마이크로소프트의 새로운 보안 이니셔티브와 시사점

최근 마이크로소프트는 증가하는 사이버보안 위협으로부터 고객을 더 잘 보호하기 위해 '안전한 미래 이니셔티브(Secure Future Initiative, SFI)'를 출한다고 발표했다. 마이크로소프트 부회장 겸 사장 브래드 스미스는 블로그에서 새로운 이니셔티브에 따라 AI 기반 사이버 방어, 소프트웨어 개발 방식의 발전, 국제 규범의 적극적인 적용에 초점을 맞춰 사이버보안 보호를 발전시키기 위해 “마이크로소프트의 모든 부분”을 통합할 것이라고 설명했다.
 

이번 발표는 최근 애저 플랫폼을 표적으로 삼은 대규모 침해와 관련해 마이크로소프트의 제품 및 서비스 보안에 대한 비판이 제기된 데 따른 것이다. 스미스는 “최근 몇 달 동안 마이크로소프트에서는 사이버 공격의 속도, 규모, 정교함이 증가함에 따라 새로운 대응이 필요하다고 결론지었다”라고 썼다.

스미스는 “지정학적 동기가 있든 금전적 동기가 있든, 이런 국가와 범죄 집단은 끊임없이 관행을 발전시키고 대상을 확대하고 있다. 국가, 조직, 개인, 네트워크, 기기를 가리지 않는다”라고 지적했다. 이런 위협 행위자는 단순히 기계와 네트워크를 손상시킬 뿐 아니라 사람과 사회에 심각한 위험을 야기한다. 때문에 스미스는 “자체 리소스와 가장 정교한 기술 및 관행을 활용할 수 있는 능력을 바탕으로 한 새로운 대응이 필요하다”라고 강조했다.

하나, AI 기반 인텔리전스를 통한 위협 대응

마이크로소프트는 전 세계 고객과 국가를 보호할 수 있는 AI 기반 사이버 보호 장치를 구축하는 데 전념하고 있다. 스미스는 “마이크로소프트는 AI 기반 데이터센터의 글로벌 네트워크와 고급 기초 AI 모델을 사용해 사이버보안 보호를 발전시키기 위해 AI를 작동시킬 수 있는 강력한 입지를 확보하고 있다. SFI의 일환으로 여러 방면에서 이런 작업을 가속화할 것”이라고 썼다. 

우선 마이크로소프트는 고급 AI 도구와 기술로 사이버 위협을 감지/분석하는 마이크로소프트 위협 분석 센터(Microsoft Threat Analysis Center, MTAC)를 통해 AI 기반 위협 인텔리전스를 발전시키는 작업에 착수했다. 스미스에 따르면 “여러 소스에서 고객 데이터를 수집하고 분석하는 마이크로소프트 보안 기술을 통해 이런 기능을 고객에게 확장하는 중이다. 위협 행위자가 방대한 데이터 더미에서 바늘을 찾는 것처럼 위협을 숨기더라도 AI는 올바른 바늘을 찾을 수 있게 해준다”라고 설명했다. 마이크로소프트는 글로벌 데이터센터 네트워크와 함께 AI를 사용해 인터넷만큼 빠른 속도로 위협을 탐지하겠다는 계획이다. 

또한 스미스는 “전 세계적으로 300만 명 이상의 인력이 부족한 상황에서 조직은 현재의 사이버보안 인력으로 최대한의 생산성을 끌어내야 한다. 동시에 공격의 속도, 규모, 정교함으로 인해 조직이 대규모 공격을 예방하고 방해하기 어렵다”라고 지적하며 이를 위해 AI를 ‘게임 체인저’로써 활용하고 있다고 밝혔다. 대표적으로 마이크로소프트의 시큐리티 코파일럿(Security Coliot)은 LLM과 마이크로소프트 위협 인텔리전스의 다양한 기술과 인사이트를 갖춘 보안 전용 모델을 결합해 복잡한 데이터에서 자연어 인사이트와 권장 사항을 생성해 애널리스트가 더욱 효과적으로 반응할 수 있도록 지원한다.

