TechNet 홈 > columns >

Professor Windows - 2004년 7월

Windows XP 서비스 팩 2: 미래를 위한 준비

게시 날짜: 2004년 7월 27일 | 업데이트 날짜: 2004년 8월 5일

출처: Professor Windows 
Erez Paz, 초기 품질 평가 관리자, Microsoft Israel

이 페이지에서
Benefits of Alert Tuning보안에 대한 무관심
Benefits of Alert Tuning보안 문제 해결을 위한 서비스 팩 2
Benefits of Alert Tuning개인 방화벽이 필요한 경우
Benefits of Alert Tuning인터넷 사용 시 번거로움 해결
Benefits of Alert Tuning평가 - 여러분의 PC는 안전합니까?
Benefits of Alert Tuning새로운 기능
Benefits of Alert Tuning미래를 위한 준비
Benefits of Alert Tuning관련 링크

보안에 대한 무관심

블래스터 웜에 대해 들어보셨습니까? 아마도 대부분의 컴퓨터 사용자가 이 웜 바이러스의 피해를 전해 들었거나 직접 경험해 보았을 것입니다. 이러한 직간접적인 경험 이후에 컴퓨터의 보안 수준을 높이기 위해 어떠한 조치를 취했습니까? 보안 문제를 실제로 고려해 본 적은 있습니까? 조직에서 방화벽을 설치하거나, 업그레이드하거나 강화했습니까? 정책 규칙을 강화하거나 암호를 더 자주 변경하는 조치를 취하고 있습니까? 직원들이 각자 PC에서 "관리자 권한" 대신 "일반 사용자 권한"을 사용하여 작업하도록 정책을 설정했습니까?

저는 이러한 조치를 모두 수행하지는 않았습니다. 제가 담당하고 있는 대부분의 고객도 이를 모두 수행하지는 않았습니다. 이것은 잘못된 것입니다.

저는 기회가 있을 때마다 보안에 신경을 더 많이 쓰도록 고객에게 강력하게 권유합니다. 불행히도 대부분의 고객은 보안보다 사용자의 편의를 추구하는 경향이 있습니다. 예를 들어 은행에서는 인터넷 뱅킹 사이트에서 15분 뒤에도 화면 보호기 잠금을 제한하지 않을 정도로 보안보다 편의를 도모하고 있습니다.

보안 문제 해결을 위한 서비스 팩 2

이제 눈을 떠야 할 시간입니다! 해커들이 바로 눈앞에서 공격을 시도하고 있습니다! "Microsoft Windows XP 서비스 팩 2의 변경된 기능 문서를 읽어 보신다면 아마 크게 놀랄 것입니다. 해커들이 Internet Explorer를 사용하여 우리를 속일 수 있는 방법은 너무도 많습니다. 해커는 팝업 창의 주소 표시줄이나 알림 표시줄 같은 중요한 정보를 숨기고 그 사이트가 보안 사이트인 것처럼 믿게 할 수 있습니다. 그들은 원하는 만큼 얼마든지 웹 탐색 작업을 차단하고 ActiveX를 설치하도록 요청하는 팝업 창을 표시할 수 있습니다. 컴퓨터가 방화벽으로 보호되지 않은 경우 그들은 TCP/IP를 통해 요청되지 않은 인바운드 연결로 이러한 컴퓨터에 연결할 수 있습니다.

Windows XP의 서비스 팩 2에서는 운영 체제의 보안과 안정성을 향상시키기 위해 150가지 이상의 항목이 변경되었습니다. 강화된 기능 중 일부는 보안과 관련이 없는 것이지만 대부분의 경우는 보안에 관련된 내용입니다.

개인 방화벽이 필요한 경우

오늘날 거의 모든 기업 환경은 요청되지 않은 인바운드 연결로부터 보호하기 위한 최신 방화벽을 갖추고 있습니다. 그렇다면 네트워크는 이미 안전하게 보호되고 있으므로 Windows XP SP2의 새로운 방화벽은 가정에서만 사용하면 될까요? 그렇지 않습니다. 누구든지 USB 디스크 스틱, 플로피 디스크, 카메라 플래시 메모리 등과 같은 매체를 사용하여 소프트웨어를 조직 내부로 가져올 수 있습니다. 심지어는 모든 환경에 액세스할 수 있는 헬프 데스크 직원이 이런 일을 저지를 수도 있습니다. 이와 같은 일이 발생하지 않도록 하려면 매우 엄격한 정책을 세워야 합니다.

