Microsoft의 딜레마
필수 도구로 인한 위험 줄이기
Microsoft가 없었다면 개인용 컴퓨터와 인터넷은 지금의 모습을 갖추지 못했을 것입니다. Microsoft에서는 거의 50년 동안 컴퓨팅을 발전시키는 동시에 자사 제품을 사용하는 사람과 기업의 역량을 강화해 왔습니다. 학생부터 게이머, 중소기업, 다국적 기업, 비영리 단체, 정부 기관에 이르기까지 Microsoft의 고객은 생산성, 커뮤니케이션, 공동 작업, 엔터테인먼트, 비즈니스 혁신을 위해 Microsoft의 제품과 서비스에 의존하고 있습니다.
이 모든 변화를 가능하게 함으로써 Microsoft는 세계에서 두 번째로 가치 있는 회사가 되었습니다. 하지만 안타깝게도 이러한 성공으로 인해 Microsoft와 그 제품은 사이버 공격의 주요 표적이 되었습니다.
최근 Cloudflare의 연례 피싱 동향 보고서에서 밝힌 바와 같이, 공격자들은 수백 개의 다양한 조직을 가장하지만, 주로 우리가 신뢰하고 의지하는 기관을 가장하여 목표를 달성합니다. Microsoft는 제품과 우리 모두의 신뢰를 바탕으로 세계에서 가장 많이 가장된 브랜드 1위�입니다.
Microsoft는 주요 공격 대상이지만, 소프트웨어 애플리케이션 및 운영 체제뿐만 아니라 사이버 보안 도구도 제공하여 공격에 대한 방어자이기도 합니다. 실제로 Microsoft 365로 거두는 수익의 30%는 사이버 보안에 기인한다고 볼 수 있습니다.
문제는 Microsoft 도구만으로는 위협을 해결하는 데 특별히 효과적이지 않다는 점입니다.
그렇다면 Microsoft는 사이버 보안에 대한 우리의 생각에서 어디에 들어맞을까요? 저와 대화하는 많은 보안 전문가들은 "Microsoft가 사이버 범죄자들이 네트워크에 침입하여 공격할 수 있게 해주는 트로이 목마인가요? 아니면 겉보기에는 잘 방어된 것처럼 보이지만, 공격에 무너지고 마는 트로이일까요?"와 같은 대답하기 어려운 질문을 합니다. 그리고 "예산과 깊이 얽혀 있는 보안 결함에 대해 누가 Microsoft에 책임을 물을 수 있을까요?"라고 묻습니다.
Microsoft 환경이 자주 공격을 받는다는 것은 의심할 여지가 없으며, 이러한 공격의 결과는 심각할 수 있습니다. 올해 7월, 중국 해커들이 주중 미국 대사관 사무실을 포함한 미국 정부 기관의 Microsoft 기반 이메일 시스템에 액세스할 수 있었습니다. 이는 그 의도를 짐작할 수 없는 신뢰 위반이었습니다. 이런 일이 발생한 것은 이번이 처음이 아닙니다.
올해 8월, Microsoft에서는 현재 악용되고 있는 여러 가지 zero-day 취약점을 포함하여 Windows 운영 체제 및 관련 제품의 70여 개의 보안 허점을 해결하기 위한 소프트웨어 업데이트를 발표했습니다. 코드를 작성해 본 사람이라면 누구나 소프트웨어는 사람이 개발하기 때문에 취약하다는 것을 알고 있습니다. 하지만 화요일의 대규모 패치 업데이트는 의문을 불러일으킵니다. 엄청난 규모의 채택과 이로 인한 내재적 취약성을 고려할 때 Windows 및 기타 Microsoft 제품을 보호하기 위해 더 많은 조치를 취해야 할까요?
