2020.10.26

윈도우 네트워크 보안의 4대 핵심 요소

Susan Bradley | CSO
마이크로소프트의 이그나이트(Ignite) 컨퍼런스가 열리기 전, 필자는 마이크로소프트 CISO 브렛 아스놀트와 윈도우 네트워크 보안을 위한 핵심 요소에 관해 대화를 나눌 수 있었다. 아스놀트는 패스워드리스 ID 관리(passwordless identity management), 패치 관리(patch management), 장치 제어(device control) 및 보안 벤치마크(security benchmarks) 등 보안의 4대 기둥에 관해 이야기했다.
 
ⓒ Getty Images Bank

1. 패스워드리스 ID 관리
아스놀트의 권고는 다중 인증(Multi-Factor Authentication, MFA)를 사용하고 패스워드리스 ID 관리로 이행하는 것으로 시작된다. 2020년 버라이즌 데이터 유출 조사 보고서에 따르면, 자격 증명 도난의 배후의 80%는 사이버 공격이다. 그래서 마이크로소프트는 일반적인 비밀번호를 버리는 것을 강조하고 패스워드리스 기법에 초점을 맞추고 있다.

윈도우 배치 시 3가지 주요 패스워드리스 선택지가 있다. 첫 번째는 생체인식 인증이 포함된 WHB(Windows Hello for Business)를 사용하는 것이다. 클라우드 전용 배치에서 WHB를 지원하기 위해서는 윈도우 10 버전 1511 이상, 마이크로소프트 애저 계정, 애저 액티브 디렉터리(AD), 애저 다중 인증, 모던 매니지먼트(인튠 또는 지원되는 서드파티 MDM)가 필요하다. 

장치가 애저 AD에 가입할 때 자동 MDM 등록을 위한 애저 AD 프리미엄 구독을 선택할 수 있다. 하이브리드 배치의 경우, 윈도우 10 버전 1511 이상이 필요하며 하이브리드 애저 AD 또는 애저 AD에 가입할 수 있다.

다음 선택지는 필자가 사용하는 것으로 마이크로소프트 어센터케이터(Microsoft Authenticator) 앱이다(이중 인증에 구글 어센터케이터 앱을 사용할 수도 있지만 패스워드리스 구현을 위해서는 마이크로소프트 어센터케이터가 필요하다). 애플리케이션이 어센터케이터 앱을 지원하고 사용자가 같은 플랫폼에 여러 클라우드 애플리케이션을 사용하는 경우 실행할 수 있는 선택지다. 

마이크로소프트의 문서에서 밝혔듯이 사용된 기술은 윈도우 헬로(Windows Hello)와 비슷하다. 이를 배치하려면 애저 다중 인증이 필요하며 검증 방법으로 푸시 알림을 허용해야 한다. 그리고 최신 버전의 마이크소프트 어센터케이터가 iOS 8.0 이상 또는 안드로이드 6.0 이상으로 구동하는 장치에 설치되어 있어야 한다.

마지막으로, FIDO 2.0 보안 키를 통해 패스워드리스 솔루션을 구현할 수 있다. 레지던트 키, 클라이언트 PIN, HMAC 비밀 및 RP(Relying Party)당 다중 계정을 지원하는 유비키(Yubikey) 등이 있어야 한다.

2. 패치 관리
아스놀트가 지적한 다음의 주요 요소는 패치 관리(Patch management)를 위한 프로세스를 마련하는 것이다. 아스놀트는 지체하지 말고 패치하고 또 패치하라고 조언했다. 또한 직원들이 사용하는 모든 소프트웨어를 최신 상태로 유지하는 시스템을 갖추라고.

