MS “보안 SW 윈도우 커널 외부 동작 위한 새 플랫폼 준비 중”

[아이티데일리] 마이크로소프트(MS)가 윈도우 커널(Kernel)을 직접 건드리던 보안 프로그램의 개발·배포 방식을 근본적으로 개선한다. 지난해 7월 전 세계 8백만 대 이상의 PC를 다운시킨 크라우드스트라이크(CrowdStrike) 팔콘(Falcon) 센서 오작동 사고 이후, ‘윈도우 복원성 이니셔티브(Windows Resiliency Initiative, WRI)’를 통해 커널 의존도를 크게 낮추는 전략을 본격적으로 펼치는 것이다.

크라우드스트라이크 대란 교훈…MVI 파트너 7월부터 사전 테스트

MS는 26일(현지시간) 공식 블로그를 통해 “안티바이러스와 엔드포인트 보호 솔루션이 일반 애플리케이션처럼 유저 모드에서 실행될 수 있도록 새 ‘윈도우 엔드포인트 보안 플랫폼’을 준비 중”이라고 밝혔다.

이에 따라 크라우드스트라이크, 비트디펜더, 트렌드마이크로 등 ‘MS 바이러스 이니셔티브(MVI) 3.0’ 파트너들은 내달부터 비공개 프리뷰에 참여해 보안 제품을 커널 밖에서 구동하는 호환성 테스트에 착수한다.

MS OS·보안 총괄인 데이비드 웨스턴(David Weston) 부사장은 “커널에서 벗어나면 업데이트 오류로 인한 블루스크린 위험을 줄이고, 문제 발생 시 복구 속도도 대폭 단축된다”고 밝혔다. 커널 드라이버가 가진 막강한 권한에 따르는 높은 위험성을 직접 인정한 셈이다.

이번 결정은 지난해 7월 발생한 크라우드스트라이크 보안 모듈 오작동이 직·간접적 계기가 됐다. 당시 잘못 서명된 커널 드라이버가 배포되면서 항공사, 병원, 금융권 등 수많은 산업군에서 대규모 시스템 마비가 일어났다. MS는 이후 글로벌 파트너 회의를 열고 ‘점진적 배포·모니터링’ 등 안전한 업데이트 가이드라인을 MVI 3.0에 의무화했다.

이와 함께 MS는 윈도우11 24H2부터 ▲부팅 실패 시 클라우드에서 자동 패치를 내려받아 복원하는 ‘퀵 머신 리커버리(QMR)’ ▲상시 관리자 권한을 없애고 필요 시 잠깐 부여하는 ‘어드민 보호(Administrator Protection)’ 등 새 보안 및 복원 기능을 순차 적용한다는 로드맵도 공개했다.

“안전성↑ vs 가시성↓” 업계 의견 갈려…전문가들 “적응 필요할 것”

보안 업계는 대체로 환영 분위기다. 비트디펜더는 “보안 아키텍처 현대화에 동참해 고객 보호 수준을 끌어올리겠다”고 밝혔고, 크라우드스트라이크 역시 “플랫폼 탄력성을 높이는 방향으로 협력하겠다”고 했다. 다만 소포스(Sophos)를 위시한 일부 업체들은 커널 단에서 제공하던 루트킷 탐지, 부트 시점 보호 등과 같이 보안에 대한 ‘심층적 가시성(Deep Visibility)’이 제한될 수 있다며 보안 SW의 성능 저하와 탐지 공백 우려도 제기하고 있다.

전문가들은 “애플이 2019년 맥OS(macOS) 카탈리나에서 커널 확장(KEXT)을 퇴출시킨 선례처럼, MS 역시 단계적 이행 기간이 필요하다”며 “보안사들은 커널 권한 없이도 위협 가시성을 유지할 추가 센서와 AI 기반 탐지 기술을 확보해야 한다”고 조언했다.

한편으로 이번 조치는 윈도우10 지원 종료(2025년 10월)를 1년여 앞둔 상황에서 MS가 ‘안전·복원력 강화’ 카드를 꺼내 들며 엔터프라이즈 고객 설득에 나선 것이라는 분석도 나온다. 커널 밖 보안 플랫폼과 QMR, 핫패치 등 무중단 업데이트 기술이 예고대로 안착한다면, 운영체제 업그레이드 저항을 완화하는 촉매가 될 수도 있다는 게 전문가들의 전망이다. 반면 커널 접근 제한이 자사 ‘윈도우 디펜더(Windows Defender)’에 유리한, ‘기울어진 운동장’이 될 수 있다는 경쟁사 견제도 변수로 남는다. 어쨌든 MS가 스스로 커널이라는 ‘성역’을 허무는 결단을 내린 만큼, 윈도우 생태계 전반의 개발·운영이 대전환기를 맞게 됐다. 보안 업계의 대응이 주목된다.