KB5007651 업데이트 후 메모리 무결성 설정 권장 안내
2022년 8월 하순경 Windows 업데이트 기능을 통해 "Windows Security platform- KB5007651에 대한 업데이트" 패치가 배포되었습니다.
해당 보안 패치가 설치된 이후 작업 표시줄에 표시되는 Windows 보안 알림 아이콘에서는 "Windows 보안 - 작업이 권장됩니다." 메시지를 표시할 수 있습니다.
사용자가 Windows 보안 알림 아이콘을 클릭할 경우 장치 보안 항목에서 "메모리 무결성이 꺼져 있습니다. 디바이스가 취약할 수 있습니다." 메시지가 표시된 것을 알 수 있습니다.
장치 보안에서 어떤 설정을 요구하고 있으므로 "설정으로 이동" 버튼을 클릭하여 확인할 수 있으며, "해제" 버튼을 클릭한다면 장치 보안 설정을 무시할 수 있습니다.
장치 보안에서 제공하는 코어 격리(Core isolation)는 하드웨어 가상화 기반 보안을 사용하는 장치에서 사용할 수 있는 보안 기능으로 핵심 시스템 프로세스와 보안 프로세스가 격리(Isolation)된 메모리 영역에서 실행되어 악성 프로그램이 높은 수준의 보안/시스템 프로세스에 접근할 수 없도록 방지하는 기능입니다.
메모리 무결성(Memory integrity)은 코어 격리에 포함된 하위 보안 기능으로 악성 프로그램에 의해 생성된 낮은 수준의 악성 드라이버가 높은 수준의 프로세스에 접근할 수 없도록 보호하는 보안 기능이다.
기본적으로 Windows 10 또는 Windows 11 운영 체제를 어떤 방식으로 설치하였는지 여부와 하드웨어 조건에 따라 메모리 무결성 기능이 자동으로 활성화(ON)될 수도 있고 비활성화(OFF) 상태로 설치되어 있을 수 있습니다.
메모리 무결성 보안 기능을 활성화하기 위해서는 CPU, UEFI, TPM 2.0, 보안 부팅, Windows x64 운영 체제와 같은 하드웨어와 소프트웨어가 조건을 충족해야 하며, 추가적으로 설치된 드라이버 중 호환성을 제공하지 않는 드라이버가 설치되어 있는 경우에도 활성화할 수 없습니다.
만약 사용자가 메모리 무결성을 활성화(ON)하여 요구되는 조건에 충족될 경우 "보호 변경 내용을 적용하려면 다시 시작합니다." 메시지 창 생성을 통해 Windows 재부팅을 요구하며 재부팅 이후부터 적용됩니다.
Windows 재부팅이 이루어진 후에는 메모리 무결성이 활성화된 상태로 유지되며, 만약 사용자가 메모리 무결성 비활성화(OFF)로 전환을 할 경우에는 다시 Windows 재부팅을 요구합니다.
만약 메모리 무결성을 켜는 과정에서 진행되는 드라이버 호환성 검사에서 문제가 될 경우에는 "메모리 무결성을 켤 수 없습니다." 메시지를 통해 드라이버 비호환성을 해결한 후 다시 검사하도록 안내합니다.
사용자가 "호환되지 않는 드라이버 검토"를 클릭하여 세부 내용을 확인해보면 wdcsam64_prewin8.sys 드라이버 파일(Western Digital Technologies)이 호환되지 않는 드라이버라서 메모리 무결성을 켤 수 없다는 정보를 확인할 수 있습니다.
만약 이 과정없이 메모리 무결성이 켜질 경우에는 해당 장치 드라이버가 메모리 무결성 기능으로 인해 실행되지 않는 문제가 발생하게 됩니다.
해당 문제를 해결하는 방법은 호환되지 않는 드라이버를 최신 버전으로 업데이트하거나 삭제를 해야하며, 강제로 삭제할 경우에는 장치와 연결된 특정 하드웨어가 정상적으로 동작하지 않을 수 있으므로 주의해야 합니다.
그렇다면 메모리 무결성 기능을 반드시 활성화해야 할 것인가에 대해 고민을 해본다면 개인적으로 다음과 같이 생각합니다.
(a) 메모리 무결성 기능을 사용한다고 악성코드 또는 랜섬웨어 감염 자체를 방어할 수는 없으며, 악성 프로그램의 특정 메모리 기반 공격에 대한 제한적인 차단이 가능할 수 있지만 일반적인 악성 프로그램의 동작에는 안티바이러스 제품 또는 안티랜섬웨어 제품을 대체할 수 있는 것은 전혀 아닐 것입니다.
(b) 메모리 무결성 기능 사용으로 인해 2020년 5월에 배포된 마이크로소프트(Microsoft) 보안 패치 설치에 실패하는 문제와 다양한 드라이버 기반으로 동작하는 소프트웨어 동작에 영향을 줄 수도 있습니다.
(c) 일부 시스템 환경에서는 성능 이슈가 발생할 가능성도 있을 수 있습니다.
▷ <ZDNet Korea> 윈도11 업그레이드 후 일부 PC서 성능 저하 (2021.10.12)
이런 문제로 인하여 메모리 무결성 보안 기능 자체를 Windows 장치 보안에서는 사용자가 ON/OFF를 직접 선택할 수 있도록 옵션 방식으로 제공하고 있습니다.
그러므로 사용하는 메모리 무결성 기능을 반드시 사용할 필요는 없으며 Windows 업데이트를 통해 제공되는 최신 보안 패치와 보안 제품을 함께 사용하신다면 메모리 무결성은 필수적으로 사용할 필요까지는 없을 것입니다.
마지막으로 일부 시스템의 경우 메모리 무결성이 활성화된 상태에서 "이 설정은 관리자가 관리합니다." 메시지를 통해 사용자가 임의로 끌 수 없는 경우가 있습니다.
위와 같은 환경에서 메모리 무결성을 끄는 방법은 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 변경하시기 바랍니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity
- Enabled = 1 :: 메모리 무결성 활성화
- Enabled = 0 :: 메모리 무결성 비활성화
HypervisorEnforcedCodeIntegrity 레지스트리 값의 Enabled 값을 변경 후 Windows 재부팅을 진행하시면 메모리 무결성을 사용하지 않도록 변경할 수 있습니다.