코어 격리는 메모리에서 격리하여 악성 소프트웨어로부터 Windows의 중요한 핵심 프로세스를 보호하는 Microsoft Windows의 보안 기능입니다. 가상화된 환경에서 이러한 핵심 프로세스를 실행하여 이 작업을 수행합니다.
참고: 코어 격리 페이지에 표시되는 내용은 실행 중인 Windows 버전에 따라 약간 다를 수 있습니다.
메모리 무결성
HVCI(하이퍼바이저로 보호되는 코드 무결성)라고도 하는 메모리 무결성은 악성 프로그램이 하위 수준 드라이버를 사용하여 컴퓨터를 하이재킹하기 어렵게 만드는 Windows 보안 기능입니다.
드라이버는 운영 체제(이 경우 Windows)와 장치(예: 키보드 또는 웹캠 등)가 서로 통신할 수 있는 소프트웨어입니다. 디바이스가 Windows에서 작업을 수행하도록 하려는 경우 드라이버를 사용하여 해당 요청을 보냅니다.
팁: 드라이버에 대해 자세히 알고 싶으신가요? 드라이버란?을 참조하세요.
메모리 무결성은 하드웨어 가상화를 사용하여 격리된 환경을 만들어 작동합니다.
잠긴 부스 내부의 경비원처럼 생각하십시오. 이 격리된 환경(비유의 잠긴 부스)은 공격자가 메모리 무결성 기능을 변조하는 것을 방지합니다. 위험할 수 있는 코드 조각을 실행하려는 프로그램은 확인할 수 있도록 해당 가상 부스 내의 메모리 무결성에 코드를 전달해야 합니다. 메모리 무결성이 편안할 때 코드가 안전할 경우 코드를 Windows로 다시 연결하여 실행합니다. 일반적으로 이 작업은 매우 빠르게 발생합니다.
메모리 무결성이 실행되고 있지 않으면 "보안 보호"는 공격자가 가드를 방해하거나 방해하기가 훨씬 쉬운 열린 곳에서 눈에 돋보이므로 악성 코드가 더 쉽게 지나간 후 문제를 일으킬 수 있습니다.
메모리 무결성을 관리하려면 어떻게 해야 하나요?
대부분의 경우 메모리 무결성은 Windows 11에서 기본적으로 켜져 있으며 Windows 10에 대해 켤 수 있습니다.
켜거나 끄려면 다음을 수행합니다.
-
시작 단추를 선택하고 "코어 격리"를 입력합니다.
-
검색 결과에서 코어 격리 시스템 설정을 선택하여 Windows 보안 앱을 엽니다.
코어 격리 페이지에서 켜거나 끄는 토글과 함께 메모리 무결성 을 찾을 수 있습니다.
중요: 안전을 위해 메모리 무결성을 켜는 것이 좋습니다.
메모리 무결성을 사용하려면 시스템의 UEFI 또는 BIOS에서 하드웨어 가상화를 사용하도록 설정해야 합니다.
호환되지 않는 드라이버가 있다고 말하면 어떻게 해야 하나요?
메모리 무결성이 켜지 않으면 호환되지 않는 디바이스 드라이버가 이미 설치되어 있음을 알 수 있습니다. 디바이스 제조업체에 문의하여 업데이트된 드라이버를 사용할 수 있는지 확인합니다. 호환되는 드라이버를 사용할 수 없는 경우 호환되지 않는 드라이버를 사용하는 디바이스 또는 앱을 제거할 수 있습니다.
참고: 메모리 무결성을 켠 후 호환되지 않는 드라이버가 있는 디바이스를 설치하려고 하면 동일한 메시지가 표시 될 수 있습니다. 이 경우 동일한 조언이 적용됩니다. 디바이스 제조업체에 문의하여 다운로드할 수 있는 업데이트된 드라이버가 있는지 확인하거나 호환되는 드라이버를 사용할 수 있을 때까지 해당 특정 디바이스를 설치하지 마세요.
커널 모드 하드웨어 적용 스택 보호
커널 모드 하드웨어 적용 스택 보호는 악성 프로그램이 하위 수준 드라이버를 사용하여 컴퓨터를 하이재킹하기 어렵게 만드는 하드웨어 기반 Windows 보안 기능입니다.
