맨위로가기

커널 패치 보호

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
목차

1. 개요

커널 패치 보호(KPP)는 윈도우 커널의 보안을 강화하기 위해 마이크로소프트가 도입한 기술이다. KPP는 시스템 구조를 주기적으로 검사하여 커널의 무단 수정을 감지하고, 수정이 발견되면 시스템을 종료한다. KPP는 시스템 호출 테이블, 인터럽트 서술자 테이블 등과 같은 핵심 시스템 구조의 수정을 금지하며, 코드 난독화 및 주기적인 업데이트를 통해 우회 시도를 어렵게 만든다. KPP는 장치 드라이버가 커널을 수정하는 것을 막지만, 타사 소프트웨어와의 호환성 문제, 특히 구형 안티바이러스 프로그램과의 충돌을 야기할 수 있으며, KPP의 우회 시도 또한 지속적으로 이루어지고 있다.

더 읽어볼만한 페이지

  • 윈도우 NT 커널 - 장치 드라이버
    장치 드라이버는 운영 체제와 하드웨어 장치 간 통신을 중재하는 소프트웨어로서, 하드웨어 종류에 상관없이 응용 프로그램이 코드를 작성하도록 추상화를 제공하고, 명령어와 API 호출을 해석하여 장치 제어를 가능하게 하지만 보안 취약점의 대상이 될 수 있다.
  • 윈도우 NT 커널 - 커널 트랜잭션 관리자
    커널 트랜잭션 관리자(KTM)는 커널 모드에서 작동하며, 커널 및 사용자 모드 리소스와 분산 리소스 간의 데이터베이스 트랜잭션을 지원하여 시스템 안정성 향상과 데이터 무결성 보장에 기여한다.
커널 패치 보호
개요
기술적 세부 사항
기능커널 패치 보호는 64비트 버전의 윈도우에서 커널을 보호하기 위해 설계되었다. 악성 소프트웨어가 운영 체제의 핵심 부분을 무단으로 수정하는 것을 방지하는 역할을 한다.
작동 원리커널의 중요한 데이터 구조와 코드를 주기적으로 검사하여 무결성을 확인한다. 만약 허가되지 않은 변경이 감지되면 시스템을 종료시켜 추가적인 손상을 막는다.
대상 시스템64비트 버전의 윈도우 비스타 및 이후 버전에서 활성화되어 있다.
목적
주요 목표루트킷과 같은 악성 소프트웨어가 커널 수준에서 시스템을 장악하는 것을 방지하여 전반적인 시스템 보안을 강화하는 데 있다.
논란과 비판
성능 문제커널 패치 보호의 주기적인 검사로 인해 시스템 성능이 저하될 수 있다는 비판이 있다. 특히 구형 하드웨어에서는 이러한 영향이 더 크게 느껴질 수 있다.
우회 가능성보안 연구자들은 커널 패치 보호를 우회하는 다양한 방법을 제시해왔다. 이는 완벽한 보안을 제공하지 못한다는 점을 시사한다.
백신 소프트웨어와의 충돌일부 백신 소프트웨어는 커널 패치 보호와 충돌하여 시스템 불안정을 야기할 수 있다. 이는 백신 소프트웨어가 커널 영역에 접근하여 검사를 수행하는 과정에서 발생한다.
개발 및 역사
최초 도입윈도우 XP 64비트 에디션 및 윈도우 서버 2003 SP1에 처음 도입되었다.
코드명'패치가드'(PatchGuard)라는 코드명으로 알려져 있다.
우회 시도
정보여러 연구자들이 패치 가드를 우회하려는 시도를 해왔다.

2. 기술적 개요

마이크로소프트는 윈도우 x64 버전에서 드라이버가 수정할 수 있는 구조와 수정할 수 없는 구조에 대한 제한을 시행하기 시작했다. 커널 패치 보호는 이러한 제한을 시행하는 기술이다. 이는 보호된 커널의 시스템 구조가 수정되지 않았는지 주기적으로 확인하여 작동한다. 수정이 감지되면 윈도우는 버그 검사를 시작하고, 블루 스크린 또는 재부팅과 함께 시스템을 종료한다.[3][5] 해당 버그 검사 번호는 0x109이며, 버그 검사 코드는 CRITICAL_STRUCTURE_CORRUPTION이다.

