Windows 운영 체제 보안
보안과 개인 정보 보호는 시작되는 순간부터 시스템과 정보를 보호하는 운영 체제에 따라 달라지며 기본적인 칩-클라우드 보호를 제공합니다. Windows 11은 가장 안전한 Windows이지만 안전을 위해 설계된 광범위한 보안 조치 또한 포함합니다. 이러한 조치에는 기본 제공 고급 암호화와 데이터 보호, 강력한 네트워크 및 시스템 보안, 끊임없이 진화하는 위협에 대응하는 지능형 보호 기능이 포함됩니다.
최신 Windows 11 보안 기술 중 일부를 선보이는 최신 Microsoft Mechanics Windows 11 보안 동영상을 시청해 보세요.
다음 섹션의 링크를 사용하여 Windows의 운영 체제 보안 기능에 관해 자세히 알아보세요.
시스템 보안
| 기능 이름 | 설명 |
|---|---|
| 보안 부팅 및 신뢰할 수 있는 부팅 | 보안 부팅과 신뢰할 수 있는 부팅은 장치를 시작할 때 맬웨어와 손상된 구성 요소를 로드하지 않도록 방지합니다. 보안 부팅이 초기 부팅 보호와 함께 시작하면, 그다음 신뢰할 수 있는 부팅이 프로세스를 이어갑니다. 보안 부팅과 신뢰할 수 있는 부팅을 함께 사용하면 시스템을 안전하게 부팅할 수 있습니다. |
| 신중한 부팅 | 신중한 부팅은 Windows 부팅 중에 모든 중요한 코드 및 구성 설정을 측정합니다. 여기에는 펌웨어, 부팅 관리자, 하이퍼바이저, 커널, 보안 커널, 운영 체제가 포함됩니다. 신중한 부팅은 측정값을 컴퓨터의 TPM에 저장하고, 원격으로 테스트하여 클라이언트의 부팅 상태를 확인할 수 있는 로그에서 사용할 수 있도록 합니다. 측정된 부팅 기능은 이전에 시작된 모든 부팅 구성 요소의 신뢰할 수 있는(스푸핑 및 변조에 저항하는) 로그가 있는 맬웨어 방지 소프트웨어를 제공합니다. 맬웨어 방지 소프트웨어는 로그를 사용하여 이전에 실행된 구성 요소가 신뢰할 수 있는지 또는 맬웨어에 감염되었는지 여부를 확인할 수 있습니다. 로컬 컴퓨터의 맬웨어 방지 소프트웨어는 평가를 위해 로그를 원격 서버로 보낼 수 있습니다. 원격 서버는 클라이언트의 소프트웨어와 상호 작용하거나, 대역 외 메커니즘을 통해 적절하게 수정 작업을 시작할 수 있습니다. |
| 장치 상태 증명 서비스 | Windows 장치 상태 증명 프로세스는 정적 네트워크 기반 경계에서 사용자, 자산, 리소스로 포커스를 이동하는 제로 트러스트 패러다임을 지원합니다. 증명 프로세스는 디바이스, 펌웨어 및 부팅 프로세스가 양수 상태이며 회사 리소스에 액세스하기 전에 변조되지 않았음을 확인합니다. 판단은 안전한 신뢰 루트를 제공하는 TPM에 저장된 데이터로 이루어집니다. 정보가 Azure Attestation과 같은 증명 서비스로 전송되어 장치가 신뢰할 수 있는 상태인지 확인합니다. 그런 다음, Microsoft Intune 같은 MDM 도구는 디바이스 상태를 검토하고 조건부 액세스를 위해 이 정보를 Microsoft Entra ID 연결합니다. |
| Windows 보안 정책 설정 및 감사 | Microsoft는 IT 관리자가 조직의 Windows 장치와 기타 리소스를 보호하는 데 사용할 수 있는 강력한 보안 설정 정책 집합을 제공합니다. |