이전에는 인터넷 연결 방화벽이라고 불렸던 Windows 방화벽이 새롭게 변경되었습니다. 이 방화벽은 요청되지 않은 트래픽을 통해 컴퓨터를 공격하는 악의적인 사용자와 프로그램으로부터 시스템을 보호합니다.

다음은 새로운 Windows 방화벽에서 변경된 주요 내용입니다.
  • 설치 과정에서 Windows 방화벽이 기본적으로 활성화됩니다.
  • 그룹 정책, Netsh 명령줄 또는 Netfw.inf 파일을 통해 Windows 방화벽의 모든 기능을 제어할 수 있습니다.
  • 사용자 인터페이스가 더 알기 쉽고 유용하게 개선되었습니다(그림 1 참조).
  • 네트워크에서 요청되지 않은 연결을 수신하도록 허용할 포트나 프로그램을 모두 예외 목록에 포함시킬 수 있습니다(그림 2 참조).
  • 서브넷 제어 - 로컬 서브넷의 원본 주소가 있는 네트워크 트래픽만 수신하도록 예외 목록의 포트나 프로그램을 구성할 수 있습니다(그림 3 참조).
  • 예외 없음 - 네트워크에서 웜 공격을 받는 경우 방화벽 주 UI, 명령줄 또는 그룹 정책에서 예외를 허용하지 않도록 해당 기능을 활성화하여 모든 인바운드 연결이 차단되도록 Windows 방화벽을 구성할 수 있습니다.
  • 글로벌 구성 - 이전의 인터넷 연결 방화벽은 인터페이스별로 구성되었습니다. 즉, 각 네트워크 연결에 고유한 방화벽 정책이 있었습니다. 예를 들면 무선 연결과 이더넷 연결에 각각 서로 다른 정책을 적용했습니다. 글로벌 구성에서는 구성이 변경될 때마다 변경된 내용이 모든 네트워크 연결에 적용됩니다.
  • 다중 프로필 - Windows 방화벽에서는 여러 프로필을 지원하므로 두 개의 방화벽 정책 집합을 만들고 컴퓨터가 기업 네트워크에 연결되는 경우와 그렇지 않은 경우에 각각 하나씩 방화벽 정책 집합을 사용할 수 있습니다.
새로운 Windows 방화벽은 가정 및 기업의 연결을 안전하게 보호할 수 있도록 설계되었습니다. 이 방화벽을 사용하면 조직의 내부 및 외부에서의 공격을 최소한으로 줄일 수 있습니다.

그림 1: Windows 방화벽


그림 2: Windows 방화벽 예외 목록


그림 3: 예외 범위 구성


인터넷 사용 시 번거로움 해결

웹 페이지에 연결할 때 ActiveX를 설치하라는 메시지가 표시되고 이를 허용하지 않으면 다음 작업을 진행할 수 없는 경우를 많이 경험했을 것입니다. 웹 페이지에 연결할 때 수없이 많은 팝업 창이 화면을 가득 채워 이러한 창을 모두 닫는 과정에서 주 페이지도 함께 닫는 바람에 그 주소를 기억하지 못해 당황했던 경험이 있을 것입니다.

Windows XP SP2를 설치하면 Internet Explorer 동작이 크게 변경되어 악의적인 웹 페이지로 사용자를 속이고 컴퓨터에 악영향을 미칠 수 있는 애드웨어나 스파이봇을 설치하도록 유도하는 경우를 막을 수 있습니다.

주요 변경 내용은 다음과 같습니다.

