• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

MS, 제품과 서비스 보안 향상을 위해 임원진들이 책임을 진다 2024.05.14

미국 정부가 보안 사고의 책임을 개발사에도 묻겠다고 발표한 것이 벌써 수개월 전의 일이다. 하지만 구체적인 변화가 나타나지 않고 있었다. 이 때 MS가 나섰다.

[보안뉴스=자이 비자얀 IT 칼럼니스트] 마이크로소프트가 사이버 보안과 관련하여 사내 정책을 대대적으로 바꿀 예정이다. 이제부터 사이버 보안에 대한 책임을 임원진들이 직접 지도록 하겠다는 게 주요 변경 내용이다. MS의 보안 부문 부회장인 찰리 벨(Charlie Bell)이 직접 자사 블로그를 통해 발표한 이 새 계획은 미국 정부의 새로운 보안 강화 계획과도 맞물려 있다. 미국 정부는 소프트웨어 취약점을 통한 사이버 공격이 발생했을 때 개발사에도 책임을 묻겠다고 결정한 바 있다.

[이미지 = gettyimagesbank]


책임론의 대두
벨은 해당 블로그 게시글을 통해 “보안 강화 계획을 실천해내고 기념비를 쌓는 과정을 MS라는 기업의 수석 경영진 팀(SLT)이 직접 책임짐으로써 진행하고자 한다”고 썼으며, “보안과 관련된 거버넌스를 고도화 시키고자 하는 절차를 밟을 것”이라고 밝혔다. 이 절차들에는 전사적인 변화들과 추가적인 감독, 제어, 보고 과정이 포함될 것이라고 한다. “각 제품 및 서비스 부서마다 부CISO를 둘 것이며, 애저와 윈도, MS 365의 엔지니어링 팀들과 보안 팀들이 함께 보안을 강화하도록 회사 차원에서 감독할 예정입니다.”

약 한 달 전 미국의 국토안보부 내 사이버안전점검위원회(Cyber Safety Review Board, CSRB)는 MS가 보안 강화를 위해 전략적, 문화적인 차원에서 해야 할 일들이 더 많이 남아있다고 권고한 바 있다. 작년 중국 사이버 정찰 그룹인 스톰0558(Storm-0558)이 MS 익스체인지 환경을 침해해 25개 조직의 이메일에 접근한 사건을 언급하며, “MS 선에서 피해를 막거나 줄일 수 있었을 것”이라는 조사 결과를 내기도 했었다. 당시 미국 정부 기관도 피해를 입은 것으로 알려져 있다. 실제 MS도 자체 조사를 통해 “막을 수 있었던 공격”이라는 결론을 낸 바 있다.

여섯 가지 접근법
그렇다면 MS는 구체적으로 어떻게 보안을 강화할 생각일까? 벨의 블로그 게시글을 통해 이 부분에 대한 힌트를 얻는 게 가능하다. 가장 크게는 세 가지 원칙을 수립하여 정착시킬 것이라고 하는데, 이는 다음과 같다.
1) 설계에서부터 보안 개념 도입(secure by design)
2) 보안 강화가 디폴트인 상태(secure by default)
3) 운영 중에도 유지되는 보안(secure during operations)

이 세 가지 목표를 달성하기 위해서 MS는 여섯 가지 실천 항목들을 추가로 지정하기도 했다. 이는 다음과 같다.
1) 아이덴티티와 기밀 보호
2) 클라우드 내 테넌트와 생산 시스템 보호
3) 네트워크 보호
4) 엔지니어링 시스템 보호
5) 위협의 모니터링과 탐지
6) 빠른 대응과 복구

이 여섯 가지를 실제로 이뤄내기 위해 MS는 여러 가지 방법들을 동원하고 또 도입할 계획이라고 한다. 몇 가지 예는 다음과 같다.
1) 아이덴티티와 기밀 보호를 위해 자동 서명과 플랫폼 키를 자동으로 변환시키는 장치를 개발하고, 산업 내 표준으로 지정된 SDK들을 모든 플랫폼에서 활용한다.
2) 클라우드 테넌트 보호를 위해 사용하지 않는 레거시 및 오래된 시스템들을 제거한다. 최소한의 권한의 법칙을 적용한다.
3) 네트워크 보호를 위해 100% 네트워크 고립과 분리 체제를 구축하고 유지한다.
4) 엔지니어링 시스템 보호를 위해 모든 소프트웨어 자산들을 목록화 하고 관리한다. 제로트러스트 개념을 철저히 지킨다.

벨은 “매주 혹은 매달 열리는 운영 회의를 통해 이 여섯 가지 실천 사항들이 어느 선까지 지켜지고 있는지 꾸준히 확인하여 필요한 부분들을 시정할 계획”이라고 밝히기도 했다. “그저 체크리스트를 만들어 O와 X를 기입하는 게 아니라 시장과 고객들에게 통합적으로 나은 물건과 서비스를 제공하기 위한 목표로 실질적인 보안 향상을 이뤄갈 것입니다.”

물론 MS가 이런 계획을 수립하고 발표한다고 해서 그 효과가 당장 나타나는 건 아닐 것이다. MS도 이를 잘 알고 있다. 보안 업체 온티뉴(Ontinue)의 수석 제품 책임자인 톰 콘(Tom Corn)은 “당연히 그렇겠지만 MS는 실질적인 효과를 보다 빨리 내야 할 것”이라고 말했다. “왜냐하면 MS는 현재 사이버 공격자들이 가장 선호하는 표적이기 때문입니다. 쉴새 없는 공격에 노출되어 있으니, ‘어떻게 첫 술에 배가 부르겠어’라고 효과가 나타나지 않는 걸 당연시 할 수 없는 게 MS의 입장이라고 봅니다. 첫 술에도 배가 부르기 시작해야 합니다. MS라면요.”

글 : 자이 비자얀(Jai Vijayan), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>