마이크로소프트 “하이브리드 업무환경 보안 첫걸음은 ‘인증’, 제로트러스트 채택하라”
“기본적인 보안 도구를 사용하고, 제로트러스트 보안 원칙을 채택하라. 클라우드 보안을 활용하고, 직원 교육과 훈련을 계속해야 한다.”
바수 자칼(Vasu Jakkal) 마이크로소프트 보안, 컴플라이언스, 아이덴티티 부문 부사장이 코로나19 대유행 이후 급격하게 늘어나는 기업의 하이브리드 업무 환경에서 증가하는 사이버위협으로부터 보호할 수 있는 방안을 이렇게 제시했다.
코로나19 대유행 이후 디지털 전환이 대대적으로 가속화되고 있는 가운데, 업무 환경도 원격·재택 근무와 사무실 근무를 병행하는 하이브리드 방식을 채택하는 조직들이 많아지고 있는 상황이다.
자칼 부사장은 최근 가진 온라인 기자간담회에서 “디지털 비즈니스와 원격 업무환경으로의 전환은 디지털표면이 증가한다는 것이고 디지털공격이 크게 늘어난다는 것을 의미한다”며 “사이버공격이 급증하는 동시에 매우 정교해지고 있으며 복잡성도 커졌다”고 진단했다. 그는 “사이버공격이 매초마다 평균 579번 발생하는 시대에 살고 있다. 하루 평균 5000만번의 비밀번호(password) 공격 시도가 벌어지고 있고, 마이크로소프트 엔드포인트에서 지난해 발견한 이메일 위협 건수는 일주일에 300억건에 달할만큼 엄청나다”고 사이버위협 현실을 구체적인 수치로 제시했다. 이어 “사이버위협 환경이 가속화되고 있는 반면에, 우리의 현실은 인재 부족, 운영 탄력성과 경제적 압박과 마주하고 있다”고 진단하기도 했다.
자칼 부사장이 보안 방안의 첫걸음으로 가장 먼저 언급한 ‘기본적인 보안도구’는 다중요소 인증(MFA)과 클라우드 아이덴티티(신원) 보호 기술이다. 이는 그 다음으로 중요하게 언급한 ‘제로트러스트’ 보안 방식을 구현하는데 활용되는 방법이기도 하다.
그는 “MFA같은 도구를 사용하는 것은 보안에 큰 도움이 된다. 바로 첫 번째 방어선(first-line of defense)을 얻는 것”이라며 “현재 신원은 보안의 전장이다(Identity is the battleground for security right now). 도움이 되는 도구를 사용해 보호해야 한다”고 강조했다.
사용자 인증과 신원 보호는 매우 중요하다. “해커들은 침입하지 않고, 로그인 한다”고 브렛 아세놀트(Bret Arsenault) 마이크로소프트 정보보호최고책임자(CISO)가 말했듯이, 사용자 계정과 비밀번호 등 신원증명 수단을 노린 다양한 공격들이 발생하고 있다.
이날 간담회에 함께 참여한 메리 조 슈레이드(Mary Jo Schrade) 아시아지역 디지털범죄 부문(DCU) 책임자<사진 오른쪽>도 “MFA를 사용한 경우 사이버보안 사고의 95% 이상에서 99.99%를 피할 수 있다는 통계가 있다”고 MFA의 중요성을 강조하면서, 아직은 MFA 사용률이 낮다고 지적했다.
이들에 따르면 마이크로소프트 고객 가운데 MFA를 사용하는 비율은 18%다. 다만 사용률은 증가 추세에 있다.
‘제로트러스트(Zero Trust)’ 보안 모델은 모바일과 클라우드를 적극 활용하며 점점 경계가 허물어지면서 복잡해지는 최근 업무 환경에서 중요하게 부각되고 있다. 이제는 경계 안의 내부 네트워크는 안전하고 신뢰하다고 여기는 것이 아니라 해킹을 당했거나 당할 수 있다는 전제를 기반으로 한다.
마이크로소프트는 명확한 검증(verify explicitly), 최소한의 권한 액세스 부여(grant least privileged access), 침해 가정(assume breach)을 기반으로 하는 제로트러스트 원칙이 하이브리드 업무 환경이 초래하는 IT 복잡성 속에서 보안을 유지하는데 도움이 된다고 강조하고 있다.
특히 제로트러스트 전환에 있어 가장 중요한 첫 단추로 강력한 인증 설정을 꼽으면서, 복잡성을 제거한 ‘암호없는 인증(Passwordless Authentication)’ 등 매우 간편하면서도 안전한 MFA를 ‘애저 액티브 디렉토리’에서 지원하는데 주력하고 있다.
자칼 부사장은 “신뢰는 훌륭한 보안을 위한 초석이다. 신원 보호를 시작으로 제로트러스트 보안을 채택해 전체 스펙트럼에 걸쳐 보호를 수행해야 한다. 컴플라이언스도 준수토록 해야 한다”며 “사이버공격 위험은 고의적으로 또는 의도치 않게 언제든 발생할 수 있다. 내부 데이터 유출을 방지할 수 있어야 한다”고 지적했다.
클라우드 보안을 강조한 이유로 자칼 부사장은 “기업의 클라우드 전환이 점점 증가하고 있다”는 점과 더불어 “클라우드는 보안을 내재화해 강력한 보안 기반을 제공한다”고 들었다. 그러면서 그는 “가능한 클라우드 보안을 활용하라. 클라우드 보안은 쉽게 시작할 수 있다”면서 “다만 클라우드를 특정한 하나의 보안으로 생각하지 말아야 한다. 엔드 투 엔드(end to end)로 보안을 적용해야 한다. 공격은 내외부 어디에서나 언제든지 발생할 수 있기 때문이다. 이것이 마이크로소프트 컴플라이언스와 보안, 신원 관리, 인적서비스와 기술을 연구해 인텔리전스를 하나로 통합하고 있다”고 덧붙였다.
자칼 부사장은 교육·훈련의 중요성도 빼놓지 않았다. 그는 “현재 인재가 너무나 부족한 상황으로, 더 많은 방어자가 필요하다”라면서 “마이크로소프트는 방어자에게 필요한 콘텐츠와 스킬 교육과 다양한 인증을 지원하고 있다”고 부각했다. 아울러 “보안은 비대칭 전투이고, 고양이와 쥐 게임이다. 방어자들은 (공격자보다) 한발자국 앞에 있어야 한다. 이를 위해선 모두 슈퍼파워를 키우고 슈퍼영웅들이 모인 팀을 만들어야 한다”고 강조해 말했다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