추가 기능 설치 프롬프트

ActiveX를 설치하려는 모든 웹 페이지가 차단됩니다. 이 경우 ActiveX를 설치하라는 커다란 메시지 상자가 더 이상 표시되지 않습니다. 대신, 현재 웹 사이트에서 사용자의 컴퓨터에 ActiveX를 설치하려고 한다는 사실을 알리는 새로운 보안 표시줄이 주소 표시줄 아래에 즉시 표시됩니다(그림 4 참조). 보안 표시줄을 마우스 오른쪽 단추로 클릭하면 ActiveX를 설치하도록 선택할 수 있습니다. 이 경우 해당 ActiveX에 대한 이름, 게시자, 경고 메시지 같은 가장 중요한 정보만 제공하는 새 창이 열립니다(그림 5 참조). 이후의 ActiveX 설치 요청을 무시하도록 선택할 수도 있습니다.

그림 4: IE의 ActiveX 차단 알림



그림 5: 새로운 ActiveX 보안 경고


추가 기능 관리자

실수로 또는 의도적으로 ActiveX를 이미 설치한 경우 새로운 추가 기능 관리자를 사용하여 언제든지 이를 제거할 수 있습니다. 추가 기능 관리자를 사용하면 IE에서 임의의 추가 기능을 활성화하거나 비활성화할 수 있습니다.

참고: 추가 기능 관리자를 사용해도 추가 기능을 제거할 수는 없으며 비활성화만 할 수 있습니다.

: 저는 추가 기능 관리자를 사용하여 "Shockwave Flash Object"를 비활성화했습니다. 이 설정을 통해 제가 방문하는 사이트의 플래시 개체를 모두 비활성화했습니다. 일반적으로 이러한 플래시 광고는 웹 탐색 작업에 방해가 되기 때문입니다. 플래시를 활성화하거나 비활성화하는 스크립트를 사용하면 바로 가기 하나는 플래시가 허용되는 IE에 사용하고 다른 바로 가기는 플래시가 허용되지 않는 IE에 사용할 수 있습니다.

팝업 차단

웹 페이지에서 팝업 창을 열려는 경우 팝업이 자동으로 차단됩니다. 이 경우 ActiveX 컨트롤 설치를 시도할 때와 동일한 보안 표시줄 알림이 나타납니다. 보안 표시줄을 마우스 오른쪽 단추로 클릭하고 팝업 창이 표시되도록 허용할지 선택할 수 있습니다. 도구->팝업 차단 설정을 통해 팝업 동작을 관리할 수 있습니다. 기본적으로 허용된 사이트 목록에는 허용된 사이트가 없습니다.

스푸핑의 위험 완화

스푸핑으로부터 컴퓨터를 보호하기 위해 화면을 벗어나거나 테두리가 없거나 알림 표시줄이 없거나 전체 화면 또는 상위 페이지의 주소 표시줄이나 알림 표시줄의 위에 표시되는 팝업 창은 허용되지 않습니다.

기타 변경 사항

인터넷을 더 편리하게 탐색하고 웹 스푸핑으로부터 컴퓨터를 보호할 수 있도록 IE의 많은 기능이 변경되었습니다. Windows XP SP2가 릴리스된 후에는 기존의 웹 사이트가 올바르게 작동하지 않을 수 있으므로 웹 개발자는 다음 링크에서 더 자세한 내용을 확인해야 합니다. http://msdn.microsoft.com/security/productinfo/xpsp2/default.aspx?pull=/library/en-us/dnwxp/html/xpsp2websites.asp 

평가 - 여러분의 PC는 안전합니까?

분명한 것은 지금보다 보안을 강화할 수 있다는 점입니다. Windows XP 서비스 팩 2에는 보안 센터라는 새로운 서비스가 추가되었습니다. 이 서비스는 보안 설정을 변경하고 보안 상태에 대한 추가 정보를 얻고 Microsoft에서 권장하는 필수 보안 설정이 적용되어 컴퓨터가 최신 상태를 유지하고 있는지 확인하는 등의 작업을 중앙에서 처리할 수 있도록 새로 추가된 것입니다. 이 서비스는 백그라운드 프로세스로 실행되며 개인 방화벽, 바이러스 백신 및 Windows 업데이트 구성 요소의 상태를 검사합니다. 또한 이 서비스는 WMI 공급자가 있는 타사 소프트웨어를 검사합니다. 누락되었거나 보안 정책을 따르지 않는 구성 요소가 발견되면 보안 센터에서는 사용자의 작업 표시줄에 있는 알림 영역에 빨간색 아이콘을 배치하고 로그온 시 경고 메시지도 표시합니다.