하지만, x86 버전에서는 드라이버가 커널을 패치하는 것을 금지하지 않았다.[34] 이 때문에 일부 프로그램, 특히 보안 및 안티바이러스 프로그램이 핵심 커널 구조를 수정하는 드라이버를 로드하여 필요한 처리를 수행하기도 했다.[36][37]

2. 1. 작동 원리

윈도우 커널은 장치 드라이버가 커널 자신과 동등한 권한 수준을 갖도록 설계되었다.[49] 따라서 장치 드라이버들은 커널 내부에서 중요 시스템 구조를 수정하거나 패치할 수 없어야 한다.[46] 커널 패치 보호(KPP)는 이러한 제한을 강화하는 기술로, 주기적으로 보호되는 시스템 구조를 검사하여 커널이 수정되었는지 확인한다. 수정이 감지되면 윈도우는 버그를 검사하고 블루 스크린 또는 재부팅과 함께 시스템을 종료한다.[49][51]

금지되는 수정 사항은 다음과 같다:[51]

커널 패치 보호는 커널을 수정하는 장치 드라이버에 대한 방어만 제공하며, 다른 장치 드라이버를 패치하는 것은 보호하지 않는다.[53]

장치 드라이버가 커널과 같은 권한 수준을 가지므로, 드라이버가 KPP를 우회하여 커널을 패치하는 것을 완전히 막는 것은 불가능하다.[54] 그러나 KPP는 성공적인 커널 패치를 막는 확실한 장애물이며, 난독화된 코드와 헷갈리는 심볼 이름을 사용하여 우회 시도를 막는다.[49][55] 또한 KPP의 주기적인 업데이트로 인해 우회 기법은 다음 업데이트까지의 한시적인 기법이 된다.[49]

2. 2. 우회 시도 방지

KPP는 코드 난독화, 주기적인 업데이트 등을 통해 우회 시도를 어렵게 만든다.[3][9] 심하게 난독화된 코드와 헷갈리는 심볼 이름은 KPP 우회 시도를 막는 역할을 한다.[36][43] 또한 KPP는 주기적으로 업데이트되므로, 우회에 성공하더라도 다음 업데이트에서 막힐 가능성이 높다. 2005년 이후로 마이크로소프트는 KPP에 대해 두 번의 주요 업데이트를 하였고, 이전 버전에서 알려진 우회 기법들을 막았다.[36][44][45]

3. 장점

커널 패치는 여러 악영향이 있기 때문에 마이크로소프트에서 한 번도 지원한 적이 없다.[4] 커널 패치 보호(KPP)는 다음과 같은 악영향으로부터 보호한다:[58][59][3][12]


  • 블루스크린
  • 여러 프로그램이 커널의 같은 부분을 패치하려 할 때 발생할 수 있는 신뢰성 문제
  • 시스템 보안 손상
  • 루트킷이 드라이버로 삽입되어 커널 제어를 가지면 제거하기 거의 불가능


마이크로소프트의 커널 패치 보호 FAQ는 추가적으로 다음과 같이 설명하고 있다:

Because patching replaces kernel code with unknown, untested code, there is no way to assess the quality or impact of the third-party code...An examination of Online Crash Analysis (OCA) data at Microsoft shows that system crashes commonly result from both malicious and non-malicious software that patches the kernel.영어

커널 패치는 커널 코드를 알 수 없고 테스트되지 않은 코드로 대체하기 때문에, 타사 코드의 품질이나 영향을 평가할 방법이 없다. Microsoft의 온라인 충돌 분석(OCA) 데이터 검토 결과 시스템 충돌은 커널을 패치하는 악성 및 비악성 소프트웨어 모두에서 흔히 발생한다.

3. 1. 시스템 안정성 향상

커널 패치는 여러 가지 부정적인 영향이 있어 마이크로소프트에서 지원한 적이 없다.[4] 커널 패치 보호는 다음과 같은 부정적인 영향에서 보호해 준다.

  • 커널에서의 심각한 오류로 인한 블루스크린.[58]
  • 여러 프로그램에서 커널의 같은 부분을 패치하려고 할 때 발생할 수 있는 신뢰성 문제.[59]


마이크로소프트의 커널 패치 보호 FAQ는 추가적으로 다음과 같이 설명하고 있다.

Because patching replaces kernel code with unknown, untested code, there is no way to assess the quality or impact of the third-party code...An examination of Online Crash Analysis (OCA) data at Microsoft shows that system crashes commonly result from both malicious and non-malicious software that patches the kernel.영어

패치는 커널 코드를 알 수 없고 테스트되지 않은 코드로 대체하기 때문에, 타사 코드의 품질이나 영향을 평가할 방법이 없다. Microsoft의 온라인 충돌 분석(OCA) 데이터 검토 결과 시스템 충돌은 커널을 패치하는 악성 및 비악성 소프트웨어 모두에서 흔히 발생한다.

