크롬북(Chromebook)이란? 그리고 보안

크롬북

안녕하십니까 Hun!입니다!!

여러분 크롬북(Chromebook)이란 말 들어보셨습니까? 크롬(Chrome)은 웹 브라우저, 북(book)이라는 단어를 연상하실 것같습니다. 크롬북이란 구글에서 출시한 노트북입니다. 노트북의 '북'을 따서 크롬북이라고 부르는 것 같습니다. 저는 IT 트렌드에대한 책을 보다가 접하게 되어서 짧막하게나마 알고있었습니다. 그러다가 해외 IT 뉴스에 관련기사가 올라와 있어서 한번 읽어보고 번역하여 포스팅을 하게되었습니다.

아래의 글은 '씨넷(cnet)'의 노트북 관련 기사인 〈"How Chromebooks became the go-to laptops for security experts" by ALFRED NG〉을 번역하고 저의 생각을 담아 정리한 글임을 미리 공지합니다. 저작권 관련 문제가 생기게 될 경우 삭제 및 수정을 하도록 하겠습니다.

Chrome OS는 유용한 "사용 가능한 보안"의 가장 강력한 케이스 중 하나를 제공했습니다. 여기에 Google의 디자인 철학이있었습니다.

 구글의 크롬 OS소프트웨어와 크롬 북을 개발하는 팀이 이 노트북을 다시 개발하기 시작하자, 구글은 새롭고 신선한 관점을 가져올 수 있는 영역인 보안에 재빨리 집중하였습니다.

"우리는 크롬 OS에서 '우리는 모든 부품을 관리한다. 우리는 더 잘 할 수 있다'라고 구글 기기의 주요 소프트웨어 엔지니어이자 크롬 북의 창립자 중 한 명인 윌 드루어리(Will Drewry)는 1월의 인터뷰에서 말했습니다.

이 팀은 이 세대의 요구에 맞는 솔루션을 구축할 뿐만 아니라 PC에 가해지는 위협의 급증에 대처하기를 원하였습니다.

같은 인터뷰에서 구글의 제품 관리 책임자인 칸 리우(Kan Liu)는 "오늘날은 보안 공격용 벡터가 많지 않기 때문에 보안에 대해 매우 다르게 생각해 왔다"고 말했습니다.

리우와 드루어리는 피드백을 위해 보안 전문가들에게 프로토타입 유닛인 'CR-48'을 보냈습니다. 그에 대한 반응은 놀라웠습니다.

“초기의 많은 반응들은 '이봐, 트랙 패드는 끔찍해'와 같이 매우 상세하게 쓰여 있었어”라고 리우는 말했습니다.

보안 결함에 관해서라면 한치의 의심도 없었습니다.

9년 후, 크롬북은 대 성공을 거둡니다. 미래자원 컨설팅(Futuresource Consulting)에 따르면 학교에서 사용되는 기계 5대 중 거의 3대가 크롬 OS를 사용한다고 합니다. 

사실, 크롬 북이 교육계에서 큰 성공을 거두어, 화요일에 애플은 이 지역에서의 입지를 재정립하기 위한 노력의 일환으로, 최신 아이패드를 시카고의 레인 테크 칼리지 프리프(Lane Tech College Prep) 고등학교에 출시하였습니다.

사이버 공격을 막기 위한 초기의 노력 덕분에, Chromebook 또한 보안 커뮤니티에서 인기를 끌게 됩니다. 보안 전문가들은 항상 스파이웨어 툴바들로 끝나는 관계나 해커의 모임으로 향하는 연구원을 위한 것이든 상관없이 일반적으로 크롬 북을 추천한다고 합니다. 

그리고 이건 복잡한 암호화나 보안 트릭에 대한 것이 아닙니다. Chromebook는 저렴한 가격과 단순하지만 효과적인 보안의 조합을 통해 인기를 얻었습니다.