| 할당된 액세스 | 일부 기업 데스크톱 장치는 특별한 용도로 사용됩니다. 예를 들어 로비에 놓인 PC는 고객이 제품 카탈로그를 보는 용도일 수 있습니다. 또는 디지털 사인으로서 시각적 콘텐츠를 표시하는 PC일 수도 있습니다. Windows 클라이언트는 잠금 화면 위의 전체 화면에서 단일 UWP(유니버설 Windows 플랫폼) 앱을 실행하는 단일 앱 키오스크와 데스크톱에서 하나 이상의 앱을 실행하는 다중 앱 키오스크, 두 가지 잠금 환경을 제공합니다. 키오스크 구성은 관리자가 사용자에게 노출되는 애플리케이션 진입점을 제한하여 사용자 환경을 관리할 수 있는 Windows 기능인 할당된 액세스를 기반으로 합니다. |
바이러스 및 위협 방지
| 기능 이름 | 설명 |
|---|---|
| Microsoft Defender 바이러스 백신 | Microsoft Defender 바이러스 백신은 모든 버전의 Windows에 포함되는 보호 솔루션입니다. Windows를 부팅하는 순간부터 Microsoft Defender 바이러스 백신은 맬웨어, 바이러스, 보안 위협을 지속적으로 모니터링합니다. 업데이트는 장치를 안전하게 유지하고 위협으로부터 보호하기 위해 자동으로 다운로드됩니다. Microsoft Defender 바이러스 백신에는 실시간, 동작 기반, 휴리스틱 바이러스 백신 보호가 포함됩니다. 상시 콘텐츠 검사, 파일 및 프로세스 동작 모니터링 및 기타 휴리스틱의 조합은 보안 위협을 효과적으로 방지합니다. Microsoft Defender 바이러스 백신은 지속적으로 맬웨어 및 위협을 검색하고 디바이스에 부정적인 영향을 주지만 맬웨어로 간주되지 않는 애플리케이션인 PUA(사용자 동의 없이 설치된 애플리케이션)를 검색하고 차단합니다. |
| LSA(현지 보안 기관) 보호 | Windows에는 사용자의 ID를 확인하는 몇 가지 중요한 프로세스가 있습니다. 확인 프로세스에는 사용자를 인증하고 Windows 로그인을 확인하는 LSA(현지 보안 기관)가 포함됩니다. LSA는 Microsoft 계정과 Azure 서비스에 대한 Single Sign-On에 사용되는 암호와 같은 토큰과 자격 증명을 처리합니다. 이러한 자격 증명을 보호하기 위해 추가 LSA 보호는 신뢰할 수 있는 서명된 코드의 로드만 허용하고 자격 증명 도난을 방지하기 위한 상당한 보호를 제공합니다. LSA 보호는 MDM 및 그룹 정책을 통해 비 UEFI 잠금과 정책 관리 제어에 대한 지원이 추가된 새로운 엔터프라이즈 조인 Windows 11 장치에서 기본적으로 사용하도록 설정됩니다. |
| ASR(공격 표면 감소) | ASR(공격 표면 감소) 규칙은 장치 또는 네트워크를 손상시키기 위해 악용되는 소프트웨어 동작을 방지하는 데 도움이 됩니다. 공격 표면 수를 줄이면 조직의 전반적인 취약성을 줄일 수 있습니다. 관리자는 파일 다운로드 또는 실행을 시도하는 실행 파일 및 스크립트 시작, 난독 처리되거나 기타 의심스러운 스크립트 실행, 일반적인 일상 작업 중에 앱이 일반적으로 시작하지 않는 동작 수행과 같은 특정 동작을 차단하도록 특정 ASR 규칙을 구성할 수 있습니다. |
| MDE의 변조 방지 설정 | 변조 방지는 바이러스 및 위협 방지와 같은 특정 보안 설정이 비활성화되거나 변경되지 않도록 방지하는 엔드포인트용 Microsoft Defender 기능입니다. 몇몇 종류의 사이버 공격 중에는 악의적인 행위자가 장치에서 보안 기능을 비활성화하려고 합니다. 보안 기능을 비활성화하면 악의적인 행위자가 데이터에 더 쉽게 액세스할 수 있고, 맬웨어를 설치할 수 있으며, 데이터, ID 및 장치를 악용할 수 있습니다. 변조 방지는 이러한 유형의 활동을 방지하는 데 도움이 됩니다. |