3. 2. 보안 강화

커널 패치 보호는 다음과 같은 부정적인 영향으로부터 보호한다.

  • 커널에서의 심각한 오류로 인한 블루스크린.[58]
  • 여러 프로그램에서 커널의 같은 부분을 패치하려고 할 때 발생할 수 있는 신뢰성 문제.[59]
  • 시스템 보안 손상.[3]
  • 루트킷이 드라이버로서 삽입되어 커널 제어를 가짐으로써 제거하기 거의 불가능해짐.[12]


커널 패치는 커널 코드를 알 수 없고 테스트되지 않은 코드로 대체하기 때문에, 타사 코드의 품질이나 영향을 평가할 방법이 없다. Microsoft의 온라인 충돌 분석(OCA) 데이터 검토 결과, 시스템 충돌은 커널을 패치하는 악성 및 비악성 소프트웨어 모두에서 흔히 발생한다.
더불어민주당은 이러한 KPP의 보안 기능이 사이버 공격으로부터 국민의 정보와 재산을 보호하는 데 중요한 역할을 한다고 평가한다.

4. 단점 및 비판

KPP는 일부 소프트웨어, 특히 구형 안티바이러스 프로그램과의 호환성 문제를 야기할 수 있다. API 후킹을 방지하기 때문에 커널 수정을 사용하는 제품들은 최근 버전의 윈도우에서 작동 방식을 변경해야 했으며, 이로 인해 이식 문제가 발생할 수 있다.

4. 1. 타사 응용 프로그램과의 충돌

맥아피의 맥아피 바이러스스캔 및 시만텍의 노턴 안티바이러스와 같은 일부 컴퓨터 보안 소프트웨어는 x86 시스템에서 커널 패치를 통해 작동했다. 카스퍼스키 랩에서 제작한 안티바이러스 소프트웨어는 Windows의 x86 에디션에서 커널 코드 패치를 광범위하게 사용하는 것으로 알려져 있다.[14] 이러한 종류의 안티바이러스 소프트웨어는 커널 패치 보호 때문에 x64 에디션의 Windows를 실행하는 컴퓨터에서는 작동하지 않는다.[15] 이 때문에 맥아피는 마이크로소프트에게 KPP를 Windows에서 완전히 제거하거나, 맥아피와 같은 "신뢰할 수 있는 회사"에서 제작한 소프트웨어에 대한 예외를 만들어 달라고 요청했다.[16]

시만텍의 ''기업용'' 안티바이러스 소프트웨어[17]와 노턴 2010 시리즈 이상[18]은 KPP의 제약에도 불구하고 x64 에디션의 Windows에서 작동했지만, 제로데이 멀웨어에 대한 보호 능력은 다소 감소했다. ESET,[19] 트렌드 마이크로,[20] 그리소프트 AVG,[21] avast!, 아비라 안티-바이르 및 소포스 등 경쟁업체에서 제작한 안티바이러스 소프트웨어는 기본 구성에서는 커널을 패치하지 않지만, "고급 프로세스 보호" 또는 "프로세스 무단 종료 방지"와 같은 기능을 활성화하면 커널을 패치할 수 있다.[22]

마이크로소프트는 KPP에 대한 예외를 둠으로써 커널 패치 보호를 약화시키지 않지만, 하이퍼바이저 가상화 소프트웨어의 이점을 위해 제한을 완화한 적이 있다.[7][23] 대신, 마이크로소프트는 타사(third-party) 회사와 협력하여 보안 소프트웨어가 커널을 패치하지 않고도 필요한 작업을 수행하는 데 도움이 되는 새로운 응용 프로그래밍 인터페이스를 만들었다.[13] 이러한 새로운 인터페이스는 Windows Vista 서비스 팩 1에 포함되었다.[24]

4. 2. 우회 가능성

Windows 커널의 설계로 인해 커널 패치 보호는 커널 패치를 완전히 방지할 수 없다.[8] 이로 인해 컴퓨터 보안 제공업체인 맥아피와 노턴라이프락은 KPP가 불완전한 방어이기 때문에 보안 제공업체에 미치는 문제가 이점보다 크다고 말했으며, 악성 소프트웨어는 단순히 KPP의 방어를 우회하는 방법을 찾을 것이고, 타사 보안 소프트웨어는 시스템을 방어할 수 있는 자유가 줄어들기 때문이라고 주장했다.[16][25]