기업들은 즉시 패치하지 않는 경우가 많다. 대신에 즉시 테스트하고 테스트 중 문제가 발생하지 않으면 업데이트를 적용한다. 마이크로소프트는 업데이트 품질을 통해 기업들의 신뢰를 되찾아야 한다. 지난 6월, PCL 5 드라이버가 있는 프린터들이 KB4557957로 인한 부작용의 영향을 받아 인쇄가 정지된 적이 있었다. 많은 기업이 우회책을 찾거나 마이크로소프트로부터 픽스(Fix)를 받을 때까지 6월 업데이트 적용을 보류했다. 대부분의 기업은 결국 패치하지만 아스놀트나 마이크로소프트가 원하는 만큼 빠르지는 않다.

마이크로소프트는 이그나이트에서 업데이트 적용 모범 사례에 관한 여러 세션을 제공한다. 여기에는 다음과 같은 내용이 담겨있다(한글 자막이 지원된다. 편집자 주).
 
마이크로소프트는 고객 피드백 및 인사이더 허브 피드백에서 들은 문제에 대한 비디오도 있다. 이 비디오에는 다음과 같은 내용이 담겨있다.
 
3. 장치 관리
아스놀트는 보안 관리자들이 장치를 관리해야 한다고 촉구했다. 프린터와 전화 시스템 등 회사 소유, 개인 및 엣지 장치 등 네트워크에 연결된 모든 장치를 확인, 패치 및 보호해야 한다. 특히, 마이크로소프트 365가 있다면 인튠을 사용해 네트워크에 연결된 장치를 확인하고 관리하는 것이 좋다. 팬데믹으로 인해 사람들은 더 많은 소비자용 장치를 사용해 회사 리소스에 연결하고 있다. 마이크로소프트 인튠은 iOS/아이패드OS, 안드로이드, 윈도우 및 맥OS 장치 등 다양한 리소스를 관리하는 데 도움이 될 수 있다.

기업의 경우, 프린터 관리가 여전히 진행 중이다. 주요 수요로 인해 특정 유형과 종류의 네트워크 프린터가 필요하다. 이것들은 인터넷과 연결되어 있으며 하드 드라이브가 있고 소프트웨어를 구동한다. 펌웨어를 업데이트해야 안전하며, 때로는 운영체제 패치만큼 효율적이지 않다. 재택근무로 전환하면서 네트워크 프린터의 필요성이 감소하고 PDF 관리의 필요성이 증가하고 있지만 특정 산업에서는 프린터가 여전히 중요하다.

아스놀트가 제안한 장치 관리 조언에 필자는 한 가지 요소를 추가하고자 한다. 컨설턴트도 원격으로 연결해 기업 고객에 지원 서비스를 제공할 때 안전한 최신 도구를 사용해야 한다. 올 해 너무나 많은 랜섬웨어 공격이 공격자가 컨설턴트를 통해 비즈니스에 대한 액세스를 얻게 되면서 발생했다. 공격자들은 한 기업에만 피해를 입히는 것이 아니라 매니지드 서비스 제공업체가 관리하는 모든 기업에 피해를 입히는 경우가 많다. 보안 태세도 검토하자.

4. 보안 벤치마크
벤치마크를 검토하면 동료들과 비교해 보안 모범 사례가 얼마나 잘 되어 있는지 알 수 있다. 마이크로소프트 365에는 마이크로소프트의 보안 점수가 포함되어 있다. 또한 CIS(Center for Internet Security) 벤치마크 문서를 사용해 설정을 확인할 수 있다. 그리고 마이크로소프트 365 시큐리티 센터의 정보의 변경사항을 주기적으로 검토하고 이에 따라 마이크로소프트 365의 설정을 변경할 수 있다.

변경사항을 관리하면 제품, 제품 로드맵, 제품 이름 변경 등을 추적한다. 예를 들어, 이번 이그나이트에서 다음과 같은 제품 이름 변경이 발표됐다.
 