| 제어된 폴더 액세스 | 특정 폴더에 대한 앱 액세스를 관리하여 특정 폴더에서 중요한 정보를 보호할 수 있습니다. 신뢰할 수 있는 앱만 보호된 폴더에 액세스할 수 있으며, 이 폴더는 제어된 폴더 액세스를 구성할 때 지정합니다. 문서, 사진, 다운로드에 사용되는 폴더와 같이 일반적으로 사용되는 폴더는 일반적으로 제어되는 폴더 목록에 포함됩니다. 제어된 폴더 액세스는 신뢰할 수 있는 앱 목록과 작동합니다. 신뢰할 수 있는 소프트웨어 목록에 포함된 앱은 예상대로 작동합니다. 신뢰할 수 있는 목록에 포함되지 않은 앱은 보호된 폴더 내의 파일을 변경할 수 없습니다. 제어된 폴더 액세스는 랜섬웨어와 같은 악의적인 앱과 위협으로부터 사용자의 중요한 데이터를 보호하는 데 도움이 됩니다. |
| Exploit protection | Exploit Protection은 운영 체제 프로세스와 앱에 여러 익스플로잇 완화 기술을 자동으로 적용합니다. Exploit Protection은 조직에 일반적인 경고 조사 시나리오의 일부로 악용 방지 이벤트와 블록에 관한 자세한 보고를 제공하는 엔드포인트용 Microsoft Defender에서 가장 잘 작동합니다. 개별 장치에서 Exploit Protection을 사용하도록 설정한 다음 MDM 또는 그룹 정책을 사용하여 구성 파일을 여러 장치에 배포할 수 있습니다. 장치에서 완화가 발생하면 작업 센터에 알림이 표시됩니다. 회사 정보와 연락처 정보로 알림을 사용자 지정할 수 있습니다. 규칙을 개별적으로 사용하도록 설정하여 기능에서 모니터링할 기술을 사용자 지정할 수도 있습니다. |
| Microsoft Defender SmartScreen | Microsoft Defender SmartScreen은 피싱, 악성 프로그램 웹 사이트 및 응용 프로그램, 잠재적인 악성 파일 다운로드를 방지합니다. 향상된 피싱 보호를 위해 SmartScreen은 잠재적으로 위험한 위치에 자격 증명을 입력할 때 사용자에게 경고합니다. IT는 MDM 또는 그룹 정책을 통해 표시되는 알림을 사용자 지정할 수 있습니다. 보호는 기본적으로 감사 모드에서 실행되므로 IT 관리자에게 정책 생성 및 적용에 대한 결정을 내릴 모든 권한을 부여합니다. |
| 엔드포인트용 Microsoft Defender | 엔드포인트용 Microsoft Defender는 보안 팀이 지능형 위협을 감지, 조사 및 대응하는 데 도움이 되는 엔터프라이즈 엔드포인트 감지 및 응답 솔루션입니다. 조직은 엔드포인트용 Defender에서 제공하는 풍성한 이벤트 데이터와 공격 인사이트를 사용하여 인시던트를 조사할 수 있습니다. 엔드포인트용 Defender는 엔드포인트 동작 센서, 클라우드 보안 분석, 위협 인텔리전스, 풍성한 응답 기능과 같은 요소를 함께 제공하여 보안 인시던트에 대한 더욱 완전한 그림을 제공합니다. |
네트워크 보안
| 기능 이름 | 설명 |
|---|---|
| TLS(전송 계층 보안) | TLS(전송 계층 보안)는 네트워크를 통해 통신 보안을 제공하도록 설계된 암호화 프로토콜입니다. TLS 1.3은 프로토콜의 최신 버전이며 Windows 11에서 기본적으로 사용하도록 설정됩니다. 이 버전은 사용되지 않는 암호화 알고리즘을 제거하고, 이전 버전 대비 보안을 강화하며, 가능한 한 많은 TLS 핸드셰이크를 암호화하는 것을 목표로 합니다. 핸드셰이크는 연결당 평균 1회 더 적은 왕복으로 더욱 뛰어난 성능을 제공하며, 완벽한 순방향 비밀성을 제공하고 운영 위험을 줄이는 다섯 가지 강력한 암호 제품군만 지원합니다. |