AI를 적극 활용하는 과정에서 마이크로소프트는 ‘책임 있는 AI 원칙(Responsible AI)’을 준수하고 있다. 스미스는 “새로운 AI 기술이 자체적인 안전 및 보안 보호 장치를 갖추고 발전해야 한다는 것을 알고 있다. 그렇기 때문에 책임 있는 AI 원칙과 관행에 따라 서비스에 AI를 개발하고 배포하고 있다. 기술 자체의 변화에 발맞춰 이런 관행을 발전시키는 데 주력하고 있다”라고 강조했다.

마이크로소프트는 더 강력한 AI 기반 보호 기능을 구축하기 위해 투자도 아끼지 않고 있다. 스미스는 “최근 호주에서 하이퍼스케일 클라우드 컴퓨팅 및 AI 인프라를 확장하기 위해 32억 달러를 투자할 것이라고 발표했는데, 여기에는 MACS(Microsoft-Australian Signals Directorate Cyber Shield)의 개발이 포함된다”라고 적었다. 이를 통해 사이버 위협을 식별, 예방 및 대응하는 마이크로소프트의 공동 역량을 강화할 것이라는 설명이다. 

둘, SW 개발 라이프사이클의 혁신

스미스는 더 안전한 미래를 위해서는 근본적인 소프트웨어 엔지니어링에도 새로운 발전이 필요할 것이라고 언급했다. 마이크로소프트는 SFI의 일환으로 기술을 설계, 구축, 테스트 및 운영하는 방식을 발전시켜 보안에 대한 새로운 표준을 제시하고 있다고 덧붙였다.

먼저 마이크로소프트는 자동화와 AI를 통해 소프트웨어 개발 방식을 ‘혁신’할 계획이다. 스미스는 “오늘날 사이버보안 위협의 도전과 생성형 AI가 창출하는 기회는 보안 소프트웨어 엔지니어링에 변곡점을 만들었다”라고 설명했다. 스미스에 따르면, 마이크로소프트의 새로운 조치에 따라 “2004년 마이크로소프트가 발명한” 보안 개발 수명 주기(Security Development Lifecycle, SDL)가 “동적 SDL(dynamic SDL, dSDL)”이라고 부르는 단계로 발전하게 된다. 스미스는 “엔지니어가 시스템과 서비스를 코딩, 테스트, 배포 및 운영할 때 새로운 위협 패턴에 대한 사이버보안 보호를 지속적으로 통합하는 체계적인 프로세스를 적용할 것”이라고 밝혔다. AI 기반 보안 코드 분석, 지능형 위협 시나리오에 대한 소스 코드 감사 및 테스트를 위한 깃허브 코파일럿 사용 등 다른 추가적인 엔지니어링 수단과 결합된다. 

오는 2024년 마이크로소프트는 고객이 더 안전한 설정으로 MFA(Multi-factor Authentication)를 즉시 사용할 수 있도록 하는 등 기본 ID 보안 정책을 더 넓은 범위의 고객 서비스로 확장해 고도로 정교한 공격에 대한 ID 보호도 강화할 방침이다. 스미스는 “암호 공격과 같은 ID 기반 위협은 지난 한 해 동안 10배 증가했으며, 국가와 사이버 범죄자는 로그인 자격 증명을 도용하고 사용하기 위해 더욱 정교한 기법을 개발하고 있다”라며, 이에 대처하기 위해 모든 제품과 플랫폼에서 사용자, 기기, 서비스의 ID와 액세스 권한을 관리 및 확인하는 통합되고 일관된 프로세스를 적용해 발전된 ID 보호 기능을 마이크로소프트 개발자 이외의 애플리케이션 개발자도 자유롭게 사용할 수 있도록 할 것이다”라고 썼다.

또한 클라우드 플랫폼에 대한 취약성 대응 및 보안 업데이트 측면에서는 “클라우드 취약성을 완화하는 데 걸리는 시간을 50% 단축할 계획이다. 또한 기술 부문 전반에서 보다 일관된 방식으로 더욱 투명한 보고를 장려할” 계획이다. 

