윈도우즈 11에서는 VBS(Virtualization-based Security, 가상화 기반 보안)이 기본으로 설정되어 PC의 성능을 최대 28%까지 저하시킬 수 있습니다.
무슨 말인지 살표보고 보안과 성능간에 타협의 여지를 알아보겠습니다.
우선 가상화 기반 보안이 뭔지 간단히 의미라도 알아야 타협을 할지 말지 판단이 되겠죠.
VBS(가상화 기반 보안)
가상화 기반 보안 또는 VBS는 하드웨어 가상화 기능을 사용하여 일반 운영 체제에서 보안 메모리 영역을 만들고 격리합니다. Windows는 이 "가상 보안 모드"를 사용하여 여러 보안 솔루션을 호스팅하여 운영 체제의 취약성으로부터 크게 보호하며 보호를 뚫을 수 있는 악용을 방지할 수 있습니다.
이러한 보안 솔루션 예제 중 하나는 일반적으로 VBS를 사용하여 코드 무결성 정책 적용을 크게 강화하는 HVCI(Hypervisor-Enforced 코드 무결성)입니다. 커널 모드 코드 무결성은 시작하기 전에 모든 커널 모드 드라이버 및 이진 파일을 확인하고 서명되지 않은 드라이버 또는 시스템 파일이 시스템 메모리에 로드되지 않도록 합니다.
VBS는 Windows 하이퍼바이저를 사용하여 이 가상 보안 모드를 만들고 중요한 시스템 및 운영 체제 리소스를 보호하는 제한을 적용하거나 인증된 사용자 자격 증명과 같은 보안 자산을 보호합니다. VBS가 제공하는 향상된 보호 기능으로 맬웨어가 OS 커널에 대한 액세스 권한을 얻더라도 하이퍼바이저가 맬웨어가 코드를 실행하거나 플랫폼 비밀에 액세스하는 것을 방지할 수 있기 때문에 가능한 익스플로잇을 크게 제한하고 억제할 수 있습니다.
이상은 마이크로소프트 사이트에서 발췌한 내용입니다.
한줄로 정리하자면 메모리의 보안 영역을 분리하고 HVCI(Hypervisor-Enforced Code Integrity, 하이퍼바이저 적용 코드 무결성)와 같은 호스트 보안 기능을 사용할 수 있도록 하는 것입니다.
그런데 이게 꼭 필요한건가?
결론부터 말씀드리자면, 성능과 전혀 상관 없는 사항이라면 생각해 볼 여지도 없으니 이 글을 쓰고 있지도 않았을겁니다.
VBS를 사용함으로서 평균적으로 5% 최대 28%의 성능저하를 일으킨다고 보고하고 있습니다.
최신 CPU에서 평균적으로 5%의 성능저하를 만들고 구형 CPU에서 더 많은 성능저하를 발생시킵니다.
윈도우즈 10에서 업그레이드 한 윈도우즈 11의 경우는 일부러 활성화 한 경우가 아니면 비활성화되어 있습니다. PC를 새로 구입했거나 VBS 요구사항을 모두 갖춘 하드웨어에 새로 OS를 설치한 경우엔 기본값으로 활성화됩니다.
VBS를 사용하기 위한 요구사항에는 64비트 CPU, TPM, UEFI 메모리보고, SLAT,등 여러가지 항목이 있기때문에 요구사항이 충족되지 않는 시스템에서는 VBS가 활성화되지 않습니다.
내 PC의 리소스를 보호한다고 하고 맬웨어의 코드 실행을 막는다는데 뭔가 중요해 보이긴 하죠.
그러나 TPM을 사용하지 않고 가상화 기반 보안을 사용하지 않았던 윈도우즈 10 사용 시기에 PC가 털려본 경험을 한적이 있는지 혹은 얼마나 자주 보안침해를 받아봤는지 생각해 볼 문제입니다.
저도 생각지 못할 사고에 대비해 보험 2개는 들어놓고 살지만 이건 다른 문제입니다.
주로 게임을 하거나 인터넷검색을 주로 하거나 OTT에서 영화를 보는 용도의 PC라면 보안사고가 나도 복구기능을 사용해 10여분만에 이전 상태로 복구할수도 있고 서너시간 투자해서 포멧하고 깨끗히 다시 시작할 수 있습니다.
게임에서 1프레임이라도 더 나오게하기 위해 더 비싼 CPU를 구매하고 오버클럭을 하는 사용자도 있는 마당에 극히 작은 시간으로 문제해결이 가능함에도 그 문제가 안생기게 하기위해 1년 혹은 수년간 적지않은 성능저하를 감수하고 사용해야하는지 의문입니다.
PC의 사용 목적이 다양하기때문에 게임이나 영상을 주로 보는 사용자와 중요 업무를 처리하는 사용자와는 환경이 달라야하지만 마이크로소프트는 모두 동일하게 엄격한 보안을 요구하고 지나친 모바일 통합환경을 제공하려 애쓰고 있습니다.
덕분에 개인 사용자에게 요구하는 과도한 보안이 오히려 불편을 초래한다고 생각하고 있기때문에 더이상의 보안은 타협이 필요하다고 봅니다. 분명 개인 사용자와 기업 사용자는 보안 요구 수준이 다르고 개인 사용자중에서도 주 사용용도에 따라 달라야 비싼 돈 주고 산 PC의 퍼포먼스를 모두 활용할 수 있죠.
때문에 자신의 PC 사용패턴을 생각해보고 VBS를 제거할지 말지 한번쯤 고려해보는건 나쁘지 않겠죠.
그럼 자신의 PC에 VBS가 적용되어 있는지 한번 살표봐아겠죠.
작업표시줄의 검색을 누르고 시스템 정보라고 입력합니다.
검색란 아래 시스템 정보 앱이 보이면 클릭합니다.
시스템 정보창이 열리면
왼쪽 항목은 시스템 요약, 오른쪽 항목은 가상화 기반 보안을 찾아 사용유무를 확인할 수 있습니다.
이것을 사용할지 말지는 위에서 말씀드렸듯 각자의 판단입니다.
사용 상태를 조정하려면,
작업표시줄의 검색란에 '코어 격리' 라 입력하고 해당 페이지로 한번에 이동합니다.
세부 위치를 확인하고 싶다면
설정(Win+I)을 열고
왼쪽 메뉴에서 개인 정보 및 보안을 클릭 -> 오른쪽 항목에서 Windows 보안 클릭 -> 장치보안을 클릭합니다.
그럼 별도의 장치보안 창이 뜨게 되는데 여기서 코어 격리 세부 정보 를 클릭합니다.
마지막으로 메모리 무결성을 켜거나 끌 수 있는 메뉴가 나옵니다.
이 항목의 설정을 바꿨다면 PC를 재부팅해야 합니다.
댓글