  • 마이크로소프트 위협 보호(Microsoft Threat Protection)는 이제 마이크로소프트 365 디펜더(Microsoft 365 Defender)이다
  • 애저 ATP(Azure Advanced Threat Protection)는 이제 마이크로 디펜더 포 아이덴티티(Microsoft Defender for Identity)이다
  • 마이크로소프트 디펜더 ATP(Microsoft Defender Advanced Threat Protection)는 이제 마이크로소프트 디펜더 포 엔드포인트(Microsoft Defender for Endpoint)이다
  • 오피스 365 ATP(Office 365 Advanced Threat Protection)는 이제 마이크로소프트 디펜더 포 오피스 365(Microsoft Defender for Office 365)이다
  • 애저 시큐리티 센터 스탠다드 에디션(Azure Security Centre Standard Edition)은 이제 애저 디펜더 포 서버(Azure Defender for Servers)이다
  • 애저 시큐리티 센터 포 IOT(Azure Security Centre for IoT)는 이제 애저 디펜더 포 IOT(Azure Defender for IoT)이다
  • ATP 포 SQL(Advanced Threat Protection for SQL)은 이제 애저 디펜더 포 SQL(Azure Defender for SQL)이다

새로운 이름의 목적은 각각의 기능을 더욱 명확히 정의하는 것이다. 각 사이트를 즐겨찾기로 등록하고 검토한다. 현재 이런 기능에 액세스할 수 없다면 체험판(모든 것을 함께 제공하는 마이크로소프트 365 E5의 체험판이 좋음)에 가입해 마이크로소프트의 통합된 보안 비전을 확인한다. 

마이크로소프트의 변경사항을 모두 파악하는 것이 벅찰 수 있다. 마이크로소프트를 파악하는 가장 좋은 방법이 그들의 주요 컨퍼런스에 예의주시하는 것이다. 코로나19 팬데믹으로 인해 마이크로소프트, 그리고 다른 많은 공급업체는 온라인으로 무료 또는 저렴한 컨퍼런스를 제공하고 있다. 

기술이 빠르게 변화하고 있다. 패스워드리스 ID 관리, 패치 관리, 장치 관리 및 스스로를 벤치마크와 비교하는 것 등 4대 기둥은 모두 건전한 비즈니스 보안의 기둥이다. 늘 그래왔듯 조심하고 보호하자. editor@itworld.co.kr 


2020.10.26

윈도우 네트워크 보안의 4대 핵심 요소

Susan Bradley | CSO
마이크로소프트의 이그나이트(Ignite) 컨퍼런스가 열리기 전, 필자는 마이크로소프트 CISO 브렛 아스놀트와 윈도우 네트워크 보안을 위한 핵심 요소에 관해 대화를 나눌 수 있었다. 아스놀트는 패스워드리스 ID 관리(passwordless identity management), 패치 관리(patch management), 장치 제어(device control) 및 보안 벤치마크(security benchmarks) 등 보안의 4대 기둥에 관해 이야기했다.
 
ⓒ Getty Images Bank

1. 패스워드리스 ID 관리
아스놀트의 권고는 다중 인증(Multi-Factor Authentication, MFA)를 사용하고 패스워드리스 ID 관리로 이행하는 것으로 시작된다. 2020년 버라이즌 데이터 유출 조사 보고서에 따르면, 자격 증명 도난의 배후의 80%는 사이버 공격이다. 그래서 마이크로소프트는 일반적인 비밀번호를 버리는 것을 강조하고 패스워드리스 기법에 초점을 맞추고 있다.

윈도우 배치 시 3가지 주요 패스워드리스 선택지가 있다. 첫 번째는 생체인식 인증이 포함된 WHB(Windows Hello for Business)를 사용하는 것이다. 클라우드 전용 배치에서 WHB를 지원하기 위해서는 윈도우 10 버전 1511 이상, 마이크로소프트 애저 계정, 애저 액티브 디렉터리(AD), 애저 다중 인증, 모던 매니지먼트(인튠 또는 지원되는 서드파티 MDM)가 필요하다. 

장치가 애저 AD에 가입할 때 자동 MDM 등록을 위한 애저 AD 프리미엄 구독을 선택할 수 있다. 하이브리드 배치의 경우, 윈도우 10 버전 1511 이상이 필요하며 하이브리드 애저 AD 또는 애저 AD에 가입할 수 있다.

