마이크로소프트가 보안 사고 및 미국 사이버 안전 검토 위원회의 신랄한 보고서에 따라 보안 강화에 전사적인 노력을 기울이고 있습니다.

올해 초 사티아 나델라 CEO가 전 직원에게 보안을 최우선 순위로 두라고 지시한 지 약 6개월 만에, 마이크로소프트는 그간의 성과를 담은 보고서를 발표했습니다.

보고서에 따르면, 현재 약 3만 4천 명에 달하는 엔지니어들이 보안 강화 프로젝트에 투입됐으며, 이는 마이크로소프트 역사상 최대 규모입니다.

마이크로소프트는 지난해 11월 '시큐어 퓨처 이니셔티브(SFI)'를 시작했습니다. 이는 미국 사이버 안전 검토 위원회가 "마이크로소프트의 보안 문화가 미흡하며 전면적인 개편이 필요하다"는 보고서를 발표하기 불과 몇 달 전입니다. 마이크로소프트는 이 보고서를 계기로 보안 강화에 박차를 가하게 되었습니다.

마이크로소프트는 SFI의 일환으로 보안 프로세스를 대대적으로 개선했습니다. 핵심적인 변화는 모든 직원의 성과 평가에 보안 관련 업무를 반영하기 시작했다는 것입니다. 또한 엔트라(Entra) ID 및 마이크로소프트 계정(MSA) 시스템을 업데이트,  애저(Azure) 관리 하드웨어 보안 모듈을 사용하여 액세스 토큰 서명 키를 생성, 저장 및 자동으로 순환하도록 했습니다.

공격 표면을 줄이기 위해 575만 개의 비활성 테넌트도 제거했습니다. 또한 새로운 테스트 시스템을 사용, 기존 시스템으로 인한 보안 문제를 방지하고 있습니다.

내부적으로는 엔지니어링 팀의 개인 액세스 토큰 유효 기간을 7일로 단축하고, 모든 내부 엔지니어링 저장소에 대한 SSH 액세스를 비활성화했으며, 주요 엔지니어링 시스템에 대한 액세스 권한을 가진 그룹의 수를 줄였습니다. 또 물리적 네트워크의 99% 이상을 중앙 인벤토리 시스템에서 추적해 펌웨어 규정 준수 및 로깅을 지원하고 있으며, 감사 로그를 최소 2년 동안 보관하도록 개선했습니다.

보안 문제 대응 시간에 대한 비판을 의식한 듯, 마이크로소프트는 "고객의 조치가 필요하지 않더라도 투명성을 높이기 위해" CVE(Common Vulnerabilities and Exposures, 취약점 공개 데이터베이스)를 게시하고 있다고 밝혔습니다.

마이크로소프트는 "Start Right, Stay Right, and Get Right"라는 접근 방식을 통해 새로운 보안 표준을 구현하고 있습니다. 'Start Right'는 템플릿, 정책 및 셀프 서비스 도구를 사용하여 프로젝트가 보안 표준을 준수하도록 하는 것입니다. 'Stay Right'는 프로젝트 및 관련 정책 시행에 대한 모니터링을 보장합니다. 마지막 'Get Right'는 마이크로소프트가 규정 준수 상태를 모니터링하도록 설계됐습니다.

이와 함께 마이크로소프트는 새로운 사이버 보안 거버넌스 위원회를 구성하고 13명의 부 CISO를 임명했습니다. 이 중 4명은 신규 영입 인사이며, 나머지 9명은 수십 년의 경험을 가진 베테랑 마이크로소프트 임원들로 구성됩니다. 마이크로소프트의 고위 경영진은 매주 SFI 진행 상황을 검토하고 있으며 이사회에는 분기별로 업데이트를 제공하고 있습니다.

마지막으로, 마이크로소프트는 지난 7월 모든 직원을 대상으로 "일상 업무에서 보안의 중요성"을 강조하는 교육을 포함하는 보안 기술 아카데미를 출범했습니다. 찰리 벨 마이크로소프트 보안 책임자는 "투명성과 업계 협력에 대한 우리의 의지는 확고하다"며 "지속적인 학습과 개선 문화를 조성함으로써 보안이 단순한 기능이 아니라 기반이 되는 미래를 건설하고 있다"고 말했습니다.