다음과 같은 점이 궁금할 수도 있습니다. Microsoft 제품의 취약점을 더 많은 Microsoft 제품으로 효과적으로 해결할 수 있을까요? 사이버 공격자가 Microsoft 제품을 공격하는 데 성공했다면, 우리는 무슨 이유로 같은 회사의 패치와 업데이트로 향후 유출 사고를 예방할 수 있다고 확신해야 할까요?
Microsoft 보안 전략 재고하기
대부분의 조직에서는 일상 업무에서 Microsoft 소프트웨어에 너무 많이 의존하므로 이를 포기할 수 없습니다. 예를 들어 Microsoft의 보안 제품이 불충분하다고 해서 Microsoft Word, Excel, PowerPoint, Exchange, SharePoint 등의 사용을 중단하지는 않을 것입니다.
하지만 공격이 중단되지 않을 것이기 때문에 우리는 대부분 Microsoft 기반 도구와 환경을 공격으로부터 보호할 수 있는 더 나은 방법이 필요합니다.
보호를 강화하는 첫 번째 단계는 보안을 위해 Microsoft 제품에만 주로 또는 독점적으로 의존하지 않는 것입니다. Microsoft에서는 스택 배포 유형에 따라 Microsoft와 고객 간의 책임 영역을 설명하는 공유 책임 모델을 발표했습니다. 보안 전문업체인 Cloudflare에서는 보호 공백을 없애기 위해 계층화된 접근 방식이 중요하다는 것을 잘 알고 있습니다. 그러나 Microsoft의 보안 과제는 계층화된 접근 방식에 여러 도구뿐만 아니라 여러 벤더가 참여해야 한다는 것을 시사합니다. 물론 핵심은 관리 복잡성을 가중시키지 않으면서도 적절한 벤더 조합을 찾아내는 것입니다.
벤더를 고려할 때는 책임을 물을 수 있는 회사를 찾아야 합니다. 즉, 제품 로드맵에 영향을 미치거나 전환 비용이 너무 높지 않거나 중복되지 않는 대안을 찾을 수 있는 권한을 가져야 한다는 뜻입니다. Microsoft는 여러 가지 필수 제품을 제공하는 거대한 기업입니다. 보안 패치나 도구가 공격을 막지 못할 때도 Microsoft에 책임을 묻기가 어려워집니다. 문제를 해결할 때까지 Excel을 제거하거나 사용을 중단하라고 Microsoft를 협박할 수는 없지만, 다른 벤더에 책임과 의무를 넘길 수는 있습니다.
적합한 벤더는 보안 문제 해결에 전념하는 사이버 보안 전문 업체일 가능성이 높으며, 더 높은 수준에서 참여하고 책임을 묻기가 훨씬 수월합니다. 우리는 그 벤더의 엔지니어와 협력하여 진화하는 위협에 대한 해결책을 찾고, 필요한 경우 그 회사 경영진에게 주의를 촉구하며, 다른 모든 방법이 실패할 경우 제품을 교체할 수 있지만, 필수적인 생산성 도구는 유지할 수 있습니다.
수백만 명의 개인과 기업에서 Microsoft 애플리케이션과 운영 체제에 의존하는 한, 이러한 제품은 계속해서 사이버 공격의 주요 표적이 될 것입니다. 공격에 대한 방어력을 높이려면 조직에서는 Microsoft에 대한 의존도를 낮추고 보안 전문 기업과 협력하여 Microsoft의 딜레마(취약점을 유지하면서도 회사의 필수 제품을 활용할 수 있을까?)를 해결해야 합니다.
이 글은 오늘날의 기술 의사 결정자에게 영향이 미치는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
Microsoft 및 Microsoft 365는 Microsoft 그룹사의 상표입니다.
작성자
Oren J. Falkowitz - @orenfalkowitz
Cloudflare 보안 책임자
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
Microsoft 도구가 사이버 공격의 주요 표적이 되는 이유
계층화된 Microsoft 도구에만 의존하는 것만으로는 부족한 이유
책임을 물을 수 있는 보안 벤더와의 파트너십을 통해 보호를 강화하는 방법