| DNS(도메인 이름 시스템) 보안 | Windows 11 Windows DNS 클라이언트는 암호화된 DNS 프로토콜인 DoH(HTTPS)를 통해 DNS를 지원합니다. 이를 통해 관리자는 검색 동작을 기록하는 수동 관찰자이든, 클라이언트를 악성 사이트로 리디렉션하려는 활성 공격자이든 관계없이 디바이스가 온-경로 공격자로부터 DNS 쿼리를 보호할 수 있습니다. 네트워크 경계에 트러스트가 배치되지 않은 제로 트러스트 모델에서는 신뢰할 수 있는 이름 확인자를 안전하게 연결해야 합니다. |
| Bluetooth 페어링 및 연결 보호 | Windows에 연결된 Bluetooth 장치 수는 계속 증가하고 있습니다. Windows는 클래식 및 LE 보안 연결, 안전한 단순 페어링, 클래식 및 LE 레거시 페어링을 비롯한 모든 표준 Bluetooth 페어링 프로토콜을 지원합니다. Windows는 호스트 기반 LE 개인 정보도 구현합니다. Windows 업데이트는 사용자가 Bluetooth SIG(특별 관심 그룹), 표준 취약성 보고서 및 Bluetooth 핵심 업계 표준에 필요한 문제 이외의 문제에 따라 OS 및 드라이버 보안 기능을 최신 상태로 유지하는 데 도움이 됩니다. Microsoft는 사용자가 Bluetooth 액세서리의 펌웨어 및/또는 소프트웨어를 최신 상태로 유지하는 것을 강력히 권장합니다. |
| WiFi 보안 | Wi-Fi WPA(Protected Access)는 무선 네트워크를 보호하도록 설계된 보안 인증 프로그램입니다. WPA3은 최신 버전의 인증이며 WPA2와 이전 보안 프로토콜에 비해 더욱 안전하고 안정적인 연결 방법을 제공합니다. Windows는 H2E(Hash-to-Element) 프로토콜을 사용하는 WPA3 Personal, WPA3 Enterprise, WPA3 Enterprise 192비트 Suite B, 세 가지 WPA3 모드를 지원합니다. Windows 11은 또한 EAP-TLS 인증을 사용하는 인증에 대한 향상된 서버 인증서 유효성 검사와 TLS 1.3을 포함하는 WFA 정의 WPA3 Enterprise도 지원합니다. |
| OWE(Opportunistic Wireless Encryption) | OWE(Opportunistic Wireless Encryption)는 무선 장치가 공용 Wi-Fi 핫스팟에 암호화된 연결을 설정할 수 있도록 지원하는 기술입니다. |
| Windows 방화벽 | Windows 방화벽은 호스트 기반 양방향 네트워크 트래픽 필터링을 제공하여 디바이스가 연결된 네트워크 유형에 따라 로컬 디바이스로 들어오거나 나가는 무단 트래픽을 차단합니다. Windows 방화벽은 IP 주소, 포트 또는 프로그램 경로와 같은 많은 속성의 트래픽을 제한하거나 허용하는 규칙을 사용하여 장치의 공격 표면을 줄입니다. 장치의 공격 표면을 줄이면 관리 효율성이 증가하고 공격 성공 가능성이 줄어듭니다. IPsec(인터넷 프로토콜 보안)과의 통합을 통해 Windows 방화벽은 인증된 엔드투엔드 네트워크 통신을 적용하는 간단한 방법을 제공합니다. 신뢰할 수 있는 네트워크 리소스에 대한 확장성 있는 계층화된 액세스를 제공하여 데이터의 무결성을 적용하고 필요에 따라 데이터의 기밀성을 보호하는 데 도움을 줍니다. Windows 방화벽은 운영 체제에 포함된 호스트 기반 방화벽으로, 추가 하드웨어 또는 소프트웨어가 필요하지 않습니다. Windows 방화벽은 문서화된 API(응용 프로그래밍 인터페이스)를 통해 기존의 비 Microsoft 네트워크 보안 솔루션을 보완하도록 설계되었습니다. |
