Microsoft는 5월에 Windows 11에 제공되는 새로운 보안 기능을 공개했습니다. 이 기능을 통해 Windows 애플리케이션은 보안 강화를 위해 격리된 샌드박스 환경에서 실행할 수 있습니다. 이제 우리는 그것이 어떻게 작동하는지에 대해 조금 더 알고 있습니다.
Microsoft는 제로 데이 취약점 및 기타 잠재적인 보안 기능에 대한 보호 계층을 제공하기 위한 “Win32 앱 격리”에 대한 공개 미리 보기를 시작했습니다. Microsoft는 블로그 게시물에서 “Win32 앱 격리는 낮은 권한으로 앱을 실행하여 영향을 제한하는 목표를 달성합니다(앱이 손상되는 경우). 컨테이너에서 벗어나려면 다단계 공격이 필요합니다. 공격자는 광범위한 액세스 권한을 갖는 것과 비교하여 특정 기능이나 취약성을 대상으로 해야 하며 공격은 특정 취약성을 향해야 하므로 완화 패치를 신속하게 적용하여 공격의 수명을 단축할 수 있습니다.”
앱 격리는 데스크톱 Linux의 Snap 또는 Flatpak 애플리케이션과 매우 유사하며 어느 정도는 macOS의 기본 권한 구조입니다. 애플리케이션은 설치 시 일부 권한으로 시작할 수 있으며 필요에 따라 더 많은 권한을 요청할 수 있습니다. 카메라, 마이크, 위치, 이미지, 파일 및 폴더에 대한 액세스가 사용자의 허가 없이 차단됩니다. 격리된 앱도 Windows 레지스트리에 대한 액세스가 제한됩니다. 앱은 특정 파일 및 폴더에 대한 권한을 요청할 수 있으며 사용자가 액세스 권한을 부여하면 Windows BFS(Brokering File System)라는 샌드박스 파일 시스템을 통해 파일이 제공됩니다.
PC에 대한 전체 액세스 권한이 필요하지 않은 많은 앱이 있고 불필요한 권한으로부터 앱을 차단하면 개인 정보 보호와 보안이 모두 향상되기 때문에 모든 것이 훌륭하게 들립니다. 그러나 Microsoft는 이것이 모든 소프트웨어에 대해 자동으로 활성화되지는 않을 것임을 분명히 했습니다. 이것은 모든 소프트웨어에 대한 파일 액세스 및 기타 기능에 대한 권한 모델을 강제하는 macOS의 앱과 달리 애플리케이션 개발자의 일부 수정이 필요한 옵트인 조치입니다.
Microsoft는 Windows 11의 카메라 및 VPN 상태 아이콘과 같은 민감한 데이터를 사용하는 애플리케이션에 대해 더 나은 지표를 구축해 왔지만 전반적으로 앱 격리가 활성화되는 것이 좋았을 것입니다. 이는 현재 Windows 구조로는 불가능할 수 있습니다. 특히 수십 년 된 소프트웨어와의 호환성을 유지하는 것이 기업 고객의 요구 사항인 경우 더욱 그렇습니다.
출처: Windows 블로그