'Rendition Security'의 설립자 제이크 윌리엄스(Jake Willians)을 예로 들어 봅시다. 그는 크롬 북을 사용할 뿐만 아니라, 그의 딸이 크롬북을 학교에 서 가지고 있다는 사실에 안심한다고 말했습니다.

"저는 분명히 그녀가 Windows 노트북보다 Chromebook에서 더욱 안전하다고 느낍니다,"라고 그는 말했습니다.

Field-tested

 작년 제가 첫 번째 보안 컨퍼런스에 갔을 때는 사설 네트워크와 보안 USB 키가 튀어나와 있고 가상 머신위에서 실행되는 속임수를 쓰는 노트북을 보게 될 것으로 예상했습니다.

그건 내가 가진 게 아니야.

제가 가는 곳마다 작은 그룹의 사람들이 크롬 북을 운반하는 것을 보게 되었습니다. 그들은 제게 미지의 영역으로 들어갈 때 이것이 그들의 여행 도구가 된다고 말했습니다.

구글의 노트북 브랜드는 2010년에 불필요한 것들은 빼고 필요한 것들만 남기고 웹 브라우저를 주요 운영체제로 하는 컴퓨터로 처음 선 보였다. 당시 크롬 북은 폐쇄적인 생태계로 인해 속도가 느렸고 이는 인터넷에서 프로그램을 다운받을 수 없음을 의미했습니다. 하지만 지금은 크롬북이 윈도우와 맥 노트북 모두보다 많이 팔리게 되었습니다.

베어 본스(bare-bones) OS와 함께 일련의 보안 기능들이 출시되었는데, 이는 5년 이상이 지난 지금도 마이크로소프트와 같은 회사들은 따라잡기 위해 애쓰고 있습니다. 소프트웨어에 대한 선택의 수가 적어진다는 것은 해커들에게 제한된 선택권을 의미합니다.

이러한 몇 가지 장점들이 보안 연구원들이 노트북에 열을 가하도록 만듭니다.

"크롬북은 많은 강력한 보안 불이행을 가지고 있습니다,"보안 전문가이자 텐더먼트(Tendermint)의 보안 책임자인 제시 어윈(Jessy Irwin)이 말했습니다. "보안상의 이유로, 모든 사람들은 사용자의 잘못에 대해서 비난합니다. 하지만 구글의 접근방식은 사용자들이 망칠 가능성을 줄이기 때문에 정말로 좋습니다." 

이에 대해서 Microsoft는 마이크로소프트의 승인된 앱 스토어에서 다운받은 앱만 실행될 수 있도록 하는 운영 체제의 잠금식 버전인 ‘Windows 10 S’를 출시하였습니다. 마이크로소프트의 대변인은 ‘Windows 10 S’ 컴퓨터는 "안보와 기능면에서 크롬 북에 대항해 매력적인 가치를 지녔다"라고 말하였습니다.

Chrome OS는 Apple이 취하는 iOS 및 폐쇄적인 환경시스템과 유사한 보안 방식을 취합니다. 애플의 대변인은 애플의 아이패드가 아이폰과 같이 동일한 "업계 최고의 보호장치"를 갖추고 있다고 말했습니다.

하지만 여기에 가장 큰 차이인 가격이 있습니다. 크롬북은 아이패드에 비해 싸고, 아이패드에서 가장 싼 가격은 여전히 329달러입니다. 하지만 맥북은 전통적인 윈도 PC와 같이 개방되어 있고, 가격도 훨씬 비쌉니다.

"만일 내가 2,000달러로 구입한 멋진 ‘Macbook Pro’를 잃어버리거나 분실되거나 몰수된다면, 나는 정신을 잃게 될 것입니다,"라고 화이트는 말했습니다. "만약 나의 150달러, 160달러짜리 삼성 크롬 북이 그랬다면, 그렇다면, 큰 문제가 되지 않을 것입니다." 가격면에서는 크롬 북이 우수한 것 같습니다.

