By LILY HAY NEWMAN, WIRED US

2023년 11월 2일(현지 시각), 마이크로소프트는 공식 블로그 게시글과 사내 메일을 통해 지난 몇 년간 갈수록 마이크로소프트와 고객사를 상대로 보안 관리의 어려움 수준을 악화한 사이버 보안 문제를 제거할 포괄적인 비전을 공식 발표했다. ‘보안 미래 계획(Secure Future Initiative)’이라는 이름으로 알려진 마이크로소프트의 계획은 사이버 보안 문제 대응의 획기적인 전환 수단으로 인공지능(AI) 툴에 대거 의존하며, 2017년 개최한 마이크로소프트의 디지털 제네바 협약을 확장한 국제 사이버공간 규범을 포함한다.

다만, 가장 확실하면서 즉각 적용할 수 있는 전략 구성요소는 마이크로소프트의 소프트웨어 개발 및 엔지니어링 접근 방식 개선이다. 마이크로포스트 보안 전무 찰리 벨(Charlie Bell)과 동료인 스콧 구스리(Scott Guthrie), 라제쉬 자(Rajesh Jha)는 마이크로소프트 제품 내 세이프가드 확인 관리 시스템 추가와 보안 소프트웨어 개발 개선, 클라우드 내 취약점을 특별히 다루면서 취약점을 다룰 응답 및 패치 배포 시간 단축 계획 등을 설명했다.

마이크로소프트의 보안 안전 계획 발표는 금전 탈취 목적으로 활동하는 사이버 범죄 조직과 국가 산하 해커 세력 모두 마이크로소프트 자체 시스템과 고객사 시스템에 손상을 일으키도록 한 마이크로소프트 제품 내 취약점 발생 상황을 검증하는 동시에 이루어졌다. 게다가 규제 당국과 법률 집행 당국이 해킹 피해는 물론이고, 사이버 공격을 막을 새로운 경로를 모색하면서 보안 책임감이라는 분위기가 진화하였다. 일례로, 2023년 10월 30일(현지 시각), 미국 증권거래위원회(SEC)는 사이버 보안 위험 및 취약점 문제로 IT 관리 기업 솔라윈즈(SolarWinds)와 솔라윈즈 최고 정보보안 책임자를 비판했다. SEC는 솔라윈즈의 보안 문제가 알려진 문제였으므로 해결되었어야 한다는 의혹을 제기했다.
 
마이크로소프트는 보안 미래 계획이 사이버 공격 세력의 통제할 수 없는 수준의 위협에 대응할 계획이라고 발표했다. 마이크로소프트 사장 브래드 스미스(Brad Smith)는 공식 블로그에 “지난 몇 달 동안 마이크로소프트 내부에서는 사이버 공격 속도와 규모, 교묘함 수준 모두 새로운 대응이 필요하다고 판단했다”라고 작성했다.

벨 전무는 와이어드와의 인터뷰에서 사이버 범죄 조직과 국가 산하 해커 세력 모두 가장 직접 효과적으로 모든 기관의 보안에 침투하면서 피싱과 신원 탈취 접근 방식의 창의성 측면에서 전문성과 특정 공격 대상에 집중한다고 전했다. 사이버 범죄와 사이버 공격의 전 세계 경제적 손실 규모를 정확히 계산하기는 어렵지만, 마이크로소프트는 전체 손실 규모가 6조 달러를 넘어섰으며, 2025년이면 그 피해 금액이 10조 달러로 증가할 것으로 예상한다고 덧붙였다.

벨 전무는 “사이버 보안 위협은 갈수록 커진다. 세계적으로 규모가 매우 커진다. 사이버 보안 문제와 관련하여 발생하는 모든 상황을 볼 수 있는 시점은 언제이며, 앞으로 어떤 일을 할 수 있다고 말할 수 있는가? 마이크로소프트는 대다수 방어 능력의 중심에 있는 기업이다. 사이버 보안 위협은 마이크로소프트가 보안 공격 방어를 지원할 명분이 된다”라고 말했다.

마이크로소프트가 고객 보안에 분명한 영향을 미치려 적극적으로 나아가고자 한다고 밝힌 두 가지 단계는 50% 더 빠른 취약점 대응 속도와 고객을 위한 보안 기본 설정 의무화 추진이다. 벨 전무는 마이크로소프트 고객의 다중 인증 채택률이 34%라고 언급하며, 채택률이 100%가 되어야 한다고 언급했다.

마이크로소프트의 보안 변화는 구글 등 테크 업계 전반에 걸쳐 인증을 중심으로 보안 기본 설정을 추진할 필요성을 인정하는 추세가 확산되면서 이어졌다. 마이크로소프트 소유 소프트웨어 개발 플랫폼 깃허브(GitHub)는 지난 몇 달간 2단계 인증 의무화 계획을 배포했다. 애플은 오랫동안 대다수 계정의 2단계 인증 의무화를 시행했으며, 구글은 수년간의 목표를 위해 2단계 인증 작업을 공개적으로 추진했다.

보안 미래 계획의 여러 구성요소를 보면, 마이크로소프트가 보안 관리를 위한 강력한 변화를 늦게 추진한 것은 아니지만, 초기 보안 강화 옹호 세력보다는 현저히 뒤처진다는 점을 알 수 있다. 전반적으로 설계 단계에서부터 보안을 갖추거나 시스템 아키텍처 구축 단계에서부터 제로 트러스트(zero trust)가 되도록 하는 엔지니어링 소프트웨어 개념은 지난 10년간 존재한 주요 기능이었다. 클라우드 서비스와 전 세계 윈도 시스템의 각종 레거시 사이에서 마이크로소프트는 IT 인프라의 중심이라는 입지를 확고히 유지했으며, 여러모로 전 세계 사이버 보안이 마이크로소프트의 속도를 따라 움직인다.

벨은 “마이크로소프트가 보안 관리 측면에서 앞장서지 못한다면, 매우 끔찍한 세계가 펼쳐질 것이다. 마이크로소프트는 현재 모든 해커 세력이 외부에서 개시하는 공격 데이터를 모두 보유했다. 그러나 해커 세력이 볼 수 있는 정보는 적다. 마이크로소프트는 보안 시스템 내부에 있다는 점에서 모든 상황을 알 수 있다. 만약, 마이크로소프트가 보안 문제를 퇴치한다면, 실질적으로 사용자가 갑자기 변화를 적용하고 모두가 클라우드를 운영하지 않을 것이라는 사실을 인정해야 한다. 다양한 영역의 운영 기반이 존재한다. 마이크로소프트는 전 세계, 그리고 세계 곳곳에 존재하는 중요한 기반 시설을 지원하는 기업이다”라고 말했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Microsoft Does Damage Control With Its New ‘Secure Future Initiative’