본문 바로가기

벌새::Security

Windows 10 2004 버전에 추가된 인증서 해지된 파일의 관리자 권한 실행 보안 기능

2020년 5월 28일부터 Windows 10 20H1 2004 버전이 공식적으로 마이크로소프트(Microsoft) 사이트에 등록되었으며, Windows 업데이트 기능을 통한 배포는 순차적으로 추가되고 있는 상태입니다.

 

이번의 Windows 10 2004 버전에 새롭게 추가된 것으로 보이는 보안 기능으로 인증서가 포함된 파일 중 해지된 경우 관리자 권한으로 실행을 원천적으로 차단하는 것을 우연히 확인하게 되었습니다.

 

인증서 해지 파일 (PET PLUS PTY LTD)

예를 들어 공격자가 몰래 훔친 인증서를 이용하여 악성 파일에 서명하여 사용할 경우 발급자에 의해 인증서가 해지되는 경우가 있습니다.

 

관리자 권한 실행 시 생성된 사용자 계정 컨트롤

지금까지 Windows 10 19H2 1909 버전까지는 해지된 인증서가 포함된 파일을 관리자 권한으로 실행할 경우 아무런 제약없이 실행이 가능하였습니다.

 

관리자 권한 실행 시 차단된 모습 (Windows 10 20H1 2004 버전)

하지만 해당 파일을 Windows 10 20H1 2004 버전에서 관리자 권한으로 실행을 할 경우 "이 앱은 사용자 보호를 위해 차단되었습니다." 메시지를 통해 실행 자체를 할 수 없도록 막는 것을 확인할 수 있습니다.

 

참고로 해당 차단 기능은 Windows Defender 백신 프로그램 사용 여부와 무관하게 Windows 운영 체제 내의 보안 기능으로 확인되고 있습니다.

 

오프라인 환경에서의 해지된 인증서 모습 (PET PLUS PTY LTD)

특이한 점은 만약 오프라인(Offline) 환경에서 악성 파일에 추가된 해지된 인증서를 확인할 경우 통신을 할 수 없는 관계로 디지털 서명이 유효한지 그렇지 않은지 알 수 없으므로 "이 디지털 서명은 유효합니다."라고 표시합니다.

 

하지만 이런 환경에서도 관리자 권한으로 실행할 경우 위와 동일하게 차단이 이루어진다는 점에서 해당 보안 기능은 Windows 업데이트 패치에 해지된 인증서 정보가 지속적으로 저장되어 오프라인 환경에서도 적용되는게 아닌가 싶습니다.

 

그러므로 Windows 10 20H1 2004 버전부터는 악성 파일 중 디지털 서명이 포함된 파일 중 악용된 것으로 보고된 경우 관리자 권한으로 실행은 차단될 수 있으므로 항상 Windows 업데이트를 통해 최신 패치가 적용된 상태로 사용하시기 바랍니다.

 

마지막으로 해당 보안 기능은 관리자 권한으로 실행되는 조건에서만 차단이 이루어지며 일반 실행 방식에서는 영향을 주지 않습니다.