새로운 보안의 세계: 마이크로소프트의 시큐어 퓨처 이니셔티브
지난 한 해 동안 전 세계는 전례 없는 다양한 기술적 변화를 겪었습니다. 인공지능의 발전은 혁신을 가속화하고 사회가 상호 작용하고 운영되는 방식을 재편하고 있습니다. 동시에 사이버 범죄자와 국가 주도의 공격자들은 안보와 안정에 반대되는 이니셔티브로 전 세계 커뮤니티 및 국가를 위협하고 있습니다.
마이크로소프트는 최근 몇 달간 사이버 공격의 속도, 규모가 정교해짐에 따라 새로운 대응이 필요하다는 결론을 내렸습니다. 따라서 오늘 우리는 차세대 사이버 보안 보호를 위한 새로운 이니셔티브인 시큐어 퓨처 이니셔티브(Secure Future Initiative, SFI)를 발표합니다.
이 새로운 이니셔티브는 마이크로소프트의 모든 부문을 통합하여 사이버 보안 역량을 향상시킬 것입니다. 시큐어 퓨처 이니셔티브는 AI 기반의 사이버 방어, 기본 소프트웨어 엔지니어링의 발전, 그리고 국제적 규범을 강화하여 민간인을 사이버 위협으로부터 보호하는 세 가지 측면에 중점을 둡니다. 찰리 벨(Charlie Bell) 마이크로소프트 보안 부문 수석 부사장은 이미 시큐어 퓨처 이니셔티브에 대한 세부 사항을 엔지니어링 팀과 공유했으며 이 실행 계획이 마이크로소프트 소프트웨어 개발 방식에 미치는 영향에 대해 설명했습니다.
이 새로운 변화에 대한 마이크로소프트의 관점과 시큐어 퓨쳐 이니셔티브의 각 중심 내용에 대한 더 많은 정보를 아래에 공유합니다.
변화하는 위협 환경
5월 말, 마이크로소프트는 미국 전역의 중요 인프라 기관을 대상으로 하는 새로운 국가 주도 사이버 활동을 보여주는 정보를 발표했습니다. 이 활동은 나라 전체의 민간인들 위협뿐만 아니라 관련된 기술의 정교함 때문에 당황스러웠습니다. 5월에 강조했듯이, 해당 공격은 정교하고 집요하며 은밀하게 진행되었고, 충분한 자원과 정부 지원의 기술을 동원하여 컴퓨터 네트워크의 무결성을 장기적으로 침해하고 약화하는 데 관여했습니다. 이번 여름에도 마이크로소프트를 비롯해 클라우드 서비스 인프라를 대상으로 한 유사한 활동이 있었습니다.
해당 공격은 현재의 위협 환경이 가지고 있는 근본적인 원인을 부각시킵니다. 최근 몇 년 동안 크게 개선되었지만 잔존하는 사이버 보안 격차를 메우기 위해 새롭고 다양한 조치가 필요할 것입니다. 지난달 연례 마이크로소프트 디지털 방어 보고서에서 공유했듯이, 고도화된 사이버 위생 관행의 시행은 이제 대부분의 사이버 공격에 효과적으로 대응합니다. 하지만 최고의 자원을 보유한 공격자들은 자체 혁신을 추구하며 이전보다 훨씬 더 공격적이고 정교하게 행동하고 있습니다.
대담한 국가 주도의 행위자들은 사이버 작전에서 더욱 두드러지게 활동하며 타국 및 다른 기관을 대상으로 끈질기고 집요하게 스파이 활동, 테러 및 영향력 공작을 수행하고 있습니다. 마이크로소프트는 지난 2년간 발생한 모든 국가 주도 공격의 40%가 핵심 인프라에 집중되었다고 추산하며, 국가 자금을 지원받아 고도의 정교한 작전을 수행하는 공격자들이 전력망, 수도 시스템, 그리고 의료 시설과 같은 중요한 시스템에 침입하고 있다고 밝혔습니다. 이러한 각 분야에서 발생하는 잠재적인 사이버 방해의 결과는 명백히 심각합니다.