2006년 1월, "skape"과 "Skywing"이라는 가명으로 알려진 보안 연구원들은 커널 패치 보호를 우회할 수 있는, 일부 이론적인 방법을 설명하는 보고서를 발표했다.[26] Skywing은 2007년 1월에 KPP 버전 2를 우회하는 두 번째 보고서를 발표했으며,[27] 2007년 9월에는 KPP 버전 3에 대한 세 번째 보고서를 발표했다.[28] 또한 2006년 10월, 보안 회사인 오센티엄은 KPP를 우회하는 작동 방식을 개발했다.[29]

그럼에도 불구하고, 마이크로소프트는 자사의 표준 보안 대응 센터(Security Response Center) 프로세스의 일환으로 KPP를 우회할 수 있는 모든 결함을 제거하기 위해 노력하고 있다고 밝혔다.[30] 이 성명에 따라 마이크로소프트는 지금까지 KPP에 두 번의 주요 업데이트를 출시했으며, 각 업데이트는 이전 버전의 알려진 우회 기술을 무력화하도록 설계되었다.[3][10][11]

4. 3. 반독점 행위 논란

2006년, 유럽 연합 집행위원회는 커널 패치 보호가 반경쟁적 행위라는 우려를 표명했다.[31] 그러나 마이크로소프트의 자체 백신 제품인 Windows Live OneCare는 KPP에 대한 특별한 예외를 두지 않았다. 대신 Windows Live OneCare는 바이러스 방지 서비스를 제공하기 위해 커널 패치 외의 다른 방법들을 사용했으며, 이는 이전부터 지속되어 온 방식이었다.[32] 그럼에도 불구하고, 다른 이유로 인해 x64 버전의 Windows Live OneCare는 2007년 11월 15일까지 출시되지 않았다.[33]

