MS, 20년만에 새 보안 이니셔티브 발표
마이크로소프트가 회사 전반의 사이버보안 개선을 위한 새로운 이니셔티브를 새로 발표했다. 인공지능(AI)과 자동화를 적극 활용하도록 소프트웨어 개발 과정을 혁신하고, 강화된 다중인증 등 새로운 신원 보호 체계를 구현하며, 더 빠른 취약성 대응 체계를 추진하는 등 세 영역에 걸친 계획을 내놨다. 마이크로소프트의 브래드 스미스 사장은 지난 2일 블로그에서 "최근 몇달동안 사이버 공격의 속도, 규모, 정교함 등이 증가함에 따라 새로운 대응이 필요하다는 결론을 내렸다"며 "차세대 사이버 보안 보호를 추구하기 위한 새로운 이니셔티브인 '시큐어퓨처이니셔티브(SFI)'를 전사적으로 시작한다"고 밝혔다. SFI는 마이크로소프트의 소프트웨어, 서비스를 설계, 구축, 테스트, 운영하는 방식을 변경하도록 설계됐다. 2003년 윈도XP PC를 오프라인 상태로 만들었던 '블래스터웜' 공격 후 2004년 마이크로소프트가 '보안개발수명주기(SDL)'을 발표한 후 내부 보안 이니셔티브 측면에서 가장 큰 변화다. 찰리 벨 마이크로소프트 보안부문 수석부사장은 직원들에게 보낸 내부 메모에서 "우리가 보고 있는 공격의 엄청난 속도, 규모, 정교함은 업계와 전세계에 디지털 위협이 얼마나 발전했는지 상기시켜준다"며 "컴퓨팅이 패키지 소프트웨어에서 클라우드 서비스로, 워터폴 개발에서 애자일 개발로 전환되고, AI의 새로운 발전에 따라 보안 수행 방식도 발전해야 한다"고 강조했다. 그는 "제품과 플랫폼에 내장된 보안을 지속적으로 개선하는 여정에 추가할 세가지 특정 엔지니어링 발전 영역에 전념했다"며 "우리는 소프트웨어 개발 혁신, 새로운 신원 보호 구현, 더 빠른 취약성 대응 등에 초점을 맞출 것"이라고 밝혔다. 그는 "SFI는 장단기적으로 고객을 위한 보안을 향상시키며, 머지않아 증가할 것으로 예상되는 사이버 위협의 보안을 높일 것"이라며 "최우선 순위는 기본적으로 보인이고, 여러분 모두가 참여하게 될 것이며, 구축하고 운영하는 모든 것의 보안에 끊임없는 관심을 가지면 집단적 안전한 미래를 위한 지속적인 혁신의 원천이 될 것"이라고 덧붙였다. SFI는 마이크로소프트의 제품 개발과 사업 운영 전반에서 최우선 순위에 있다. 우선 소프트웨어 개발방식의 경우 AI와 자동화를 활용하고, 설계, 기본, 배포, 운영 측면에서 안전한 소프트웨어를 제공하는데 초점을 둔다. SDL은 동적SDL(dSDL)로 발전하게 된다. 이는 지속적 통합 및 지속적 전달(CI/CD) 개념을 적용해 코딩, 테스트, 배포, 운영에서 새로운 패턴에 대한 보호 기능을 지속적으로 통합한다는 의미다. 마이크로소프트는 위협 모델링을 가속화, 자동화하고, 상용 제품의 100%에 코드 분석을 위해 코드QL을 배포한다 .메모리 안전 언어인 C#, 파이썬, 자바, 러스트 등의 사용을 지속적으로 확장해 언어 수준에서 보안을 구축하게 된다. 기존 소프트웨어 취약점의 전체 클래스를 제거한다. 마이크로소프트는 고객에게 기본적으로 활성화된 최상의 보호 기능을 제공할 수 있도록 계속해서 안전한 기본값을 제공하는 것을 추구한다. 다단계 인증 같은 보안 제어를 확장하고, 기본적으로 내부 테넌트 전반에 걸쳐 애저 테넌트 기준제어(9개 보안 도메인에 걸쳐 99개 제어)를 자동으로 구현한다. 구성 관리에 소요되는 엔지니어링 시간을 줄이고, 최고 보안 기준을 보장하며, 새로운 운영 학습 및 새로운 적대적 위협을 기반으로 기능을 추가하는 적응형 모델을 제공한다. 기본값 외에도 배포 시 설정을 준수하고, 자동으로 수정하도록 보장한다. 마이크로소프트는 서비스 가용성에 영향을 주지않고 100% 자동 교정으로 전환하는 것을 목표로 한다. 두번째로 마이크로소프트는 모든 제품과 플랫폼에서 사용자, 장치, 서비스의 ID와 접근 권한을 관리하고 확인하는 통합 방법을 제공하기 위해 기존의 ID 시스템을 확장하나. 신원 중심의 스파이 활동과 범죄 운영자가 사용자를 사칭하기 힘들게 만드는 게 목표다. 토큰 도난, 중간자 공격, 온프레미스 인프라 손상 등의 사이버 공격을 방어하기 위해 토큰 바인딩, 지속적 액세스 평가, 고급 애플리케이션 공격 탐지, 추가 ID 로깅 지원 등 고급 ID 방어를 구현하는 표준 ID 라이브러리(예: 마이크로소프트 인증 라이브러리)를 마이크로소프트 전체에서 사용하게 된다. 마이크로소프트는 동일한 라이브러리로 써드파티 애플리케이션 개발자도 이런 고급 기능을 무료로 사용하게 하고 있다. 마이크로소프트는 악의적 행위자보다 앞서 행동하기 위해 ID 서명 키를 애저 HSM 및 컨피덴셜컴퓨팅 인프라로 이동중이다. 이 아키텍처에서 서명 키는 저장 및 전송 중에 암호화되고, 연산 프로세스 중에도 암호화된다. 키 순환을 자동화해 사람의 접근 가능성을 아예 차단하면서 자주 키를 교체할 수 있다. 마지막으로 마이크로소프트는 플랫폼에 대한 취약성 대응과 보안 업데이트 한계를 극복하는 노력을 지속한다. 마이크로소프트는 이런 노력의 결과로 클라우드 취약점 완화에 걸리는 시간을 50%로 단축할 계획이다. 통상 보안 수정에 걸리는 기간은 90일 정도다. 이를 45일로 줄이겠다는 것이다. 자동화, 모니터링, 안전한 배포, AI 기반 도구 및 프로세스 등에 투자해온 만큼 이를 달성할 수 있다고 자신했다. 또한 기술 제공업체가 비공개 계약을 맺은 제3자 연구원에게 공개적 입장을 취하겠다고 밝혔다. 찰리 벨 부사장은 "보안은 단지 기술적 문제가 아니라 인간의 문제"라며 "의사소통, 업무, 학습, 놀이를 위해 우리의 제품과 서비스에 의존하는 전세계 수백만명의 사람에게 영향을 미친다"고 강조했다. 마이크로소프트는 올해 사이버 보안으로 곤혹을 치르고 있다. 얼마전 마이크로소프트는 애저 플랫폼을 표적으로 한 침해 공격을 받아 부주의한 보안 관행으로 기소됐다. 또한 발견되는 주요 보안 취약점에 대응하는데 걸리는 시간이 너무 길다는 비판도 받아왔다. 마이크로소프트 AI 연구원이 38TB의 데이터를 노출하기도 했다.