[데이터넷] 2020년 이후 기업·기관의 디지털 전환이 가속화되면 서 일하고 살아가는 방식에 거대한 변화가 일어났다. 이 기간 동안 원격·하이브리드 업무가 3배 증가했고, 이로 인해 사이버 공격의 심각도와 규모, 정밀성이 높아졌으며, 공격 표적도 광범위하게 늘어났다.

사이버 공격 피해 규모도 기하급수적으로 늘어나고 있다. ‘2022년 마이크로소프트 디지털 방어 보고서(MDDR)’에서는 2022년 데이터 유출로 인해 부담해야 하는 평균 비용이 435만 달러로, 사상 최고 규모에 이른 것으로 기록했다.

업무 유연성과 비즈니스 민첩성을 위해 클라우드 도입이 늘어나면서 보안은 수많은 난제에 부딪히고 있다. 마이크로소프트 조사에서 CISO의 30%는 하이브리드·멀티 클라우드, 멀티 플랫폼 환경에서 보안에 빈틈과 균열이 생기고 있다는 점을 우려한다고 답했다. 레거시 시스템을 대체하지 못한다는 답과 보안 저하 없이 사용자 생산성을 증진할 방법을 찾아야 한다는 답이 각각 25%로 나타났다.

공격자, 시간·비용 들이지 않고도 쉽게 침투

보안문제를 심각하게 만드는 일등공신은 랜섬웨어를 비롯한 지능화되는 표적공격이다. 서비스형 랜섬웨어(RaaS)는 전문지식 없는 사이버 범죄자도 쉽게 공격에 가담할 수 있게 한다. 마이크로소프트의 ‘사이버 시그널 2022년 8월호’에 따르면, 사이버 범죄자는 RaaS를 활용해 범죄 수익의 일부를 받는 조건으로 랜섬웨어 툴을 빌려주거나 판매한다. 이러한 유통방식으로 인해 어떤 전문기술도 없는 사람들도 사이버 범죄를 저지를 수 있게 됐다.

기업·기관은 막대한 예산을 들여 보안 솔루션을 구축하지만, 공격자들은 강력한 보안으로 무장된 성벽을 무너뜨리지 않고, 직원을 속이거나 탈취한 ID/PW를 이용해 쉽게 침투한다. 특히 보안에 가장 위험한 ‘사람’을 이용하는데, 내부자를 매수하거나 불만을 가진 내부자를 회유하는 방법 외에도, 정상적인 업무로 위장한 각종 사기성 범죄로 내부자를 속인다. 정상 사이트와 유사하게 만든 피싱 사이트, 유명 포털의 로그인 페이지로 위장한 가짜 사이트를 이용해 개인정보와 계정 정보를 탈취한다. 이 방식은 리스크 대비 수익률이 높아 사이버 범죄자에게 더없이 매력적이다.

비즈니스 이메일 침해(BEC)는 공격자가 매우 쉽게 범죄 수익을 얻을 수 있는 방법으로 자리잡았다. BEC는 거래처 자금 담당자로 위 장해 거래대금을 탈취하거나 타깃 조직으로 침투할 수 있는 기반을 만드는 공격으로, FBI가 가장 위험한 공격 형 태라고 경고한 바 있다. 마이크로소프트 조사에서는 BEC 공격을 받은 시점부터 공격자가 개인 데이터에 접근하기까지 걸리는 시간이 평균 1시간 12분에 불과한 것으로 나타났다.

공격자가 흔히 사용하는 또 다른 예로 비밀번호 스프레이(password-spray) 공격이 있다. AI 봇을 이용해 무작위로 비밀번호를 입력해 침투하는 이 수법으로 공격자는 돈 한 푼 들이지 않고 목표 조직으로 침투, 중요한 비즈니스 정보에 접근할 수 있다.

이 외에도 공격자는 각종 피싱·스피어피싱 공격과 SNS를 통해 접근하는 사기 공격 혹은 지하시장에서 판매하는 개인정보와 계정정보를 구입해 침투를 시도한다. 이 같은 ID 기반 공격이 전체 보안 침해의 61%에 이른다.