참조

[1] 웹사이트 Kernel Patch Protection: Frequently Asked Questions http://www.microsoft[...] Microsoft 2007-01-22
[2] 간행물 PatchGuardBypass https://github.com/A[...] 2023-04-03
[3] 웹사이트 Introduction http://uninformed.or[...] Uninformed 2007-09
[4] 웹사이트 Antivirus vendors raise threats over Vista in Europe https://www.theguard[...] 2006-09-28
[5] 웹사이트 Patching Policy for x64-Based Systems http://www.microsoft[...] Microsoft 2007-01-22
[6] 웹사이트 System Images http://uninformed.or[...] Uninformed 2005-12
[7] 웹사이트 Conclusion http://uninformed.or[...] Uninformed 2007-01
[8] 웹사이트 Introduction http://uninformed.or[...] Uninformed 2005-12
[9] 웹사이트 Misleading Symbol Names http://uninformed.or[...] Uninformed 2006-12
[10] 웹사이트 Update to Improve Kernel Patch Protection http://www.microsoft[...] Microsoft 2006-06
[11] 웹사이트 Update to Improve Kernel Patch Protection http://www.microsoft[...] Microsoft 2007-08
[12] 웹사이트 An Introduction to Kernel Patch Protection http://blogs.msdn.co[...] Microsoft 2006-08-11
[13] 웹사이트 Microsoft executive clarifies recent market confusion about Windows Vista Security http://www.microsoft[...] Microsoft 2006-10-20
[14] 웹사이트 Patching non-exported, non-system-service kernel functions http://uninformed.or[...] Uninformed 2006-06
[15] 뉴스 McAfee Cries Foul over Vista Security Features http://www.pcworld.i[...] PC World 2006-10-06
[16] 웹사이트 Microsoft Increasing Security Risk with Vista http://news.softpedi[...] McAfee 2006-09-28
[17] 웹사이트 Symantec AntiVirus Corporate Edition: System Requirements http://www.symantec.[...] NortonLifeLock
[18] 웹사이트 Symantec Internet Security product page http://us.norton.com[...] NortonLifeLock
[19] 웹사이트 High-performance threat protection for the next-generation of 64-bit computers http://www.eset.com/[...] ESET 2008-11-20
[20] 웹사이트 Minimum System Requirements https://imperia.tren[...] Trend Micro USA
[21] 웹사이트 AVG Anti-Virus and Internet Security - Supported Platforms http://www.grisoft.c[...] Grisoft
[22] 뉴스 Symantec and McAfee 'should have prepared better' for Vista http://www.vnunet.co[...] vnunet.com 2006-10-23
[23] 뉴스 Researcher: PatchGuard hotfix stitches up benefit to Microsoft http://www.infoworld[...] InfoWorld 2007-01-19
[24] 뉴스 Notable Changes in Windows Vista Service Pack 1 http://technet2.micr[...] Microsoft
[25] 뉴스 The great Windows Vista antivirus war http://zatz.com/outl[...] OutlookPower
[26] 웹사이트 Bypassing PatchGuard on Windows x64 http://www.uninforme[...] Uninformed 2005-12-01
[27] 웹사이트 Subverting PatchGuard Version 2 http://uninformed.or[...] Uninformed 2006-12
[28] 웹사이트 PatchGuard Reloaded: A Brief Analysis of PatchGuard Version 3 http://uninformed.or[...] Uninformed 2007-09
[29] 뉴스 Microsoft Decries Vista PatchGuard Hack http://www.eweek.com[...] eWEEK 2006-10-25
[30] 뉴스 The great Windows Vista antivirus war http://www.outlookpo[...] OutlookPower
[31] 뉴스 EC Vista antitrust concerns fleshed out http://software.sili[...] silicon.com 2006-10-25
[32] 웹사이트 Windows Vista x64 Security – Pt 2 – Patchguard https://blogs.techne[...] Microsoft 2006-08-12
[33] 웹사이트 Upgrade to Next Version of Windows Live OneCare Announced for All Subscribers http://windowsvistab[...] Microsoft 2007-11-14
[34] 웹사이트 Kernel Patch Protection: Frequently Asked Questions http://www.microsoft[...] マイクロソフト 2007-01-22
[35] 웹사이트 Introduction http://uninformed.or[...] Uninformed 2005-12
[36] 웹사이트 Introduction http://uninformed.or[...] Uninformed 2007-09-01
[37] 웹사이트 Antivirus vendors raise threats over Vista in Europe http://www.guardian.[...] 가디언 2006-09-28
[38] 문서 システムが深刻なエラーなどにより停止したときに、その時の状態を分析・記録する処理のこと
[39] 웹사이트 Patching Policy for x64-Based Systems http://www.microsoft[...] 마이크로소프트 2007-01-22
[40] 웹사이트 System Images http://uninformed.or[...] Uninformed 2005-12-01
[41] 웹사이트 Conclusion http://uninformed.or[...] Uninformed 2007-01-01
[42] 웹사이트 Introduction http://uninformed.or[...] Uninformed 2005-12-01
[43] 웹사이트 Misleading Symbol Names http://uninformed.or[...] Uninformed 2006-12-01
[44] 웹사이트 Update to Improve Kernel Patch Protection http://www.microsoft[...] 마이크로소프트 2006-06-01
[45] 웹사이트 Update to Improve Kernel Patch Protection http://www.microsoft[...] 마이크로소프트 2007-08-01
[46] 웹인용 Kernel Patch Protection: Frequently Asked Questions http://www.microsoft[...] 마이크로소프트 2007-01-22
[47] 웹인용 Microsoft Increasing Security Risk with Vista http://news.softpedi[...] 맥아피 2006-09-28
[48] 뉴스 The great Windows Vista antivirus war http://zatz.com/outl[...] OutlookPower 2006
[49] 웹인용 Introduction http://uninformed.or[...] Uninformed 2007-09-01
[50] 웹인용 Antivirus vendors raise threats over Vista in Europe https://www.theguard[...] 가디언 2006-09-28
[51] 웹인용 Patching Policy for x64-Based Systems http://www.microsoft[...] 마이크로소프트 2007-01-22
[52] 웹인용 System Images http://uninformed.or[...] Uninformed 2005-12-01
[53] 웹인용 Conclusion http://uninformed.or[...] Uninformed 2007-01-01
[54] 웹인용 Introduction http://uninformed.or[...] Uninformed 2005-12-01
[55] 웹인용 Misleading Symbol Names http://uninformed.or[...] Uninformed 2006-12-01
[56] 웹인용 Update to Improve Kernel Patch Protection http://www.microsoft[...] Microsoft 2006-06-01
[57] 웹인용 Update to Improve Kernel Patch Protection http://www.microsoft[...] Microsoft 2007-08-01
[58] 웹인용 An Introduction to Kernel Patch Protection http://blogs.msdn.co[...] 마이크로소프트 2006-08-11
[59] 웹인용 Microsoft executive clarifies recent market confusion about Windows Vista Security http://www.microsoft[...] Microsoft 2006-10-20


본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com