| VPN(가상 사설망) | Windows VPN 클라이언트 플랫폼에는 기본 제공 VPN 프로토콜, 구성 지원, 일반적인 VPN 사용자 인터페이스 및 사용자 지정 VPN 프로토콜에 대한 프로그래밍 지원이 포함됩니다. VPN 앱은 가장 인기 있는 엔터프라이즈 VPN 게이트웨이용 앱을 비롯하여 엔터프라이즈 및 소비자 VPN 모두에 대해 Microsoft Store에서 사용할 수 있습니다. Windows 11에서 가장 일반적으로 사용되는 VPN 컨트롤은 빠른 작업 창에 통합되어 있습니다. 빠른 작업 창에서 사용자는 VPN의 상태 보고, VPN 터널을 시작 및 중지하고, 설정 앱에 액세스하여 더 많은 컨트롤을 확인할 수 있습니다. |
| Always On VPN(장치 터널) | Always On VPN을 사용하면 디바이스에 대한 전용 VPN 프로필을 만들 수 있습니다. 사용자가 디바이스에 로그온한 후에만 연결되는 사용자 터널과 달리 디바이스 터널을 사용하면 VPN이 사용자 로그인 전에 연결을 설정할 수 있습니다. 디바이스 터널과 사용자 터널은 VPN 프로필과 독립적으로 작동하고, 동시에 연결할 수 있으며, 다른 인증 방법 및 기타 VPN 구성 설정을 적절하게 사용할 수 있습니다. |
| 직접 액세스 | DirectAccess를 사용하면 기존 VPN(가상 사설망) 연결 없이도 원격 사용자가 조직 네트워크 리소스에 연결할 수 있습니다. DirectAccess 연결을 사용하면 원격 장치가 항상 조직에 연결되어 원격 사용자가 연결을 시작하고 중지할 필요가 없습니다. |
| SMB(서버 메시지 블록) 파일 서비스 | SMB 암호화는 SMB 데이터의 엔드투엔드 암호화를 제공하고 내부 네트워크의 도청으로부터 데이터를 보호합니다. Windows 11의 SMB 프로토콜에는 AES-256비트 암호화, 가속화된 SMB 서명, RDMA(원격 디렉터리 메모리 액세스) 네트워크 암호화, 신뢰할 수 없는 네트워크에 대한 QUIC를 통한 SMB 등 중요한 보안 업데이트가 있습니다. Windows 11은 SMB 3.1.1 암호화를 위한 AES-256-GCM 및 AES-256-CCM 암호화 제품군을 소개합니다. Windows 관리자는 고급 보안 사용을 의무화하거나 호환성이 더 높으면서 여전히 안전한 AES-128 암호화를 계속 사용할 수 있습니다. |
| SMB Direct(Server Message Block Direct) | SMB Direct(원격 직접 메모리 액세스를 통한 SMB)는 표준 RDMA 지원 네트워크 어댑터를 사용하는 동안 최소한의 CPU 사용량으로 장치와 스토리지 간에 직접 메모리 간 데이터 전송을 지원하는 스토리지 프로토콜입니다. SMB Direct는 암호화를 지원하며, 이제 기존 TCP와 동일한 안전성과 RDMA 성능으로 작동할 수 있습니다. 이전에는 SMB 암호화를 사용하면 직접 데이터 배치를 사용할 수 없어 RDMA가 TCP만큼 느려졌습니다. 이제 데이터가 배치 전에 암호화되어 AES-128 및 AES-256 보호된 패킷 개인 정보를 추가하는 동안 성능이 비교적 덜 저하됩니다. |
