미국 정부 보고서, 마이크로소프트 클라우드 보안 전면 개편 권고.

최근 미국 정부 보고서는 중국 국가 지원 해커들의 대규모 침해 사건 이후 마이크로소프트의 클라우드 보안 처리 방식에 관한 중대한 보안 우려를 드러냈다.

미국 사이버 안전 검토 위원회(CSRB)가 발표한 이 보고서는 마이크로소프트의 일련의 운영 실패와 전략적 결정이 해커들이 미국 고위 관리들의 이메일 계정에 침투할 수 있게 했다고 지적한다. 이 보고서는 마이크로소프트를 비판했을 뿐만 아니라 클라우드 보안 전반에 걸친 광범위한 개혁을 촉구했다.

경영진들은 사이버 보안 침해 사태에 대해 우려하고 있다.

2023년 7월 처음 보고된 이 보안 침해 사건은 중국 정부와 연관된 것으로 추정되는 해킹 그룹 'Storm-0588'이 연루되었습니다. 이 그룹은 마이크로소프트 엔지니어의 기업 계정을 해킹하는 데 성공했으며, 이를 통해 민감한 미국 정부 시스템에 접근할 수 있었습니다.

이 보고서는 해당 사건을 "예방 가능했던" 것으로 규정하며, 마이크로소프트의 보안 프로토콜 내에서 발생한 일련의 오류들을 지적하고 있다.

해커들은 중국 주재 미국 대사를 비롯한 유명 인사들을 포함해 22개 기관과 500명 이상의 개인 이메일 계정에 접근했다. 또한 미국 국무부에서 약 6만 통의 이메일이 유출되었다.

이번 침해 사건은 마이크로소프트가 글로벌 기술 생태계에서 수행하는 중대한 역할과 고객들이 데이터 및 운영 보호를 위해 회사에 부여하는 신뢰 수준을 부각시킨다.

CSRB 보고서는 마이크로소프트의 클라우드 보안 관행에 대한 비판을 분명히 했다. 마이크로소프트가 부족한 여러 분야를 지적했는데:

• 부적절한 신원 보안 통제: 보고서는 마이크로소프트가 다른 클라우드 서비스 제공업체들 사이에서 표준으로 여겨지는 신원 보안 통제 수단을 갖추지 못했다고 지적했다.
• 구식 암호화 관행: 해커들이 2016년 암호화 키를 악용해 무단 접근을 시도했으며, 이는 구식 키 교체 관행을 시사한다.
• 조직 통제 및 거버넌스 실패: 보고서는 마이크로소프트가 보안을 우선순위로 삼지 못한 점을 비판하며, 조직 내 문화적 변화의 필요성을 시사했다.

CSRB는 마이크로소프트 경영진이 자사 제품 및 서비스 전반에 걸쳐 보안 중심의 근본적인 개혁을 추진하기 위한 계획을 수립하고 실행할 것을 권고했다.

또한 클라우드 서비스 제공업체들은 침입 탐지 및 방지에 필수적인 보안 로그에 대해 고객에게 요금을 부과하는 것을 중단해야 한다고 제안했다.

CSRB의 조사 결과에 대응하여 마이크로소프트는 보안 취약점을 해결하기 위한 '안전한 미래 이니셔티브'를 출범시켰습니다. 회사는 위원회의 권고 사항을 이행하기로 약속했으며, 이미 일부 보안 로그를 표준 클라우드 서비스 패키지의 일부로 제공하기 시작했습니다.

마이크로소프트의 브래드 스미스 부회장 겸 사장은 하원 국토안보위원회에서 증언하며 회사의 사이버 보안 태세 개선에 대한 의지를 강조했다.

미국 정부 보고서, 마이크로소프트 클라우드 보안 전면 개편 권고.

마이크로소프트는 CSRB(사이버 보안 책임 위원회)가 제시한 16개 권고사항 중 회사에 적용 가능한 모든 사항을 이행하기로 약속했습니다. 여기에는 신원 및 비밀 보호, 네트워크 보안 강화, 위협 탐지 및 대응 능력 향상을 위한 구체적인 조치가 포함됩니다. 이 계획은 세 가지 핵심 보안 원칙을 강조합니다: 설계 시 보안(Secure by Design), 기본 설정 시 보안(Secure by Default), 안전한 운영(Secure Operations).

이러한 원칙은 Microsoft 제품 및 서비스의 개발과 배포를 안내하며, 보안이 초기 단계부터 내재화되고 진화하는 위협에 대응하기 위해 지속적으로 개선되도록 보장합니다.

사이버 보안과 이익의 균형.

