얼마나 많은 컴퓨터가 Administrator 계정으로 실행되고, 단지 그로 인해 시스템이 얼만큼 위험해지는 걸까요?

마이크로소프트의 윈도우 7 엔지니어링팀 블로그에 의하면, 기업 환경이나 자녀보호 기능을 쓰는 경우를 뺀 나머지 전체 시스템 중 75%가 단 1개의 계정으로 사용되고 바로 그 하나의 계정은 전체 관리자 권한을 갖고 있다고 합니다. 여러분의 컴퓨터도 아마, 그렇지요?

어찌 보면 내가 내 시스템의 주인이니, 당연한 상황이라고 보이기도 합니다. 마이크로소프트는 윈도우 XP 시절, 관리자 권한으로 관리 작업이나 애플리케이션 설치 작업을 하고, 평소에는 일반 사용자 권한을 만들어서 쓰라고 권장했지만 사용의 불편을 생각하면 씨도 안 먹히는 얘기였습니다. 최소 권한(least privilege), 말은 좋은데 정말 불편하기는 하죠.

그래서 윈도우 비스타에서 사용자 계정 컨트롤(UAC) 기능을 도입했지요. 관리자 권한으로 계정을 만들어 로그온하더라도 평소에는 일반 사용자 권한만 가지고 있다가 필요할 때 권한 상승하는 것… 악성코드를 막기에는 좋은 기능이었지만 사용자의 불만은 여전히 많았습니다. 그러다보니 윈도우 7에서 UAC 설정이 바뀔 거라는 포스팅을 한 적이 있습니다.

참 이래도 고민 저래도 고민입니다. 어찌보면 유닉스나 리눅스 계열에서는 당연하게 받아들여지는 건데 일반적인 가정 사용자에게는 보안 절차가 까다롭게 느껴진다는 생각도 듭니다.

그럼 대체, 계정을 분리해서 관리자 권한 없이 평소에 사용을 하면 얼만큼 보안상 안전하다는 얘길까요?

이에 대한 보도 자료보고서가 BeyondTrust 사에서 나왔습니다. 마이크로소프트에서 발표하는 ‘긴급’ 등급 취약점 중 92%가 관리자 권한 없이 사용할 경우 악용 가능성이 줄어든다고 합니다. 2008년 취약점 자료를 기준으로 했는데, 등급 구분 없이 전체 마이크로소프트 취약점 중 69%를 이런 식으로 완화할 수 있다고 하고요. 구체적으로는 오피스 취약점의 94%, 인터넷 익스플로러 취약점의 89%, 윈도우 취약점의 53%랍니다. 가장 위험한 범주인 ‘원격 코드 실행’ 취약점의 87%를 권한 축소 만으로 완화시킬 수 있다니 놀랍지 않으신가요?