동시에 사이버 보안이 향상되면서 사이버 범죄자의 진입 장벽은 높아졌지만, 작은 규모임에도 더 악의적인 일부 정교한 공격자 그룹에게는 시장 통합 기회를 제공했습니다. 마이크로소프트 사이버 범죄 대응 조직(Microsoft Digital Crimes Unit)은 데이터를 잠그거나 훔치고 금전적 대가를 요구하는 정교한 서비스형 랜섬웨어 계열사 123개를 추적 하고 있습니다. 2022년 9월 이후 랜섬웨어 시도가 200% 이상 증가한 것으로 추정됩니다. 효과적인 보안 인프라를 갖춘 기업은 이러한 위협에 대응할 수 있지만, 병원, 학교, 지방 정부 등 규모가 작고 더 취약한 조직을 대상으로 한 사이버 공격은 점점 더 빈번하고 복잡해지고 있습니다. 80% 이상의 성공적인 랜섬웨어 공격이 관리되지 않는 기기에서 발생하기 때문에 모든 디지털 기기에 보호 조치를 확장하는 것은 중요합니다.
오늘날 사이버 위협은 막대한 자금력을 갖춘 조직과 최첨단 도구와 기술을 사용하는 숙련된 해커로부터 비롯됩니다. 지정학적 또는 금전적 동기와 관계없이 이러한 국가와 범죄 집단은 끊임없이 수법을 발전시키고 공격 대상을 확장해 나가며, 국가, 조직, 개인, 네트워크, 기기를 가리지 않습니다. 이들은 단순히 기계와 네트워크만 손상시키는 것이 아니라 사람과 인류 사회에 심각한 위험을 초래합니다. 따라서 자체 리소스 및 가장 정교한 기술과 관행을 활용할 수 있는 능력에 기반한 새로운 대응이 필요합니다.
AI 기반 사이버 방어
우크라이나 전쟁은 실제 첨단 공격의 위협보다 더 강력한 사이버 보안 방어를 개발할 수 있다는 기술 부문의 가능성을 보여주었습니다. 우크라이나의 성공적인 사이버 방어는 기술 분야와 정부 간의 공동 책임과 동맹국의 지원이 필요했습니다. 이는 공공부문의 리더십과 기업의 투자, 컴퓨팅 능력과 인간의 창의력을 결합한 증거입니다. 무엇보다도 우리가 새로운 사이버 위협에 대비하기 위해 AI의 힘을 활용하여 더 큰 규모에서 어떤 것을 성취할 수 있는지에 대한 영감을 제공합니다.
마이크로소프트는 전 세계 고객과 국가를 보호하는 AI 기반 사이버 안전망을 구축하기 위해 최선을 다하고 있습니다.
시큐어 퓨처 이니셔티브의 일환으로, 마이크로소프트는 여러 방면에서 이 작업을 계속 가속화할 것입니다.
첫째, AI를 활용하여 마이크로소프트의 위협 인텔리전스를 발전시키는 새로운 단계를 시작하고 있습니다. 마이크로소프트 위협 분석 센터(Microsoft Threat Analysis Center, MTAC)는 고급 AI 도구와 기술을 통해 사이버 위협을 감지하고 분석하고 있습니다. 이러한 기능을 고객에게 직접 확장하고 있으며, 이는 다양한 소스에서 고객 데이터를 수집하고 분석하는 마이크로소프트의 보안 기술을 통해 이루어집니다.