드라이버는 운영 체제(이 경우 Windows)와 키보드 또는 웹캠과 같은 디바이스가 서로 통신할 수 있는 소프트웨어입니다. 디바이스가 Windows에서 작업을 수행하도록 하려는 경우 드라이버를 사용하여 해당 요청을 보냅니다.
팁: 드라이버에 대해 자세히 알고 싶으신가요? 드라이버란?을 참조하세요.
커널 모드 하드웨어 적용 스택 보호는 커널 모드 메모리의 반환 주소를 수정하여 악성 코드를 시작하는 공격을 방지하여 작동합니다. 이 보안 기능을 사용하려면 실행 중인 코드의 반환 주소를 확인하는 기능이 포함된 CPU가 필요합니다.
커널 모드에서 코드를 실행할 때 일반 코드 실행을 악성 코드로 리디렉션하기 위해 악성 프로그램 또는 드라이버에 의해 커널 모드 스택의 반환 주소가 손상될 수 있습니다. 지원되는 CPU에서 CPU는 드라이버가 수정할 수 없는 읽기 전용 섀도 스택에 유효한 반환 주소의 두 번째 복사본을 유지 관리합니다. 일반 스택의 반환 주소가 수정된 경우 CPU는 섀도 스택에서 반환 주소의 복사본을 확인하여 이러한 불일치를 감지할 수 있습니다. 이 불일치가 발생하면 컴퓨터는 악성 코드가 실행되지 않도록 중지 오류(블루 스크린이라고도 함)를 표시합니다.
소수의 합법적인 드라이버가 악의적이지 않은 목적으로 반환 주소 수정에 관여하므로 일부 드라이버가 이 보안 기능과 호환되는 것은 아닙니다. Microsoft는 최신 드라이버가 커널 모드 하드웨어 적용 스택 보호와 호환되도록 수많은 드라이버 게시자를 참여시키고 있습니다.
커널 모드 하드웨어 적용 스택 보호를 관리하려면 어떻게 해야 하나요?
커널 모드 하드웨어 적용 스택 보호는 기본적으로 꺼져 있습니다.
켜거나 끄려면 다음을 수행합니다.
-
시작 단추를 선택하고 "코어 격리"를 입력합니다.
-
검색 결과에서 코어 격리 시스템 설정을 선택하여 Windows 보안 앱을 엽니다.
코어 격리 페이지에서 커널 모드 하드웨어 적용 스택 보호 와 이를 켜거나 끄는 토글을 찾을 수 있습니다.
커널 모드 하드웨어 적용 스택 보호를 사용하려면 메모리 무결성 을 사용하도록 설정해야 하며 Intel Control-Flow 적용 기술 또는 AMD 섀도 스택을 지원하는 CPU를 실행해야 합니다.
호환되지 않는 드라이버 또는 서비스가 있다고 말하면 어떻게 해야 하나요?
커널 모드 하드웨어 적용 스택 보호가 켜지 않으면 호환되지 않는 디바이스 드라이버 또는 서비스가 이미 설치되어 있음을 알 수 있습니다. 디바이스 제조업체 또는 애플리케이션 게시자에 문의하여 업데이트된 드라이버를 사용할 수 있는지 확인합니다. 호환되는 드라이버를 사용할 수 없는 경우 호환되지 않는 드라이버를 사용하는 디바이스 또는 앱을 제거할 수 있습니다.
일부 애플리케이션은 애플리케이션을 설치하는 동안 드라이버 대신 서비스를 설치하고 애플리케이션이 시작될 때만 드라이버를 설치할 수 있습니다. 호환되지 않는 드라이버를 보다 정확하게 검색하기 위해 호환되지 않는 드라이버와 연결된 것으로 알려진 서비스도 열거됩니다.
참고: 커널 모드 하드웨어 적용 스택 보호를 켠 후 호환되지 않는 드라이버가 있는 디바이스 또는 앱을 설치하려고 하면 동일한 메시지가 표시될 수 있습니다. 이 경우 동일한 조언이 적용됩니다. 디바이스 제조업체 또는 앱 게시자에 문의하여 다운로드할 수 있는 업데이트된 드라이버가 있는지 확인하거나 호환되는 드라이버를 사용할 수 있을 때까지 해당 특정 디바이스 또는 앱을 설치하지 마세요.