다음 선택지는 필자가 사용하는 것으로 마이크로소프트 어센터케이터(Microsoft Authenticator) 앱이다(이중 인증에 구글 어센터케이터 앱을 사용할 수도 있지만 패스워드리스 구현을 위해서는 마이크로소프트 어센터케이터가 필요하다). 애플리케이션이 어센터케이터 앱을 지원하고 사용자가 같은 플랫폼에 여러 클라우드 애플리케이션을 사용하는 경우 실행할 수 있는 선택지다. 

마이크로소프트의 문서에서 밝혔듯이 사용된 기술은 윈도우 헬로(Windows Hello)와 비슷하다. 이를 배치하려면 애저 다중 인증이 필요하며 검증 방법으로 푸시 알림을 허용해야 한다. 그리고 최신 버전의 마이크소프트 어센터케이터가 iOS 8.0 이상 또는 안드로이드 6.0 이상으로 구동하는 장치에 설치되어 있어야 한다.

마지막으로, FIDO 2.0 보안 키를 통해 패스워드리스 솔루션을 구현할 수 있다. 레지던트 키, 클라이언트 PIN, HMAC 비밀 및 RP(Relying Party)당 다중 계정을 지원하는 유비키(Yubikey) 등이 있어야 한다.

2. 패치 관리
아스놀트가 지적한 다음의 주요 요소는 패치 관리(Patch management)를 위한 프로세스를 마련하는 것이다. 아스놀트는 지체하지 말고 패치하고 또 패치하라고 조언했다. 또한 직원들이 사용하는 모든 소프트웨어를 최신 상태로 유지하는 시스템을 갖추라고.

기업들은 즉시 패치하지 않는 경우가 많다. 대신에 즉시 테스트하고 테스트 중 문제가 발생하지 않으면 업데이트를 적용한다. 마이크로소프트는 업데이트 품질을 통해 기업들의 신뢰를 되찾아야 한다. 지난 6월, PCL 5 드라이버가 있는 프린터들이 KB4557957로 인한 부작용의 영향을 받아 인쇄가 정지된 적이 있었다. 많은 기업이 우회책을 찾거나 마이크로소프트로부터 픽스(Fix)를 받을 때까지 6월 업데이트 적용을 보류했다. 대부분의 기업은 결국 패치하지만 아스놀트나 마이크로소프트가 원하는 만큼 빠르지는 않다.

마이크로소프트는 이그나이트에서 업데이트 적용 모범 사례에 관한 여러 세션을 제공한다. 여기에는 다음과 같은 내용이 담겨있다(한글 자막이 지원된다. 편집자 주).
 
마이크로소프트는 고객 피드백 및 인사이더 허브 피드백에서 들은 문제에 대한 비디오도 있다. 이 비디오에는 다음과 같은 내용이 담겨있다.
 
3. 장치 관리
아스놀트는 보안 관리자들이 장치를 관리해야 한다고 촉구했다. 프린터와 전화 시스템 등 회사 소유, 개인 및 엣지 장치 등 네트워크에 연결된 모든 장치를 확인, 패치 및 보호해야 한다. 특히, 마이크로소프트 365가 있다면 인튠을 사용해 네트워크에 연결된 장치를 확인하고 관리하는 것이 좋다. 팬데믹으로 인해 사람들은 더 많은 소비자용 장치를 사용해 회사 리소스에 연결하고 있다. 마이크로소프트 인튠은 iOS/아이패드OS, 안드로이드, 윈도우 및 맥OS 장치 등 다양한 리소스를 관리하는 데 도움이 될 수 있다.

기업의 경우, 프린터 관리가 여전히 진행 중이다. 주요 수요로 인해 특정 유형과 종류의 네트워크 프린터가 필요하다. 이것들은 인터넷과 연결되어 있으며 하드 드라이브가 있고 소프트웨어를 구동한다. 펌웨어를 업데이트해야 안전하며, 때로는 운영체제 패치만큼 효율적이지 않다. 재택근무로 전환하면서 네트워크 프린터의 필요성이 감소하고 PDF 관리의 필요성이 증가하고 있지만 특정 산업에서는 프린터가 여전히 중요하다.