그렇다고 해서 Chrome OS가 멀웨어에 영향을 받지 않는다는 뜻은 아닙니다. 사이버 범죄자들은 크롬의 확장을 통해서 허점을 발견하여는데 이는 마치 3만 7천개의 기기가 애드블락 플러스(AdBlock Plus)의 가짜 버전에 부딫 쳤을 때와 같습니다. 악성 Android 앱들도 또한 PlayStore를 통해서 몰래 빠져나갈 수 있었습니다.

하지만 크롬 OS 사용자들은, 랜섬웨어에 잠기게 되거나 납치되어 봇넷(botnet)의 일부가 될려고 하는 등 거대한 사이버공격 갬페인을 대부분 피하고 있습니다. 공격자에게 완전한 통제를 제공하는 것과 같은 주요 보안 결함들은 크롬 OS에서 매우 드물기 때문에 구글은 그 시스템을 해킹 할 수 있는 누구에게나 20만 달러의 보상을 제공하고 있습니다.

간편한 보안

 안전 실천 요강, 바이러스 백신 검사 및 설정 강화를 통해 컴퓨터를 안전하게 유지할 수 있지만 구글은 어셈블리가 필요가 없는 처음 부팅부터 가장 안전한 시스템을 만들어내고자 시도하였습니다.

"보안을 미리 설정하고 싶다면, Chromebook이 맞다,"라고 ‘Open Crypto Audit Project’의 케네스 화이트(Kenneth White) 이사가 말했습니다. "이들이 Google이기 때문이 아니라 Chrome OS가 여러 해 동안 개발되었고 핵심 설계 원리로서 명백하게 웹 보안을 가지고 있었기 때문입니다."

이 작업은 리우, 드루어리와 초기 크롬 OS팀이 새로운 종류의 노트북을 만들 때 무엇을 구상했는지로 거슬러 올라간다.

크롬 북의 세 가지 디자인 요건은 "단순함, 안전성 그리고 속도"라고 리우와 드루어리는 말했습니다. 이 세 가진 요건들은 결국 사이가 틀어졌습니다. Chrome OS팀은 유저를 위해 단순함을 유지하기를 원했고 그래야 기기들이 더 빠르게 실행할 수 있었습니다.

그러나 플레잉 필드를 제한함으로써 OS는 10년 전부터 공통적인 공격을 차단하는 동시에 향후 전략도 방해할 수 있었다고 드루어리는 말했습니다.

그는 "앞으로 다가오는 공격이 무엇인지를 모르더라도, 그 조합을 제한해 왔다"며"우리는 여러 해 동안 이것을 봐왔다. 공격자는 그들이 일하여 무언가를 얻기 위해서는 미로와 같은 통로를 통과해야 합니다"라고 그는 말했다.

4가지 특징

 하지만 여러분은 단순함만으로 지금까지 갈 수 있습니다. 드루어리와 리우는 2010년 첫 반복 작업 이후로 줄곧 이용 가능했던 크롬 북의 4가지 주요 특징인 샌드 박싱(Sandboxing), 검증된 부팅(Verified boots), 전원 세척(Power washing) 및 빠른 업데이트(Quick updates)에 초점을 맞추었다.

이러한 보안 기능으로 인해 멀웨어가 통과하기가 훨씬 더 어려워졌고 반면에 빠른 고정 버튼을 제공할 수 있었습니다.

"이것이 크롬 OS가 작동하는 방식과 그 당시 다른 컴퓨터들이 작동하는 방식의 근본적인 차이점입니다,"라고 리우는 말했습니다.

하지만 샌드 박싱은 무엇일까? 그러면 전원 세척이란 무엇일까? (힌트:물이 포함되어 있지 않습니다.)여기 4가지 주요 특징들에 대한 설명이 있습니다.

샌드박싱(Sandboxing)

 Chromebook의 브라우저는 각 탭이 자체적인 프로세스로 간주되도록 설계되었습니다.