이러한 기술적 조치 외에도 마이크로소프트는 보안 중심 접근 방식을 강화하기 위해 문화적·조직적 변화에도 주력하고 있습니다. 여기에는 보안 목표를 경영진 보상과 연계하는 방안이 포함되며, 이는 책임성을 확보하고 회사의 목표를 보안 약속과 일치시킵니다.

마이크로소프트는 또한 사이버보안 및 인프라 보안국(CISA) 을 본사로 초청해 CSRB 권고사항 이행에 관한 상세한 기술 브리핑을 진행하며, 보안 조치 강화를 위해 정부 기관과 협력하려는 의지와 투명성을 보여주었다.

마이크로소프트의 노력에도 불구하고, 회사는 신뢰 회복과 강력한 보안 확보에 있어 중대한 과제에 직면해 있습니다:

이익 대 안전

프로퍼블리카의 조사에 따르면 마이크로소프트는 과거 정부 계약을 따내기 위해 보안 취약점에 대한 경고를 무시하며 이익을 보안보다 우선시했던 것으로 드러났다. 이로 인해 해당 기업의 보안 의지에 대한 의구심이 제기되고 있다.

지속적인 취약점

CSRB 보고서와 후속 조사 결과는 마이크로소프트 클라우드 서비스의 지속적인 취약점을 부각시켰으며, 이는 지속적인 개선과 경계가 필요함을 시사한다.

CSRB 보고서는 마이크로소프트뿐만 아니라 모든 클라우드 서비스 제공업체의 보안 관행 재평가를 촉구하며 클라우드 컴퓨팅 산업 전반에 더 광범위한 시사점을 제시합니다. 이 보고서는 사이버보안 및 인프라 보안국(CISA)이 클라우드 서비스의 감사 로깅에 대한 최소 기준을 정의하고 채택하기 위한 노력을 주도할 것을 권고합니다.

이를 통해 고객은 추가 비용 없이 필수 보안 로그에 접근할 수 있게 되어 보안 사고를 보다 효과적으로 탐지하고 대응할 수 있습니다.

이 권고안은 클라우드 컴퓨팅 산업에서 투명성과 책임성의 필요성을 강조합니다. 표준화된 보안 관행을 수립함으로써 클라우드 서비스 제공업체는 고객 신뢰를 높이고 보안 침해 위험을 줄일 수 있습니다.

이 보고서는 또한 이러한 기준을 개발하고 시행하기 위해 정부 기관과 민간 기업 간의 협력이 중요함을 강조하며, 이를 통해 산업 전반에 걸쳐 통일된 사이버 보안 접근 방식을 보장해야 한다고 밝히고 있다.

마이크로소프트에게 앞으로의 길은 당장의 보안 문제를 해결하는 것뿐만 아니라 운영의 모든 측면에 스며드는 보안 문화를 조성하는 것을 포함합니다. 여기에는 다음이 포함됩니다:

• 보안 문화 강화: 마이크로소프트는 제품 설계부터 운영 관행에 이르기까지 모든 수준에서 보안을 최우선으로 삼아야 합니다.
• 모범 사례 구현: 회사는 다중 인증 및 최소 권한 접근 모델과 같은 최고 수준의 보안 표준을 서비스 전반에 걸쳐 채택해야 합니다.

투명성과 책임성 강화: 보안 목표를 경영진 보상과 연계함으로써 , 마이크로소프트는 보안 이니셔티브에 대한 책임성과 투명성을 보장하고자 합니다.

클라우드 컴퓨팅 환경이 급속히 진화하고 있음은 분명합니다. 이러한 맥락에서 US Cloud는 다른 공급업체들과 차별화된 대안으로 부상하고 있습니다. 당사는 가장 엄격한 규제 요건을 준수하면서도 귀사의 특정 요구사항을 충족하도록 맞춤형 솔루션을 제공합니다.

투명한 가격 정책, 숨겨진 비용 제거, 24시간 전담 지원팀을 통해 US Cloud는 고객 만족을 위한 확고한 의지를 가지고 있습니다. 조직의 고유한 과제를 진정으로 이해하고 보안 요구사항을 최우선으로 하는 클라우드 제공업체를 찾는 기업에게 US Cloud는 단순한 대안이 아닌 클라우드 서비스 시장에서 탁월한 선택지입니다.

클라우드 컴퓨팅과 사이버 보안이라는 복잡한 세계를 탐색하는 과정에서 US Cloud와의 파트너십은 오늘날의 디지털 환경에서 성공하기 위해 필요한 안정감과 맞춤형 솔루션을 제공합니다.