새로운 기능

Windows XP 서비스 팩 2에는 지금까지 소개한 내용 이외에도 여러 가지 변경된 기능이 포함되어 있습니다. 다음은 이러한 기능 중 일부에 대한 간략한 목록입니다.
  • RPC, DCOM 또는 WebDAV가 사용되는 프로그램에는 더 이상 익명 연결이 허용되지 않습니다. 이러한 프로그램에 사용되는 연결은 반드시 인증을 거쳐야 합니다.
  • Windows Server 2003의 서비스 팩 1에는 새로운 RADIUS 서버를 지원하는 무선 클라이언트가 새로 추가되었습니다.
  • Outlook Express에서 외부 HTML 콘텐트가 자동으로 다운로드되지 않으므로 자신도 모르는 사이에 사용자의 전자 메일 주소가 유효하다는 사실이 스팸 발송자에게 전달되지 않도록 하여 스팸 메일이 반복적으로 배달되는 경우를 막을 수 있습니다.
  • NX("No Execute") 기술 - 실행 보호 기술은 버퍼 오버런을 일으킬 수 있는 프로그램으로부터 컴퓨터 메모리를 보호하기 위해 지원되는 CPU와 함께 작동하는 새로운 기술입니다.
  • AES(Attachment Exaction Service) - IE, Windows Messenger 및 Outlook Express에서 실행 파일을 조사하고 이러한 파일이 안전한지 확인할 수 있습니다.
  • 지금까지 개발된 거의 모든 장치에 대한 Bluetooth 기능을 지원합니다.
  • MSI3(Microsoft Installer 3) - 크기가 작은 패치에 대한 이진 데이터 압축을 지원합니다.
  • Windows 업데이트 서버용 클라이언트가 곧 제공될 예정입니다.
  • 태블릿 PC 기능이 향상되어 텍스트를 더 자연스럽게 쓸 수 있습니다.

미래를 위한 준비

Windows XP 서비스 팩 2에는 몇 가지 보안 패치 이상의 훨씬 많은 내용이 포함되어 있습니다. 이 서비스 팩은 지금까지 Microsoft에서 릴리스한 가장 큰 서비스 팩일 뿐만 아니라 공격받을 가능성이 있는 부분을 크게 줄여서 PC 보안을 강화할 수 있는 방법을 보여 줍니다. 이는 단순한 패치가 아닙니다. 이는 새로운 악성 코드가 발견되었을 때 문제를 해결하기 위한 수정 파일이 아닙니다. 이 서비스 팩은 이후에 악성 코드가 개발될 수 있는 가능성을 현재보다 훨씬 더 강력한 방식을 적용하여 줄이기 위한 것입니다. 이제 우리는 시스템 관리에 내재해 있는 가장 큰 문제로 다시 되돌아왔습니다. 즉, 보안과 편의 사이에서 어느 쪽을 선택할 것인지에 대한 문제입니다. 오늘날에는 PC 보안이 너무나도 중요한 문제로 대두되고 있습니다. Windows XP 서비스 팩 2는 바로 이러한 점에서 기본적으로 사용자의 컴퓨터를 보호하면서도 사용자의 생산성을 계속 유지시키는 데 큰 도움이 될 수 있습니다.

관련 링크

다음은 더 자세한 내용을 참조할 수 있는 몇 가지 링크입니다.

Professor Windows의 전체 칼럼 목록과 추가 정보를 보려면 여기 를 클릭하십시오.

이 칼럼의 내용과 관련된 의견이 있으면 Microsoft TechNet으로 메일을 보내 주십시오. 이 메일 주소는 지원 서비스 계정이 아니며 회신 메일을 보내드리지 못할 수도 있습니다.

최종수정일 : 2004년 10월 16일