짜깁기식 제품 나열로 통합 보안 이룰 수 없어

보안 조직은 새로운 공격을 막을 수 있는 솔루션을 꾸준히 구비하면서 대비해왔다. 그런데 너무 많은 솔루션이 오히려 리스크를 높이고 있다. 마이크로소프트 조사에서는 대기업 평균 75개의 보안 솔루션을 운영하 고 있는 것으로 나타났다. 통합되지 않고 개별적으로 작동하는 이 솔루션이 너무 많은 이벤트를 쏟아내 보안조직의 경고피로가 심해졌으며, 실제 위협을 식별하지 못하게 됐다.

이종 솔루션의 이벤트를 통합 분석하는 솔루션뿐만 아니라 여러 소스에서 통합된 탐지와 대응을 하는 솔루 션이 경쟁적으로 출시되고 있지만, 대부분 네이티브 통합이 이뤄지지 않았으며, 짜깁기식의 제품 나열에 불과하다. 그래서 중요한 보안 인사이트가 각기 다른 대시 보드로 나타나기 때문에 위협 전반을 파악하지 못하고 심각한 사각지대를 만들게 된다.

실제로 마이크로소프트 조사에서 사이버 보안 리더들은 멀티 벤더 관리가 IT팀에 부담이 된다고 인식하고 있는 것으로 나타났다. 직원 수 1000명 이상 기업의 최고정보보안책임자(CISO) 72%는 보안, 컴플라이언스, ID 관리를 포괄하는 통합 제품군을 보유하는 것이 ‘지극히 또는 매우 중요하다’고 생각한다고 답했다.

정교하게 설계된 지능형 표적공격뿐만 아니라 사람의 심리와 습관, 조직의 관리되지 않은 취약점을 이용하는 공격을 막기 위해서는 처음부터 보안을 고려해 설계된 서비스와 애플리케이션이 필요하다. 마이크로소프트는 모든 애플리케이션과 서비스에서 보안을 디지털 패브릭의 기본 요소로 구현해 처음부터 끝까지 보호 할 수 있게 한다.

마이크로소프트가 설계, 개발, 제공하는 모든 것은 보안 원칙 하에 설계된다. 완벽하게 통합되고 빌트인 된 보안 기능을 제공해 최대 60%의 비용 절감 효과를 거둘 수 있게 한다. 마이크로소프트 애저의 취약점에 대한 접근방식, 마이크로소프트 365의 매크로 차단, 윈도우 11에서 기본 제공하는 향상된 보안 기능 등 사람과 기술을 고려한 회복 탄력성을 갖춘 보안 정책으로 차원 높은 업무 환경을 완성할 수 있도록 한다.

마이크로소프트의 간단하고 포괄적인 보안 접근법은 조직이 보안을 위해 막대한 투자를 하거나 업무를 불편하게 하는 강력한 보안 정책을 사용하지 않고 간단한 모범 수칙을 적용해 지능적이고 집요한 공격을 차단할 수 있게 한다.

예를 들어 마이크로소프트의 SIEM·SOAR 솔루션 ‘센티넬(Sentinel)’과 XDR 솔루션 ‘디펜더 (Defender)’를 통합해 모든 소스에서 위협 정보를 식별하고 분석해 자동으로 대응함으로써 엔터프라이즈 환경 전체에서 랜섬웨어 공격을 막을 수 있다.

단순하고 강력한 보안 전략 지원

마이크로소프트는 50여가지에 이르는 보안 제품의 중복되는 기능을 정리해 6가지 제품 라인에 통합, 보안을 단순하게 관리할 수 있게 한다. 전체 보안 상황을 한눈에 볼 수 있도록 포괄적인 가시성을 제공해 사각지대로 인한 리스크를 제거한다. AI와 자동화 기술을 이용해 광범위한 공격을 탐지하며, 보안관리와 거버넌스를 중앙집중화하고 간소화한다. 멀티·하이브리드 클라우드 전반의 공격표면을 제거하며, 모든 환 경에서 동일한 보안 정책과 보안 수준을 유지할 수 있 도록 한다.