AI 발전이 매우 중요한 한 가지 이유는 세계에서 가장 시급한 사이버 보안 문제 중 하나를 해결할 수 있기 때문입니다. 어디서나 사용되는 디바이스와 지속적인 인터넷 연결로 디지털 데이터의 거대한 바다가 형성되어 사이버 공격을 탐지하기 더욱 어려워졌습니다. 마이크로소프트는 하루 동안 전 세계 디바이스와 서비스에서 65조 건 이상의 신호를 수신합니다. 지구 상의 80억 인구가 모두 함께 사이버 공격의 증거를 찾는다 해도 결코 따라잡기 어려운 수준에 이르렀습니다.
하지만 AI는 게임 체인저입니다. 위협 행위자가 방대한 데이터 더미 속에서 그들의 위협을 바늘처럼 숨기려 할지라도, AI는 점점 더 바늘을 찾을 수 있는 가능성을 높이고 있습니다. 또한 전 세계 데이터 센터 네트워크와 결합하여 인터넷만큼 빠른 속도로 위협을 탐지하기 위해 AI 기술을 사용하기로 결정했습니다.
둘째, 마이크로소프트는 모든 조직이 기계처럼 빠른 속도로 사이버 공격을 방어할 수 있도록 AI를 게임 체인저로 활용하고 있습니다. 오늘날 전 세계에서 가장 큰 사이버 보안 과제 중 하나는 숙련된 사이버 보안 전문가가 부족하다는 점입니다. 전 세계적으로 300만 명 이상의 인력이 부족한 상황에서 기업들은 자신들의 사이버 보안 인력으로부터 얻을 수 있는 생산성을 최대한 활용해야 합니다. 또한, 공격의 속도, 규모 및 정교함은 조직이 대규모 공격을 예방하고 차단하기 어렵게 만듭니다. 마이크로소프트 시큐리티 코파일럿(Microsoft Security Copilot)은 대규모 언어 모델(LLM)과 마이크로소프트의 위협 인텔리전스에서 얻은 다양한 기술과 통찰력을 갖춘 보안 전용 모델을 결합합니다. 이를 통해 복잡한 데이터로부터 나온 자연어의 통찰력과 권고사항을 생성하여 분석가들이 더 효과적이고 신속하게 대응할 수 있도록 돕고, 놓치기 쉬운 위협을 탐지하고 조직이 기계 같은 속도로 공격을 예방하고 차단하는 데 도움을 줍니다.
성공을 위한 또 다른 중요 요소는 AI 기반의 발전을 활용하여 엔드포인트 디바이스에서 확장된 탐지 및 대응 능력을 결합하는 것입니다. 앞에서 언급했듯이 오늘날 랜섬웨어 감염의 80% 이상은 직원들이 직무 관련 시스템과 정보에 접근하기 위해 사용하는 관리되지 않은 또는 ’개인 디바이스’에서 발생합니다. 하지만 엔드포인트용 마이크로소프트 디펜더(Microsoft Defender for Endpoint)와 같은 서비스로 관리되면 AI 탐지 기술이 노트북, 휴대폰, 서버와 같은 컴퓨팅 엔드포인트에서의 사이버 공격을 실시간으로 차단하고 무력화시킵니다. 우크라이나의 전쟁 상황은 이러한 보호 기능을 테스트하고 확장하는 데 많은 기회를 제공했으며, 심지어 인간이 감지하기 전에 러시아의 사이버 공격을 식별하고 격파하는 데에도 성공적으로 활용되었습니다.
셋째, 마이크로소프트는 책임 있는 AI 원칙(Responsible AI)을 기반으로 서비스 내에서 AI를 보호하고 있습니다. 우리는 이러한 새로운 AI 기술이 자체적인 안전 및 보안 보호 장치와 함께 전진해야 한다는 점을 인식하고 있습니다. 따라서 마이크로소프트의 책임 있는 AI 원칙과 관행에 따라 서비스에서 AI를 개발 및 사용하고 있습니다. 또한 기술 자체의 변화에 발맞춰 이러한 관행을 발전시키기 위해 주력하고 있습니다.