메모리 액세스 보호
"커널 DMA 보호"라고도 하는 이 기능은 악성 디바이스가 Thunderbolt 포트와 같은 PCI(주변 구성 요소 상호 연결) 포트에 연결되어 있을 때 발생할 수 있는 공격으로부터 디바이스를 보호합니다.
이러한 공격 중 하나의 간단한 예는 누군가가 빠른 커피 휴식을 위해 PC를 떠나는 경우, 그리고 그들이 떨어져있는 동안, 공격자가 들어와 USB와 같은 장치에 연결하고 컴퓨터에서 중요한 데이터로 멀리 걸어, 또는 원격으로 PC를 제어 할 수있는 맬웨어를 주입하는 것입니다.
메모리 액세스 보호는 특히 PC가 잠겨 있거나 사용자가 로그아웃된 특별한 경우를 제외하고 해당 디바이스에 대한 메모리에 대한 직접 액세스를 거부하여 이러한 종류의 공격을 방지합니다.
메모리 액세스 보호를 켜는 것이 좋습니다.
팁: 이에 대한 자세한 기술 정보는 커널 DMA 보호를 참조하세요.
펌웨어 보호
모든 디바이스에는 디바이스의 읽기 전용 메모리에 기록된 일부 소프트웨어(기본적으로 시스템 보드의 칩에 기록됨)가 있으며, 이는 사용하는 모든 앱을 실행하는 운영 체제 로드와 같은 디바이스의 기본 기능에 사용됩니다. 해당 소프트웨어는 수정하기 어렵지만 불가능하지는 않으므로 이를 펌웨어라고 합니다.
펌웨어가 먼저 로드되고 운영 체제 에서 실행되기 때문에 운영 체제에서 실행되는 보안 도구 및 기능은 이를 감지하거나 방어하는 데 어려움을 겪습니다. 보안을 위해 좋은 기반에 의존하는 집과 마찬가지로 컴퓨터는 해당 컴퓨터의 운영 체제, 애플리케이션 및 고객 데이터가 안전한지 확인하기 위해 펌웨어를 안전하게 보호해야 합니다.
Windows Defender System Guard는 공격자가 신뢰할 수 없거나 악의적인 펌웨어로 디바이스를 시작할 수 없도록 하는 데 도움이 되는 기능 집합입니다.
디바이스에서 지원하는 경우 이 설정을 켜는 것이 좋습니다.
펌웨어 보호를 제공하는 플랫폼은 일반적으로 높은 권한의 운영 모드인 SMM( 시스템 관리 모드 )을 다양한 각도로 보호합니다. 세 가지 값 중 하나를 예상할 수 있습니다. 더 높은 숫자는 더 높은 수준의 SMM 보호를 나타냅니다.
-
디바이스가 펌웨어 보호 버전 1을 충족합니다. SMM이 맬웨어에 의한 악용을 방지하고 OS(VBS 포함)의 비밀 반출을 방지하는 데 도움이 되는 기본 보안 완화 기능을 제공합니다.
-
디바이스가 펌웨어 보호 버전 2를 충족합니다. 펌웨어 보호 버전 1 외에도 버전 2는 SMM이 VBS(가상화 기반 보안) 및 커널 DMA 보호를 사용하지 않도록 설정할 수 없도록 합니다.
-
디바이스가 펌웨어 보호 버전 3을 충족합니다. 펌웨어 보호 버전 2 외에도 OS(VBS 포함)를 손상시킬 수 있는 특정 레지스터에 대한 액세스를 방지하여 SMM을 더욱 강화합니다.
팁: 이에 대한 자세한 기술 정보는 Windows Defender System Guard: 하드웨어 기반 신뢰 루트가 Windows를 보호하는 방법을 참조하세요.
로컬 보안 기관 보호
LSA(로컬 보안 기관) 보호는 Windows에 로그인하는 데 사용되는 자격 증명 도난을 방지하는 Windows 보안 기능입니다.