셋, 국제 규범의 강력한 적용

마이크로소프트는 더 강력한 AI 방어 및 개발 라이프라이클 혁신이 국제 규범과 결합되어야 한다고 보고 있다. 스미스는 어떤 정부도 넘지 말아야 할 선을 제시하는 핵심 규범을 강화하고 지지해야 한다며, “중요 인프라 제공업체의 네트워크에 맬웨어를 심거나 기타 사이버보안 약점을 만들거나 악용하려는 국가 차원의 노력은 규탄받아야 한다. 이는 각국 정부가 수 세기 동안 추구해 온 스파이 활동과는 아무런 관련이 없으며, 오히려 미래의 위기나 분쟁에서 무고한 민간인의 생명을 위협하기 위한 것으로 보인다”라고 지적했다. 

또한 스미스는 모든 국가는 에너지, 수도, 식품, 의료 또는 기타 공급자와 같은 중요 인프라 제공업체의 네트워크에 소프트웨어 취약점을 심지 않겠다고 공개적으로 약속해야 한다며, “영토 또는 관할권 내에 있는 사람이 중요 인프라를 표적으로 삼는 사이버 범죄에 관여하는 것을 허용하지 않을 것도 약속해야 한다”라고 강조했다.

클라우드 서비스도 물과 식량, 에너지, 의료, 정보 및 기타 필수품을 포함해 사회의 모든 측면을 지원하는 중요 인프라로 자리 잡았다. 따라서 스미스는 “국가는 클라우드 서비스를 중요한 인프라로 인식하고 국제법에 따라 공격에서 보호해야 한다”라고 덧붙였다. 

각국 정부는 레드라인을 넘은 국가에 더 많은 책임을 묻기 위해 함께 노력해야 한다. 스미스는 “지금 필요한 것은 이들 국가에 책임을 묻고 위법 행위를 반복하지 못하도록 하는 정부의 강력하고 공개적이며 다자적이고 통일된 태도다. IT 기업과 민간 부문은 사이버보안 보호에 중요한 역할을 하며, 마이크로소프트는 새로운 조치와 더 강력한 조치를 취하기 위해 최선을 다하고 있다”라고 말했다.

적절한 시기에 발표된 MS의 보안 이니셔티브

사이버보안 업체 렐리아퀘스트(ReliaQuest)의 CISO 릭 홀랜드는 <CSO>에 “마이크로소프트는 지난 몇 년 동안 레거시 온프레미스 익스체인지 서버 취약점, 민감 데이터에 대한 무단 액세스 등 여러 문제를 겪었다”라며, “이런 인식 때문에 E5 라이선스를 보유한 일부 고객은 마이크로소프트 보안 포트폴리오 확장을 고려할 때 고민하기도 한다. 마이크로소프트의 SFI는 적절한 시기에 발표된 것”이라고 평가했다. 

또 AI 기반 위협 인텔리전스 학습에 있어 마이크로소프트처럼 큰 데이터 집합을 보유한 회사는 거의 없다. 홀랜드는 “모든 기술 회사가 ‘코파일럿’을 보유하게 될 세상에서 마이크로소프트는 보안 텔레메트리 데이터를 시큐리티 코파일럿에 활용할 수 있는 유리한 위치에 있다”라고 말했다.

dSDL로의 전환도 중요하다. 홀랜드는 “모든 공급업체는 안전한 코드 개발과 취약점 발견 및 수정 사이의 시간 단축을 위해 노력해야 한다. 2023년 발생한 수많은 공급업체 침해 사건에서 보았듯 침입이 발생했을 때 고객의 신뢰를 유지하려면 언제, 어떻게 소통하는지가 매우 중요하다. 조사 과정에서 커뮤니케이션이 제대로 이뤄지지 않으면 가혹한 평가를 받게 될 것”이라고 설명했다.

이어 MFA 확장과 즉시 사용할 수 있는 MFA도 SFI에 절실히 필요한 요소라며 “글로벌 2000대 기업뿐 아니라 모든 기업이 사용해야 하는 기능이다. 모든 전략과 마찬가지로 실행이 중요하다. 마이크로소프트는 보안 환경을 바꿀 수 있는 능력을 입증해 왔다. 이번에도 그럴 수 있기를 바란다”라고 덧붙였다. 
editor@itworld.co.kr