인 보안 사용/사용 안 함

KB5031455 Windows 11 버전 22H2부터 사용자는 디바이스에서 Windows Hello로 인증하기 위해 외부 주변 장치를 사용하려는 경우 일시적으로 ESS를 끌 수 있습니다.

설정 앱을 사용하여 ESS를 사용하지 않도록 설정할 수 있습니다. 시작>설정>사용자>로그인 옵션을 선택하거나 다음 바로 가기를 사용합니다.

로그인 옵션

추가 설정>에서 외부 카메라 또는 지문 판독기를 사용하여 로그인하면 ESS를 사용하거나 사용하지 않도록 설정할 수 있는 토글이 있습니다.

  • 토글이 꺼져 있으면 ESS가 활성화되고 외부 주변 장치를 사용하여 로그인할 수 없습니다. Teams와 같은 앱 내에서 외부 주변 장치를 계속 사용할 수 있습니다.
  • 토글이 켜지면 ESS가 비활성화되고 Windows Hello 호환 주변 장치를 사용하여 로그인할 수 있습니다.