암호화 및 데이터 보호
| 기능 이름 | 설명 |
|---|---|
| BitLocker 관리 | BitLocker CSP를 사용하면 Microsoft Intune 같은 MDM 솔루션이 Windows 장치에서 BitLocker 암호화 기능을 관리할 수 있습니다. 여기에는 OS 볼륨, 고정 드라이브 및 제거 가능한 스토리지, Microsoft Entra ID 대한 복구 키 관리가 포함됩니다. |
| BitLocker 사용 | BitLocker 드라이브 암호화는 운영 체제와 통합되어 분실되거나 도난 당하거나 부적절하게 서비스 해제된 컴퓨터에서 데이터가 노출되는 위협이나 데이터 도용 위협을 해결하는 데이터 보호 기능입니다. BitLocker는 128비트 또는 256비트 키 길이가 있는 XTS 또는 CBC 작업 모드에서 AES 알고리즘을 사용하여 볼륨의 데이터를 암호화합니다. Microsoft OneDrive 또는 Azure의 클라우드 스토리지를 사용하여 복구 키 콘텐츠를 저장할 수 있습니다. BitLocker는 CSP(구성 서비스 공급자)를 사용하여 Microsoft Intune과 같은 모든 MDM 솔루션에서 관리할 수 있습니다. BitLocker는 HSTI(하드웨어 보안 테스트 인터페이스), 최신 대기, UEFI 보안 부팅 및 TPM과 같은 기술을 사용하여 운영 체제, 고정 데이터 및 이동식 데이터 드라이브에 대한 암호화를 제공합니다. |
| 암호화된 하드 드라이브 | 암호화된 하드 드라이브는 하드웨어 수준에서 자체 암호화되고 장치 사용자에게 투명성을 제공하면서 전체 디스크 하드웨어 암호화를 허용하는 하드 드라이브 클래스입니다. 이러한 드라이브는 BitLocker 드라이브 암호화에서 제공하는 보안 및 관리 이점을 자체 암호화 드라이브의 기능과 결합합니다. 암호화된 하드 드라이브는 암호화 작업을 하드웨어로 오프로드하여 BitLocker 성능을 높이고 CPU 사용량과 전력 소비를 줄입니다. 암호화된 하드 드라이브는 데이터를 빠르게 암호화하므로 생산성에 거의 영향을 주지 않고 엔터프라이즈 장치 전체에서 BitLocker 배포를 확장할 수 있습니다. |
| PDE(개인 데이터 암호화) | PDE(개인 데이터 암호화)는 BitLocker와 비즈니스용 Windows Hello와 함께 작동하여 장치가 켜져 있거나 잠긴 경우를 비롯해 사용자 문서와 기타 파일에 추가적인 보호를 제공합니다. 파일이 자동으로 원활하게 암호화되어 워크플로를 중단하지 않고 사용자에게 더 많은 보안을 제공합니다. 비즈니스용 Windows Hello PDE에서 사용하는 암호화 키를 보관하는 컨테이너를 보호하는 데 사용됩니다. 사용자가 로그인하면 컨테이너가 인증되어 컨테이너의 키를 해제하여 사용자 콘텐츠의 암호를 해독합니다. |
| 전자 메일 암호화(S/MIME) | 전자 메일 암호화를 사용하면 디지털 ID(인증서)를 가진 의도된 받는 사람만 읽을 수 있도록 사용자가 보내는 전자 메일 메시지 및 첨부 파일을 암호화할 수 있습니다. 사용자는 보낸 사람의 ID를 확인하고 메시지가 변조되지 않았는지 확인하는 메시지에 디지털 서명할 수 있습니다. 사용자에게 적절한 암호화 인증서가 있는 경우 조직 또는 외부 연락처 내의 다른 사용자에게 암호화된 메시지를 보낼 수 있습니다. |
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기