가상화 기반 보안은 수년간 Windows 10의 기능이었습니다. 마이크로소프트가 이를 시행하지 않았기 때문에 많은 사람들의 레이더 아래에 놓였습니다. 그러나 이것은 Windows 11에서 변경될 예정입니다.
VBS가 무엇인지, 활성화 및 비활성화하는 방법을 자세히 살펴보겠습니다.
가상화 기반 보안(VBS)이란 무엇입니까?
VBS(가상화 기반 보안)는 Windows Hypervisor를 사용하여 운영 체제의 나머지 부분에서 주 메모리 부분을 가상으로 격리합니다. Windows는 이 격리되고 안전한 메모리 영역을 사용하여 무엇보다도 Windows 보안을 담당하는 로그인 자격 증명 및 코드와 같은 중요한 보안 솔루션을 저장합니다.
메모리의 격리된 부분 내부에 보안 솔루션을 호스팅하는 이유는 이러한 보호 기능을 무력화하려는 공격으로부터 솔루션을 보호하기 위한 것입니다. 맬웨어는 Windows의 기본 제공 보안 메커니즘을 표적으로 삼아 중요한 시스템 리소스에 액세스하는 경우가 많습니다. 예를 들어, 악성 코드는 Windows의 코드 인증 방법을 무력화하여 커널 수준 리소스에 액세스할 수 있습니다.
VBS는 Windows 보안 솔루션을 나머지 OS와 분리하여 이 문제를 해결합니다. 취약점은 이러한 보호에 액세스할 수 없기 때문에 OS 보호를 우회할 수 없기 때문에 Windows를 더 안전하게 만듭니다. 이러한 보호 기능 중 하나는 HVCI(Hypervisor-Enforced Code Integrity) 또는 메모리 무결성입니다.
HVCI는 VBS를 활용하여 향상된 코드 무결성 검사를 구현합니다. 이러한 검사는 커널 모드 드라이버 및 프로그램을 인증하여 신뢰할 수 있는 소스에서 제공되었는지 확인합니다. 따라서 HVCI는 신뢰할 수 있는 코드만 메모리에 로드되도록 합니다.
요컨대, VBS는 Windows가 중요한 보안 솔루션을 다른 모든 것과 분리하여 유지하는 메커니즘입니다. 시스템 침해의 경우 악성 코드가 침투하여 비활성화/우회할 수 없기 때문에 VBS가 보호하는 솔루션 및 정보는 활성 상태로 유지됩니다.
Windows에서 가상화 기반 보안의 필요성
VBS에 대한 Windows 11의 필요성을 이해하려면 VBS가 제거하려는 위협을 이해해야 합니다. VBS는 주로 기존 보안 메커니즘이 처리할 수 없는 악성 코드로부터 보호하는 메커니즘입니다.
즉, VBS는 커널 모드 멀웨어를 물리치는 것을 목표로 합니다.
커널은 모든 OS의 핵심입니다. 모든 것을 관리하고 서로 다른 하드웨어 구성 요소가 함께 작동하도록 하는 코드입니다. 일반적으로 사용자 프로그램은 커널 모드에서 실행되지 않습니다. 그들은 사용자 모드에서 실행됩니다. 사용자 모드 프로그램은 상승된 권한이 없기 때문에 기능이 제한됩니다. 예를 들어, 사용자 모드 프로그램은 다른 프로그램의 가상 주소 공간을 덮어쓸 수 없으며 작업을 엉망으로 만들 수 없습니다.
커널 모드 프로그램은 이름에서 알 수 있듯이 Windows 커널에 대한 전체 액세스 권한이 있으며 Windows 리소스에 대한 전체 액세스 권한이 있습니다. 그들은 시스템 호출을 하고, 중요한 데이터에 액세스하고, 방해받지 않고 원격 서버에 연결할 수 있습니다.
간단히 말해서 커널 모드 프로그램은 바이러스 백신 프로그램보다 높은 권한을 가지고 있습니다. 따라서 Windows 및 타사 앱에서 설정한 방화벽 및 기타 보호 기능을 우회할 수 있습니다.
많은 경우 Windows는 커널 수준 액세스 권한이 있는 악성 코드가 있는지조차 모릅니다. 이로 인해 커널 모드 맬웨어를 탐지하는 것이 매우 어렵거나 어떤 경우에는 불가능하기도 합니다.
VBS는 이것을 바꾸는 것을 목표로 합니다.
이전 섹션에서 언급했듯이 VBS는 Windows Hypervisor를 사용하여 메모리의 보안 영역을 만듭니다. Windows Hypervisor는 시스템에서 가장 높은 수준의 권한을 갖습니다. 시스템 메모리에 대한 제한을 확인하고 시행할 수 있습니다.