마이크로소프트의 보안 제품군은 ▲XDR ‘디펜더(Defender)’ ▲ID·액세스 관리 ‘엔트라(Entra)’ ▲UEM ‘인튠(Intune)’ ▲개인정보 보호 ‘프리바(Priva)’ ▲데이터 거버넌스 및 보호 ‘퍼뷰(Purview)’ ▲SIEM·SOAR ‘센티넬(Sentinel)’로 구성된다.

ID 보호 제품군 ‘엔트라’는 멀티 클라우드 환경에서 모든 앱과 리소스에 대한 액세스를 제어한다. 적절한 권한을 찾아서 부여하고, 액세스 수명 주기를 관리하며, 모든 ID에 최소한의 액세스 권한을 부여한다.

엔트라 제품군에는 ▲IAM 솔루션 ‘애저 액티브 디렉토리(Azure AD)’ ▲클라우드 인프라 권한 관리(CIEM) 솔루션 ‘사용권한 관리(Permissions Management)’ ▲탈중앙화 ID 솔루션 ‘베리파이드 ID(Verified ID)’ ▲디지털 워크로드 ID 관리 솔루션 ‘워크로드 ID’ ▲온프레미스·클라우드 ID 거버넌스 솔루션 ‘ID 거버넌스’가 통합됐다. 엔트라 제품군은 JIT(Just-in-Time), JEA(Just-Enough-Access) 권한 부여로 강력한 제로 트러스트 원칙의 안전한 접근을 제공한다.

공격자보다 한발 앞선 위협 탐지와 대응

마이크로소프트의 보안 통합 효과를 한 차원 개선시킬 수 있는 SIEM·SOAR 솔루션 센티넬은 클라우드와 AI를 기반으로 정교한 위협을 빠르게 식별하고 정확하 게 대응할 수 있게 한다. 클라우드의 속도와 무제한 확 장성을 이용하는 센티넬은 보안 인프라 설정과 유지관리 어려움 없이 보안 요구사항에 맞게 탄력적으로 운영 할 수 있다. 방대한 위협 인텔리전스와 기계학습, 수십 년간 축적한 마이크로소프트 전문 지식을 활용한 정교한 컨텍스트 기반 위협 우선순위 대응을 제공한다.

강력한 위협 헌팅 도구로 모든 데이터에서 위협을 사전에 검색, 공격자보다 한발 앞서갈 수 있게 한다. 오케스트레이션과 일상 업무 자동화를 이용해 평균 응답 시간을 단축시킬 수 있다.

센티넬은 디펜더 제품군과 함께 사용해 조직의 방어 담당자 역량을 강화한다. 디펜더 제품군은 ID, 엔드포인트, 앱, 이메일, 데이터, 클라우드 전반에서 공격을 탐지하고 대응하는 ‘마이크로소프트 365 디펜더’와 CWPP·CSPM이 포함된 ‘클라우드용 마이크로소프트 디펜더’로 구성된다.

마이크로소프트 365 디펜더는 여러 도메인에서 자동으로 위협 데이터를 분석하고, 하나의 대시보드로 공격을 한눈에 파악할 수 있어 보안팀 업무 부담을 최소화한다. 도메인에서 공격 상황을 파악해 잠복하고 있는 반복적 위협을 제거하며, 자동 조사 기능을 이용해 위협 탐지·대응 시간을 줄이고 경고를 선별해 위협에 대응한다.

광범위한 상황에서 영향을 받은 자산을 안전하게 복구하고 격리된 공격을 자동으로 수정하는 한편, 내부 위협과 장기적인 보호를 위한 맞춤형 탐지 대응 도구를 개발해 보안 점수를 개선한다.

클라우드용 마이크로소프트 디펜더는 가상머신 (VM), 컨테이너, 데이터베이스, 각종 클라우드 저장소와 서비스에서 중요한 워크로드를 보호한다. 전체 워크로드를 가시화하고, 취약점과 공격을 탐지하고 대응한다. 사용 중인 클라우드 서비스 구성에서 위험성과 보안문제가 없는지 평가하고 관리하며, 컴플라이언스 위험을 자동으로 판단해 경고한다. 이 솔루션을 이용해 보안 정책과 컴플라이언스 관리 시간 30% 절감, 위협 대응 시간 50% 감소, 보안침해 위협 25% 감소 효과를 거둘 수 있다.

