Microsoft, 새로운 모바일 스타일 Windows 보안 제어 발표
Source: Bleeping Computer
개요
Microsoft는 Windows 11에 스마트폰 스타일의 앱 권한 프롬프트를 도입하여 파일, 카메라, 마이크와 같은 민감한 리소스에 접근하기 전에 사용자 동의를 요청하려고 합니다.
Windows Baseline Security Mode와 User Transparency and Consent 변경 사항은 현재 10억 대 이상의 장치를 구동하고 있는 운영 체제에 대한 큰 변화를 의미합니다.
Windows Platform 엔지니어인 Logan Iyer는 이 새로운 보안 모델이 애플리케이션이 설정을 무시하거나 원치 않는 소프트웨어를 설치하거나 사용자 동의 없이 핵심 Windows 경험을 수정하는 경우가 늘어나면서 필요해졌다고 설명했습니다.
투명성 및 동의 변경 사항이 롤아웃된 후, Windows는 앱이 원치 않는 소프트웨어를 설치하거나 민감한 리소스에 접근하려 할 때 스마트폰처럼 권한을 요청하는 프롬프트를 표시합니다. 사용자는 허용하거나 거부한 후에도 언제든지 선택을 변경할 수 있습니다.
Baseline Security Mode는 기본적으로 런타임 무결성 보호 기능을 활성화하여 올바르게 서명된 앱, 서비스 및 드라이버만 실행될 수 있도록 보장하지만, 필요에 따라 사용자는 물론 IT 관리자도 특정 앱에 대해 이러한 보호를 무시하도록 할 수 있습니다.
“오늘날 모바일 폰에서 하는 것처럼, 사용자는 파일 시스템, 카메라 및 마이크와 같은 장치 등 민감한 리소스에 접근할 수 있는 앱을 명확히 확인할 수 있게 됩니다. 인식하지 못하는 앱을 발견하면 접근 권한을 취소할 수 있습니다.” Iyer가 말했습니다.
“사용자는 앱이 개인 데이터와 디바이스 기능에 접근하는 방식을 투명하게 확인하고 동의를 제어할 수 있습니다. 보호된 데이터와 하드웨어에 접근하도록 앱에 권한을 부여하거나 거부하도록 명확한 프롬프트를 받게 됩니다. 또한 이전에 부여한 권한을 언제든지 취소할 수 있습니다.”
이 변경 사항은 개발자, 기업 및 생태계 파트너와 “긴밀히 협력”하여 개발된 단계적 접근 방식의 일환으로 롤아웃될 예정이며, Microsoft는 피드백에 따라 롤아웃 및 제어 방식을 조정할 계획입니다.
Secure Future Initiative
이번 조치는 Microsoft의 **Secure Future Initiative (SFI)**의 일환으로, 2023년 11월에 시작되었습니다. 이는 미국 국토안보부 사이버 안전 검토 위원회가 회사의 보안 문화를 “부적절”하다고 태그링크한 이후 진행된 것입니다. 위원회 보고서는 2023년 5월 Storm‑0558 중국 해커가 Microsoft 소비자 서명 키를 탈취해 Microsoft 클라우드 서비스에 광범위하게 접근한 Exchange Online 침해 사건 이후 발표되었습니다.
이 이니셔티브의 일환으로 Microsoft는 다음과 같은 계획도 발표했습니다:
- 스크립트 주입 공격으로부터 Entra ID 로그인 보호 링크
- Microsoft 365 및 Office 2024 Windows 앱에서 모든 ActiveX 컨트롤 비활성화
- 레거시 인증 프로토콜을 통한 SharePoint, OneDrive 및 Office 파일 접근을 차단하도록 Microsoft 365 보안 기본값 업데이트
“앱과 AI 에이전트도 더 높은 수준의 투명성과 동의 기준을 충족해야 할 것입니다.”
Source: (source link remains unchanged)
“투명성 표준을 제공하여 사용자와 IT 관리자가 그들의 행동을 더 잘 볼 수 있게 합니다,” Iyer가 덧붙였습니다. “이 업데이트는 Windows의 보안 및 프라이버시 기준을 한 단계 끌어올리면서, 시스템과 데이터에 접근하는 방식을 보다 더 많이 제어하고 확신을 가질 수 있게 합니다.”