대부분의 사이버 보안 서비스는 소비자와 조직을 보호하지만, 마이크로소프트는 정부와 국가를 위해 더 강력한 AI 기반 보호 기반을 구축하는 데에도 최선을 다하고 있습니다. 지난주에는 호주에서 하이퍼스케일 클라우드 컴퓨팅 및 AI 인프라를 확장하기 위해 32억 달러를 투자할 것이라고 발표했습니다. 여기에는 마이크로소프트-호주 신호국 사이버 실드(Microsoft-Australian Signals Directorate Cyber Shield, ACS) 개발을 포함하고 있습니다. 호주 정부의 중요한 기관과 협력하여 사이버 위협을 식별, 예방 및 대응하기 위한 공동 능력을 향상시킬 것입니다. 이는 앞으로 AI를 어떻게 발전시켜 나갈지에 대한 좋은 지표로, 전 세계 국가들을 위한 보다 안전한 보호체계를 구축하는 데 기여할 것입니다.
새로운 엔지니어링 기술 발전
새로운 AI 능력 외에도 더 안전한 미래를 위해 기본 소프트웨어 엔지니어링에서의 새로운 발전이 필요합니다. 그래서 찰리 벨(Charlie Bell)은 오늘 아침에 그의 엔지니어링 동료 스콧 거스리(Scott Guthrie), 라제시 자(Rajesh Jha)와 함께 작성한 이메일을 직원들에게 보냈습니다. 이는 시큐어 퓨처 이니셔티브의 일환으로 기술 설계, 구축, 테스트 및 운영하는 방식을 발전시켜 보안에 대한 새로운 표준을 제시합니다.
찰리의 이메일 전문은 여기에서 확인할 수 있습니다. 이를 요약하면 세 가지 핵심 내용을 포함하고 있습니다.
첫째, 마이크로소프트는 자동화와 AI를 통해 소프트웨어 개발 방식을 혁신할 것입니다. 현재 사이버 보안 위협에 대한 도전과 생성 AI가 만들어낸 기회는 안전한 소프트웨어 엔지니어링에 대한 전환점을 만들었습니다. 찰리가 오늘 엔지니어들과 공유한 내용은 2004년에 마이크로소프트가 개발한 보안 개발 수명 주기(Security Development Lifecycle, SDL)의 다음 업그레이드 단계를 나타냅니다. 이제 우리는 이를 ’동적 SDL(dynamic SDL)’ 또는 dSDL로 발전시킬 것입니다. 이를 통해 엔지니어가 시스템과 서비스를 코딩, 테스트, 배포, 운영하는 동안 발생하는 새로운 위협 패턴에 대한 사이버 보안 보호를 지속적으로 통합하는 체계적인 프로세스를 적용할 것입니다. 찰리의 설명에 따르면, 이 프로세스는 AI 기반 보안 코드 분석과 지능형 위협 시나리오에 대한 소스 코드를 감시 및 테스트하는 깃허브 코파일럿(GitHub Copilot)을 비롯한 다른 추가 엔지니어링과 결합될 것입니다.
이 프로세스의 일환으로 우리는 향후 1년 동안 다중 인증(Multifactor Authentication, MFA)에 대해 더욱 안전한 기본 설정을 고객에게 제공할 것입니다. 이로써 현재 기본 정책을 더 넓은 범위의 고객 서비스로 확장하고, 고객이 가장 필요로 하는 보호에 중점을 둘 것입니다. 우리는 이러한 변화가 인해 레거시 컴퓨팅 인프라에 미치는 영향에 대해 매우 민감하게 반응하고 있다는 점을 설명할 것입니다. 또한 새로운 엔지니어링 작업과 광범위한 커뮤니케이션을 통해 기본 설정에 집중하면 이를 통해 생성되는 보안 이점에 대해서도 이야기할 것입니다.
