비스타 UAC 기능의 모순

UAC 자체를 잘못 이해하고 계신듯 하네요. UAC를 이해하기 위해서는 왜 WIndows 계열이 전통적으로 보안에 그토록 헛점을 보여왔는지, 그리고 타 OS에서는 어떻게 그렇게 Windows에 비해 보안성이 높은지 알 필요가 있습니다.

Windows 계열이 전통적으로 보안에 취약한 이유는 하나입니다. 모든 어플리케이션의 실행구조가 관리자 권한을 필연적으로 요구한다는 것이죠. Windows군의 대표적 어플리케이션인 ActiveX를 예로 들 때, 단지 웹기반 클라이언트 프로그램에 불과한 ActiveX가 시스템 전체를 제어하는 관리자 권한을 획득하는게 그동안 Windows 프로그램에선 당연한 것이었고, 이런 개별 어플리케이션에 대한 과도한 권한 지정이 바로 Windows 계열이 전통적으로 보안에 취약했던 이유입니다.

반면 非 Windows 계열 - 대표적으로 리눅스나 맥OS의 경우는 기본적으로 어플리케이션의 보안 수준이 사용자 레벨 수준이었습니다. 개별 어플리케이션에서 수행되는 작업이 OS 커널이나 타 어플리케이션에 영향을 끼치지 않게 만들어지는게 기본이며, OS가 이런 구조를 가지고 있는것이 근본적인 보안레벨을 높일 수 있다는 점을 MS가 받아들인게 바로 비스타의 UAC 입니다.

물론 여기에 문제가 있죠. 타OS 어플리케이션들은 예전부터 유저 권한에 맞게 모든것이 만들어져와서 별 문제가 없는 반면, Windows 어플리케이션은 전통적으로 시스템 전체를 제어하는 관리자 권한 위주로 만들어져 왔기 때문에 새로운 권한 시스템을 도입한 비스타에서 이전에 만들어진 프로그램을 실행할 때 계속 UAC 같은 경고가 뜨는 것입니다.

엄밀히 말하면 비스타에 도입된 모든 보안 요소는 이제야 Windows가 보안에 있어서 정상적인 OS의 방향성을 가졌다고 보면 됩니다. 드라이버부터 어플리케이션까지 Windows 상에서 실행되는 모든 요소들이 시스템 전반을 제어하거나 타 어플리케이션에 직접적인 영향을 끼치는 관리자 권한을 못가지게 한 것이거든요. 이것은 이미 다른 OS의 진화 방향과 유사합니다. 솔직히 동일한 엔드유저용 OS인 리눅스 계열이 관리자 권한을 사용할때마다 패스워드를 필수적으로 쳐야 하는것에 비하면 비스타의 UAC는 약과일지도 모르죠. (sudo 명령어가 있긴 하지만 과연 텍스트 방식의 제어가 GUI 제어보다 편하다 할수 있을까요... 또한 전체적인 administrator 계정 로그온이 있긴 하지만 이역시 디폴트 셋팅이라 간주되지 않습니다.)

비스타를 싫어하는 유저들의 착각 중 하나가 바로 UAC로 대표되는 "실행 권한 구조" 자체가 윈도우7 혹은 그 이후의 윈도우에서 사라진다는 것입니다. 비스타는 실패했기 때문에 다시 XP처럼 관리자 권한으로 돌아갈것이라 여기는데, 단언컨데 절대 그럴 일은 없습니다. 다만 해결 방식이 달라질 뿐이죠.

일단 현재 비스타에서 프로그램이 관리자 권한을 요구할 때 어떻게 처리하는지 보겠습니다.

우선 일반 어플리케이션의 경우, 관리자 권한을 요구한다고 해서 XP처럼 시스템 전체 권한을 넘기지 않습니다. UAC를 통해 관리자 권한 요구가 들어오면 비스타에서는 자동으로 관리자 권한 사용시 필요한 윈도우 파일 및 레지스트리에 대한 사본을 만들어 내지요. 즉, 소프트웨어 수준에서 가상화를 통해 어플리케이션이 실행된다고 보면 됩니다. 이것의 단점은 어플리케이션 실행시 하드 액세싱이 더 늘어난다는 점입니다.