드류어리는 멀웨어가 종종 컴퓨터의 나머지 부분에 대해 개방된 접속권한이 있는 프로그램을 이용해먹는다는 사실을 발견했습니다. 그래서 크롬 OS에서는, 크롬 팀이 "렌더(Render)"라고 부르는, 각각의 탭이 적절하게 기능하는데 필요한 모든 코드를 가지고 있었습니다. 이 말은 렌더라는 탭이 밖으로 나가서 다른 파일에 접근할 필요가 없다는 것을 의미합니다.  

브라우저 외부의 데이터는 Chrome OS팀이 "Minijail"이라고 부르는 도구를 거쳐야하는데 "Minijail"는 시스템이 오직 요청된 데이터만 전송하도록 하고 아닌 데이터들은 전송하지 않도록 합니다.

따라서 만약 브라우저 기반의 공격이 통과하더라도 그 특정 탭에만 해당될 것이라고 드류어리는 말했습니다.

검증된 부팅(Verified Boot)

 이것은 Windows와 Apple 기기들에서 사용할 수 있는 기능인 안전 부팅의 Google의 변형입니다. 구글의 팀은 크롬북이 시작되고 바꿀 수 없는 소프트웨어를 크롬 북이 실행하고 있도록 만들고 싶었습니다.

시작할 때 실행되는 모든 코드 라인을 검사되어 구글에서 가져온 건지 멀웨어에 의해 수정되지 않았는지 확인합니다.

"그들은 부트 프로세스에 대해 신중해하고 있기 때문에 전원 버튼을 누를 때 다른 장치보다 시동을 좀 더 신뢰할 수 있게 됩니다."라고 어윈은 말했습니다.

만약 변경된 어떤 항목이 있으면 보안 프로세서에 저장되어 수정할 수 없게는 Chromebook에 대한 복구 모드로 이동합니다.

전원 세척(Power washes)

 이 기능을 사용하면 여러분은 한 번의 버튼 누름으로써 Chromebook을 공장초기설정으로 완전히 재설정하여 클린 상태로 쉽게 돌아갈 수 있습니다.

이 기능은 멀웨어의 영향을 받았다고 생각되는 경우 또는 여행 중이거나 여러분의 장치에 중요한 데이터를 저장되지 않도록 하려는 경우에 유용합니다.

"이것이 우리의 주요 특징들 중 하나입니다."라고 드루어리가 말했습니다." 근데 만약에 무엇인가 매우 잘못되면 무엇을 해야합니까?"

출고 시 설정으로 돌아가는 것은 다른 장치에서는 어려운 경우가 많으며 여러 단계를 수행해야 하는 경우도 있습니다. ChromeOS의 경우 설정을 통해서 바로 사용할 수 있습니다.

패치(Patching)

 빠른 업데이트가 아니라 갑자기 패치가 나오는 이유는 저도 순간 뭐지 하였지만 'patch'나 'update'라는 단어가 비슷해서 그냥 사용한 것 같습니다. 보안 패치는 Chromebook에게만 고유한 것이 아니지만, 구글의 롤 아웃(Rollout)에 대한 프로세스 및 헌신은 그러합니다. 여기 이 '롤 아웃'이라는 단어는 원격 업데이트라고 보시면 될 것 같습니다.

일단 회사는 Chromebook이 처음 개봉된 후 최대 7년 동안 업데이트를 받을 것을 보증합니다.

초대된 테스터들에게만 배포되었던 최초의 크롬 북인 CR-48조차도 지난 5월까지 계속해서 업데이트를 받았습니다. 이는 더 이상 필요한 보안 업데이트를 받지 못하는 수백만 대의 기한이 지난 구식 기기들과 극명한 차이를 보입니다.

구글에 따르면 Chromebook사용자의 90퍼센트 이상이 최신 버전의 소프트웨어를 사용하고 있다고 합니다. 