이와 함께 클라우드 네이티브 애플리케이션 보호(CNAP) 기능을 제공해 개발부터 런타임까지 애플리케이션 수명주기 전체에서 보안태세를 강화할 수 있다.

매일 65조 건 위협 시그널 분석해 대응

마이크로소프트는 진화하는 위협 환경과 관련해 탁월한 관점을 제시한다. 업계 최고의 AI 기술을 활용해 각종 디바이스, 앱, 플랫폼, 엔드포인트를 대상으로 매일 약 65조 건의 시그널을 수집·분석한 ‘시그널 인텔리전스’를 축적한다. 2021년에는 하루 약 8조 건의 시그널을 수집했으며, 2년 동안 수집 범위를 8배 이상 늘렸다.

마이크로소프트는 시그널 인텔리전스와 함께 세계적인 수준의 위협 인텔리전스로부터 학습한 내용을 모든 제품과 서비스에 적용한다. 더불어 보안 에코시스템에 참여하는 1만5000여 파트너가 더 우수한 솔루션 과 다양한 옵션을 상용화할 수 있도록 돕는다.

마이크로소프트의 디지털 범죄팀(Digital Crimes Unit)은 2021년 7월부터 2022년 6월까지 53만1000여 개의 고유한 피싱 URL과 5400여 개의 피싱 키트를 적발했고, 이를 바탕으로 자격 증명 도용에 사용된 1400개 이상 악성 이메일 계정을 찾아 폐쇄시켰다. 또한 글로벌 사이버 범죄에 연루될 가능성이 있는 사이트 등록 275만여 건을 미리 차단했다.

나아가 매년 ‘마이크로소프트 디지털 방어 보고서’를 발간해 보안 지침을 제공하고 있다. 탐지 및 대응팀(DART)이 보안 사고에 대응하고, 고객이 사이버 회 복 기능을 사용할 수 있도록 지원한다. DART는 침해에 대응하고 고객이 사이버 복원력을 갖도록 돕는 조직으로, 마이크로소프트 사이버 보안 솔루션 그룹 내에서 현장 사후 사고 대응(Onsite reactive incident response)과 원격 사전 조사(Remote proactive investigations) 등을 제공한다.

이와 함께 마이크로소프트는 사이버 시그널(Cyber Signals) 보고서를 분기별로 공개해 현재의 사이버 위협 환경에 대한 전문가의 인사이트를 제공하며, 보안 전문 인력, 관련 기술, 정책, 프로세스를 발전시키는데 기여하고 있다.

2022년 보안수익 200억달러 돌파

경제 불확실 시대를 맞아 CIO는 보안 소프트웨어 프로젝트에 효율적으로 투자해야 한다는 과제를 안고 있다. 이에 마이크로소프트는 더 적은 투자로 더 많은 성과를 거둘 수 있도록 처음부터 보안을 염두에 두고 개발한 제품과 솔루션을 제공한다. 지난해 하반기에만 300가지 이상 제품 혁신을 선보이면서 진화하는 위협 요소에 한 발 앞서 대비할 수 있도록 돕고 있다.

더불어 보안 혁신을 가속화하기 위해 보안 기술에 많은 투자를 단행하고 있다. 지난 5년간 매년 1조원 이상을 보안 R&D에 투자했으며, 2026년까지 사이버 보안 강화를 위해 20조원 이상을 투자할 예정이다.

혁신 기술을 가진 기업 인수도 활발하게 추진하고 있 다. 클라우드 접근 관리 플랫폼 기업 클라우드녹스 시큐리티(CloudKnox Security), 위협정보를 제공하는 리스크 IQ(RiskIQ) 인수가 그 대표적인 사례다.

이러한 투자의 결과로 마이크로소프트는 지난해 보안수익 200억 달러를 돌파했다. 마이크로소프트 보안을 선택한 고객은 86만여개에 이르며, 4개 이상 워크로드를 보유한 조직이 매년 40% 이상 증가하고 있다.