그리고 드라이버의 경우를 보죠. 드라이버는 하드웨어에 대한 직접 제어가 목적이기 때문에 소프트웨어적인 가상화를 사용할수가 없습니다. 그랬다간 엄청난 성능 저하가 일어나기 때문이죠. 그렇다고 해서 무턱대고 관리자 권한을 줄수도 없기에 몬테카를로님이 언급한 MS 인증 절차가 필요한 것입니다. MS의 검사를 받은 - 관리자 권한으로 실행됨에도 시스템에 부정적인 영향을 끼치지 않는 것으로 판단되는 드라이버에 인증이 부여되는 것입니다. 어떻게 보면 과도기적인 방법이라고 볼수 있겠지요. 실제 비스타부터는 드라이버 수준에서 굳이 관리자 권한이 필요없게 만들어져 있으니깐요. 바꿔 말하면 유저권한레벨로 작성된 드라이버는 굳이 인증이 필요없다는 말도 됩니다.

이상 비스타에서 관리자 권한을 요구할 때 처리방법을 요약하자면 바로 소프트웨어적인 가상화입니다. 계속적인 확인절차 뿐 아니라 하드액세싱에 따른 딜레이도 문제가 되지요. 이를 해결하기 위한 것이 현재 서버군에서 도입되고 있는 하드웨어 가상화입니다.

하드웨어 가상화의 장점이라면 현재 UAC 처럼 굳이 확인이 필요없어도 CPU 차원에서 알아서 가상 레이어를 만들어서 실행된다는 점입니다만, 가상화에 따른 성능저하 및 현재 중저가의 보급형 CPU에는 가상화 기능이 포함되지 않기에 하드웨어 가상화를 위한 추가적인 비용 부담이 문제가 되고 있죠.

가장 이상적인 해결책은 어플리케이션 수준에서 유저 권한 도입입니다. 이미 타 OS에서는 이것이 당연한 방향으로 나가고 있고, 윈도우용 어플리케이션에서도 이렇게 되어야 하지요. 그러면 가상화고 나발이고 필요없이 보안성도 지키며 퍼포먼스도 유지시킬수 있으니깐요. 문제는 여전히 수많은 윈도우용 어플리케이션들이 관리자 권한 레벨에서 만들어진다는 점이고, 이것은 비스타가 나왔을ㄸㅒ 그런것처럼 윈도우7이 나왔을때 똑같은 호환성에 대한 장애요소로 작용할 가능성이 큽니다.


뭐 이쯤에서 "과연 보안이 필요한가?"라고 생각할수 있는데, 이건 엔드유저 차원에서 이미 거스르기 힘든 대세입니다. 괜히 타 OS에서 그런 방향을 채택하는것이 아니고, MS에서조차 그것을 긍정적으로 채택하는게 아니라는거죠. 오히려 그간 관리자 권한의 남발 때문에 단지 웹클라이언트 어플리케이션 하나만 설치했을 뿐인데 윈도우가 망가지는 현상을 당연시한 그동안의 습관을 의심할 필요가 있는것 아닐지요.

뭔가 심도깊은 지식을 얻어가는 기분입니다.

이런 이유 때문에 UAC가 포함된거군요

UAC가 어떤 식으로 작동하는지 잘 이해가 안 갔는데,

소프트웨어적인 가상화라는 말에서 확실히 이해를 했습니다^^;

토레노님 덕분에 좋은 정보 얻어갑니다.

잘못된지식을 퍼뜨리는군요 -.-제법길게쓰느라 노력은하셨는데 어쩌나여 틀린부분이너무많군요.
그리고 잘복사해오셨습니다.

조금 다르면이 있긴 해도 리눅스의 su나 sudo도 그럼 독단의 산물인가요?