LSA(로컬 보안 기관)는 사용자 인증과 관련된 Windows의 중요한 프로세스입니다. 로그인 프로세스 중에 자격 증명을 확인하고 서비스에 Single Sign-On을 사용하도록 설정하는 데 사용되는 인증 토큰 및 티켓을 관리합니다. LSA 보호는 신뢰할 수 없는 소프트웨어가 LSA 내에서 실행되거나 LSA 메모리에 액세스하는 것을 방지하는 데 도움이 됩니다.
로컬 보안 기관 보호를 관리하는 방법
LSA 보호는 엔터프라이즈 관리 디바이스에서 Windows 11 버전 22H2 및 23H2의 새 설치에서 기본적으로 켜져 있습니다. Windows 11 버전 24H2 이상의 모든 새 설치에서 기본적으로 켜져 있습니다.
Windows 11 24H2로 업그레이드하고 LSA 보호가 아직 사용하도록 설정되지 않은 경우 LSA 보호는 업그레이드 후에 사용하도록 설정하려고 시도합니다. LSA 보호는 업그레이드 후 평가 모드로 전환되며 5일 동안 호환성 문제를 확인합니다. 검색된 문제가 없으면 평가 기간이 종료된 후 다음 다시 부팅 시 LSA 보호가 자동으로 켜집니다.
켜거나 끄려면 다음을 수행합니다.
-
작업 표시줄에서 시작을 선택하고 "코어 격리"를 입력합니다.
-
검색 결과에서 코어 격리 시스템 설정을 선택하여 Windows 보안 앱을 엽니다.
코어 격리 페이지에서 로컬 보안 기관 보호를 켜거나 끄는 토글과 함께 찾을 수 있습니다. 설정을 변경한 후에는 설정을 적용하려면 다시 부팅해야 합니다.
호환되지 않는 소프트웨어가 있는 경우 어떻게 해야 하나요?
LSA 보호를 사용하도록 설정하고 LSA 서비스에 소프트웨어 로드를 차단하는 경우 차단된 파일을 나타내는 알림이 표시됩니다. 파일을 로드하는 소프트웨어를 제거하거나 LSA로 로드하지 못하도록 차단된 경우 해당 파일에 대한 이후 경고를 사용하지 않도록 설정할 수 있습니다.
Microsoft Defender Credential Guard
참고: Microsoft Defender Credential Guard는 엔터프라이즈 버전의 Windows 10 또는 11을 실행하는 디바이스에만 표시됩니다.
회사 또는 학교 컴퓨터를 사용하는 동안 조용히 로그인하여 조직의 파일, 프린터, 앱 및 기타 리소스와 같은 다양한 항목에 액세스할 수 있습니다. 해당 프로세스를 안전하게 만들면서도 사용자에게 쉽게 만들면 컴퓨터에 지정된 시간에 많은 인증 토큰("비밀"이라고도 함)이 있음을 의미합니다.
공격자가 해당 비밀 중 하나 이상에 액세스할 수 있는 경우 비밀이 적용되는 조직 리소스(중요한 파일 등)에 액세스하는 데 사용할 수 있습니다. Microsoft Defender Credential Guard는 필요한 경우 특정 서비스만 액세스할 수 있는 보호되고 가상화된 환경에 배치하여 이러한 비밀을 보호하는 데 도움이 됩니다.
디바이스에서 지원하는 경우 이 설정을 켜는 것이 좋습니다.
팁: 이에 대한 자세한 기술 정보는 Defender Credential Guard 작동 방식을 참조하세요.
Microsoft 취약한 드라이버 차단 목록
드라이버는 운영 체제(이 경우 Windows)와 장치(예: 키보드 또는 웹캠 등)가 서로 통신할 수 있는 소프트웨어입니다. 디바이스가 Windows에서 작업을 수행하도록 하려는 경우 드라이버를 사용하여 해당 요청을 보냅니다. 이 때문에 드라이버는 시스템에 많은 중요한 액세스 권한을 갖습니다.
Windows 11 2022 업데이트부터 이제 보안 취약성을 알고 있거나, 맬웨어에 서명하는 데 사용된 인증서로 서명되었거나, Windows 보안 모델을 우회하는 드라이버의 차단 목록이 있습니다.
메모리 무결성, 스마트 앱 컨트롤 또는 Windows S 모드가 켜진 경우 취약한 드라이버 차단 목록도 켜질 것입니다.