따라서 커널 모드 맬웨어가 시스템 메모리의 페이지를 변경한 경우 하이퍼바이저에 의해 구동되는 코드 무결성 검사는 메모리 페이지에서 보안 메모리 영역 내부의 잠재적인 무결성 위반이 있는지 검사합니다. 코드 조각이 이러한 무결성 검사에서 녹색 신호를 받은 경우에만 이 메모리 영역 외부에서 실행할 수 있습니다.
간단히 말해서 Windows는 사용자 모드 악성 코드를 처리하는 것 외에도 커널 모드 맬웨어의 위험을 최소화하기 위해 VBS가 필요합니다.
Windows 11은 VBS를 어떻게 사용합니까?
Windows 11의 하드웨어 요구 사항을 자세히 살펴보면 Microsoft가 Windows 11 PC에 대해 요구하는 대부분의 사항이 VBS가 작동하는 데 필요하다는 것을 알 수 있습니다. Microsoft는 다음을 포함하여 VBS가 웹사이트에서 작동하는 데 필요한 하드웨어를 자세히 설명합니다.
- Intel VT-X 및 AMD-V와 같은 하드웨어 가속 기능이 있는 64비트 CPU
- TPM(신뢰할 수 있는 플랫폼 모듈) 2.0
- UEFI
- HVCI(Hypervisor-Enforced Code Integrity) 호환 드라이버
이 목록에서 Intel 8세대 이상 CPU를 포함한 Windows 11의 주요 하드웨어 요구 사항은 VBS 및 VBS가 활성화하는 기능을 용이하게 하기 위한 것입니다. 이러한 기능 중 하나는 HVCI(Hypervisor-Enforced Code Integrity)입니다.
VBS는 Windows Hypervisor를 사용하여 나머지 OS와 별도의 가상 메모리 환경을 구축한다는 점을 기억하십시오. 이 환경은 OS의 신뢰 루트 역할을 합니다. 즉, 이 가상 환경 내부에 있는 코드와 보안 메커니즘만 신뢰할 수 있습니다. 커널 모드 코드를 포함하여 외부에 있는 프로그램 및 솔루션은 인증될 때까지 신뢰할 수 없습니다. HVCI는 VBS가 만드는 가상 환경을 강화하는 핵심 구성 요소입니다.
가상 메모리 영역 내에서 HVCI는 무결성 위반에 대해 커널 모드 코드를 확인합니다. 문제의 커널 모드 코드는 코드가 신뢰할 수 있는 소스에서 제공되고 할당이 시스템 보안에 위협이 되지 않는 경우에만 메모리를 할당할 수 있습니다.
보시다시피, HVCI는 큰 문제입니다. 따라서 Windows 11은 모든 호환 시스템에서 이 기능을 기본적으로 켭니다.
컴퓨터에서 VBS가 활성화되어 있는지 확인하는 방법
Microsoft는 기본적으로 호환 가능한 사전 구축 및 OEM Windows 11 컴퓨터에서 VBS를 활성화합니다. 불행히도 VBS는 성능을 최대 25%까지 떨어뜨릴 수 있습니다. 따라서 Windows 11을 실행 중이고 최첨단 보안이 필요하지 않다면 VBS를 꺼야 합니다.
컴퓨터에서 VBS가 활성화되어 있는지 확인하려면 Windows 키를 누르십시오. , "시스템 정보"를 입력하고 관련 결과를 선택합니다. 앱이 열리면 가상화 기반 보안까지 아래로 스크롤합니다. 활성화되어 있는지 확인하십시오.
VBS를 활성화/비활성화하려면 Windows 키를 누르고 "core isolation"을 입력한 다음 관련 결과를 선택합니다. 핵심 격리에서 섹션, 메모리 무결성 전환 켜기/끄기.
마지막으로 PC를 다시 시작합니다.
VBS는 Windows 11을 훨씬 더 안전하게 만들 수 있지만 단점이 있습니다.
HVCI와 같은 Windows 11의 주요 보안 기능은 정당한 이유가 있는 VBS에 크게 의존합니다. VBS는 악성 코드를 물리치고 보안 침해로부터 OS를 보호하는 효과적인 방법입니다. 그러나 VBS는 가상화에 의존하기 때문에 시스템 성능의 상당한 부분을 차지할 수 있습니다.
Microsoft의 엔터프라이즈 고객에게 이러한 보안 충돌은 성능을 희생하더라도 생각할 필요가 없습니다. 그러나 특히 게임 중에 빠른 Windows 경험을 원하는 일반 사용자에게는 VBS의 성능 비용이 감당하기 어려울 수 있습니다.
고맙게도 Microsoft에서는 컴퓨터에서 VBS를 비활성화할 수 있습니다. 그러나 VBS 비활성화에 대해 걱정하지 마십시오. Windows 11은 VBS가 없어도 Windows 10보다 훨씬 더 안전합니다.