리우는 긴급한 패치가 필요한 보안 결함이 있을 경우, 구글은 48시간 안에 해결책을 내놓을 수 있다고 말했습니다. 이 업데이트는 Chrome OS가 출시한 새로운 프로세스 덕분에 백 그라운드에서도 수행이 됩니다. 

드류어리는 사용자에게 업데이트를 설치하라고 요청하는 대신에 Chrome OS에는 실행 중인 항목에 대한 두 개의 복사본인 버전 A와 버전 B가 있으며 새로운 업데이트가 있을 때마다 버전 B에서 실행되고 모든 것이 준비가 되면 Chrome OS는 리부트 할 때 업데이트된 다음버전을 로드한다고 합니다.

"이것은 그들이 결코 생각하지 않아도 되는 것입니다."라고 리우는 말했습니다."이것은 그냥 일어나는 것입니다.

사용가능보안(Usable security)

 무엇이 가장 안전하고 가장 편리한 것 사이에는 큰 차이가 있다. "크롬 북은 그 사이의 달콤한 지점을 겨냥합니다"라고 드루어리와 리우는 말했습니다.

사용가능보안이라는 개념으로 이동하여봅니다. USB 키를 사용하여 VPN 및 2단계 인증을 설정할 수는 있지만 모든 관계된 사람들을 위해서 사용하는 것을 원치 않을 것입니다.

화이트는 "저는 nontech 동료에게 Linux를 운영하도록 조언을 하지 않을 겁니다. 저는 계속 그들을 돕기 위해 전화를 할 것입니다. 괴짜가 되어도 저는 일을 망치고 싶지 않습니다. 저는 일을 끝내고 싶습니다."라고 말했습니다.

화이트 씨는 크롬 북을 최대한 안전하게 만드는 방법에 대한 가이드를 만들었는데, 이 과정은 겨우 15분 정도만 걸린다고 그는 말했다. 하지만 그의 빠른 향상된 기능이 없어도, 바닐라(vanilla) 버전의 크롬 OS는 보안에도 효과가 있다.

이것은 여러분이 가질 수 있는 가장 안전한 기기는 아니지만 가장 쉬운 학습 곡선을 가진 가장 안전한 기기입니다. 

"이것이 나의 개인적인 기준이었습니다,"라고 드류어리가 말했다." 어린이들에게 이것을 줄 수 있습니까? 친구들과 가족들에게 줄 수 있습니까? 보안 전문가들에게 줄 수 있습니까?"

번역하다보니 시간이 훌쩍지나 5시간이 지나갔습니다. 아직 영어실력이 부족하여 1시간에 1000자정도가 한계인 것 같습니다. 읽어보니 크롬북의 탄생배경에는 구글이 중요시 생각한 보안을 염두하여 만들었다는 것을 이해할 수 있었습니다. 그동안 크롬북이 클라우드체제로 돌아간다는 것을 알고있었지만 따로 크롬OS가 있다는 것은 처음 알았습니다. 또 크롬북이 보안이 강하고 위와 같은 유용한 기능들이 있는 것도 알게되어서 집에 쓰다가 남은 노트북으로 한번 깔아볼까 생각합니다. 그리고 구글은 스마트폰 OS에서 거의 대부분을 차지하는 안드로이드를 가지고 있고 웹 브라우저 시장에서도 크롬으로 효과를 보고있는 와중에 PC OS 시장에도 진출하기위해 크롬 OS를 내놓아서 세상 어딜가도 구글이 안보이지 않는 세상을 만들려는 것 같습니다. 저렴한 가격과 높은 보안성요인 등으로 미국 교육계에서는 크롬북이 대 인기가 있다고 하는데 국내에서의 교육에서는 무슨 컴퓨터를 사용하는지가 궁금하기도 합니다.

이상으로 크롬북(Chromebook)이란? 그리고 보안에 대한 포스팅을 마치도록 하겠습니다.