마이크로소프트는 보안 스택을 통합한 성공사례로 영국의 유통 기업 프레이저스 그룹(Frasers Group)을 소개한다. 프레이저스 그룹은 86개에 달하던 보안 벤더를 마이크로소프트와 다른 한 곳으로 줄였다. 통합형 XDR/SIEM 기능을 활용하는 랜드 오레이크스(Land O’Lakes)의 경우, 센티널(현재 고객 수 2만곳 돌파)과 마이크로소프트 디펜더 포 클라우드를 기반으로 한 통합 전략으로 멀티클라우드 하이브리드 워크스페이스 전반에 대해 더욱 정밀한 가시성을 확보할 수 있었다.

다양한 배경 보안 전문가 육성 지원

마이크로소프트는 다양한 배경의 보안 전문가를 육성하는데도 적극 나서고 있다. 마이크로소프트는 미국 커뮤니티 칼리지와 함께하는 2025년까지 25만여 명의 사이버 보안 전문가를 육성하고 취업을 지원하는 캠페인을 진행하고 있다. 라스트 마일 교육 기금(Last Mile Education Fund)과 함께하는 마이크로소프트 사이버 보안 장학 지원 프로그램(Cybersecurity Scholarship Program)을 통해 47개 주에서 1000명이 넘는 저소득층 커뮤니티 칼리지 재학생이 혜택을 받았다.

WiCyS(Women in CyberSecurity)와 함께 사이버 보안 분야에서 여성 인력 채용, 육성, 전문성 강화에 힘쓰고 있다. 그리고 홍보, 인력 훈련, 커리어 개발을 통해 보안 분야의 변화를 이끄는 비영리 단체, 걸 시큐리티(Girl Security)와 제휴해 14~26세의 여성과 성 소수자를 위한 사이버 보안 분야 진로 개발을 돕고 있다. 또한 우리나라를 포함한 23개국에서 사이버 보안 스킬 캠페인을 진행, 국가별 보안 기술 프로그램 개발과 전문 인력 양성 지원에 힘쓰고 있다.

한국에서도 보안 사업 역량 강화를 위해 다양한 파트너십 체결과 CISO 대상 포럼을 개최하고 있다. 한국 여성과학기술인육선재단(WISET)과 함께 이공계 여성을 위한 ‘우먼@시큐리티(정보보안 전문인력 양성과정)’를 개최하는 등 인재 다양성 개선 및 기술격차 해소를 위해 지속적으로 투자하고 있다.

이러한 혁신의 결과로 마이크로소프트는 공신력 있는 여러 기관으로부터 리더십을 인정받고 있다. IT 분야 리서치 기업 가트너로부터 4가지 영역, 글로벌 시장 조사기관 포레스터에서는 8가지 영역에 대해 리더로 선정되었으며, 이어 시장조사업체 IDC에서 6가지 영역 에 대해 인정받았다.

마이크로소프트는 보안 사업 혁신의 성과는 파트너, 고객과 함께 이룬 것이라고 강조한다. 하이브리드·원격근무가 확산되고 멀티 플랫폼 환경으로 전환이 이뤄지면서 계속 새로운 보안 과제가 등장하고 있다. 마이크로소프트는 고객·파트너와 함께 확대되는 디지털 세상에서 진화하는 위협에 성공적으로 대응하고 있으며, 앞으로도 이러한 돈독한 관계를 이어가겠다고 역설한다.

바수 자칼(Vasu Jakkal) 마이크로소프트 보안 부문 기업 부사장은 “갈수록 커지고 복잡해지는 디지털 환경에서도 사용자가 더 큰 권한과 역량을 발휘할 수 있게 하는 것이 사이버 보안의 목표다. 보안은 이 세상에 서 반드시 해결해야 할 과제이며, 희망의 도구가 되어야 한다”며 “마이크로소프트는 최고의 보안을 실현하기 위해 임직원, 파트너, 고객과 함께 최선의 노력을 다 할 것”이라고 말했다.