아스놀트가 제안한 장치 관리 조언에 필자는 한 가지 요소를 추가하고자 한다. 컨설턴트도 원격으로 연결해 기업 고객에 지원 서비스를 제공할 때 안전한 최신 도구를 사용해야 한다. 올 해 너무나 많은 랜섬웨어 공격이 공격자가 컨설턴트를 통해 비즈니스에 대한 액세스를 얻게 되면서 발생했다. 공격자들은 한 기업에만 피해를 입히는 것이 아니라 매니지드 서비스 제공업체가 관리하는 모든 기업에 피해를 입히는 경우가 많다. 보안 태세도 검토하자.

4. 보안 벤치마크
벤치마크를 검토하면 동료들과 비교해 보안 모범 사례가 얼마나 잘 되어 있는지 알 수 있다. 마이크로소프트 365에는 마이크로소프트의 보안 점수가 포함되어 있다. 또한 CIS(Center for Internet Security) 벤치마크 문서를 사용해 설정을 확인할 수 있다. 그리고 마이크로소프트 365 시큐리티 센터의 정보의 변경사항을 주기적으로 검토하고 이에 따라 마이크로소프트 365의 설정을 변경할 수 있다.

변경사항을 관리하면 제품, 제품 로드맵, 제품 이름 변경 등을 추적한다. 예를 들어, 이번 이그나이트에서 다음과 같은 제품 이름 변경이 발표됐다.
 
  • 마이크로소프트 위협 보호(Microsoft Threat Protection)는 이제 마이크로소프트 365 디펜더(Microsoft 365 Defender)이다
  • 애저 ATP(Azure Advanced Threat Protection)는 이제 마이크로 디펜더 포 아이덴티티(Microsoft Defender for Identity)이다
  • 마이크로소프트 디펜더 ATP(Microsoft Defender Advanced Threat Protection)는 이제 마이크로소프트 디펜더 포 엔드포인트(Microsoft Defender for Endpoint)이다
  • 오피스 365 ATP(Office 365 Advanced Threat Protection)는 이제 마이크로소프트 디펜더 포 오피스 365(Microsoft Defender for Office 365)이다
  • 애저 시큐리티 센터 스탠다드 에디션(Azure Security Centre Standard Edition)은 이제 애저 디펜더 포 서버(Azure Defender for Servers)이다
  • 애저 시큐리티 센터 포 IOT(Azure Security Centre for IoT)는 이제 애저 디펜더 포 IOT(Azure Defender for IoT)이다
  • ATP 포 SQL(Advanced Threat Protection for SQL)은 이제 애저 디펜더 포 SQL(Azure Defender for SQL)이다

새로운 이름의 목적은 각각의 기능을 더욱 명확히 정의하는 것이다. 각 사이트를 즐겨찾기로 등록하고 검토한다. 현재 이런 기능에 액세스할 수 없다면 체험판(모든 것을 함께 제공하는 마이크로소프트 365 E5의 체험판이 좋음)에 가입해 마이크로소프트의 통합된 보안 비전을 확인한다. 

마이크로소프트의 변경사항을 모두 파악하는 것이 벅찰 수 있다. 마이크로소프트를 파악하는 가장 좋은 방법이 그들의 주요 컨퍼런스에 예의주시하는 것이다. 코로나19 팬데믹으로 인해 마이크로소프트, 그리고 다른 많은 공급업체는 온라인으로 무료 또는 저렴한 컨퍼런스를 제공하고 있다. 

기술이 빠르게 변화하고 있다. 패스워드리스 ID 관리, 패치 관리, 장치 관리 및 스스로를 벤치마크와 비교하는 것 등 4대 기둥은 모두 건전한 비즈니스 보안의 기둥이다. 늘 그래왔듯 조심하고 보호하자. editor@itworld.co.kr 


X