둘째, 고도로 정교한 공격에 대비한 개인정보 보호를 강화할 것입니다. 비밀번호 공격과 같은 개인정보 기반 위협은 지난해 동안 10배로 증가했으며, 국가와 사이버 범죄자들은 로그인 자격 증명을 도용하고 사용하기 위해 더욱 정교한 기법을 개발하고 있습니다. 찰리가 말한 것처럼 마이크로소프트는 모든 제품과 플랫폼에서 사용자, 디바이스, 서비스의 정보와 액세스 권한을 관리하고 확인하는 통일되고 일관성 있는 프로세스를 통해 가장 진보한 개인정보 보호 기능을 적용하여 변화하는 위협에 대응할 것입니다. 또한 이러한 고급 기능을 마이크로소프트 이외의 응용 프로그램 개발자가 자유롭게 사용할 수 있도록 할 것입니다.
이 이니셔티브의 일환으로 기본 프로세스가 손상된 경우에도 키에 액세스할 수 없도록 설계된 아키텍처를 가진 새롭고 완전 자동화된 소비자 및 엔터프라이즈 키 관리 시스템으로 마이그레이션할 것입니다. 이를 통해 당사의 컨피덴셜 컴퓨팅 아키텍처(Confidential computing architecture)와 하드웨어 보안 모듈(HSM)을 활용해 키를 하드웨어에 저장하고 보호하여, 데이터 저장, 전송, 계산 중에도 암호화할 수 있게 됩니다.
셋째, 클라우드 플랫폼의 취약점 대응과 보안 업데이트의 한계를 극복하고 있습니다. 이를 위해 클라우드 취약성을 완화하는 데 걸리는 시간을 50%까지 단축할 계획을 갖고 있습니다. 또한 기술 부문 전반에서 보다 일관된 방식으로 투명한 보고를 장려할 것입니다.
향후 수개월, 수년 동안 이러한 노력에서 얻은 학습과 피드백을 바탕으로 다른 엔지니어링 및 소프트웨어 개발 방식을 추가할 것입니다. 20여 년 전의 신뢰할 수 있는 컴퓨팅(Trustworthy Computing)과 마찬가지로, 시큐어 퓨처 이니셔티브는 마이크로소프트의 모든 사람과 그룹이 사이버 보안 환경 전반을 평가하고 혁신할 수 있도록 할 것입니다.
국제 규범의 강력한 적용
마지막으로, 더 강화된 AI 방어와 엔지니어링 발전이 사이버 공간에서 국제 규범의 강력한 적용이라는 세 번째 중요한 요소와 결합돼야 한다고 생각합니다.
2017년, 마이크로소프트는 디지털 제네바 협약(Digital Geneva Convention)을 촉구했습니다. 이 협약은 사이버 공간에서 국가 및 비국가 행위자의 행동을 규제하는 원칙과 규범을 담고 있습니다. 특히 사이버 위협이 다양화됨에 따라 사이버 공간에서 민간인을 보호하기 위해 필요한 규범을 강화하고 확대해야 한다고 주장했습니다. 그 후 6년 동안 기술 산업과 정부는 해당 분야에서 많은 발전을 이루었고, 우리가 추구하는 본질도 진화했습니다. 그러나 본질적으로 디지털 제네바 협약의 필요성은 그 어느 때보다도 더 강해졌다고 생각합니다.
제네바 협약의 본질은 언제나 선량한 민간인을 보호하는 것이었습니다. 오늘날 우리가 사이버 공간에서 필요로 하는 것은 하나의 협약이나 조약이 아닙니다. 오히려 우리 모두가 의존하는 인프라에 대한 사이버 공격에 더 단호하게 대응하기 위한 국제 사회의 더 강력하고 광범위한 공공의 약속이 필요합니다. 근본적으로 우리는 두 가지 측면에서 국제 규범을 발전시키기 위해 정부, 민간, 시민 사회를 하나로 연결하는 새로운 노력이 필요합니다. 전 세계 마이크로소프트팀은 이러한 노력을 옹호하고 지원하기 위해 최선을 다할 것입니다.
첫째, 우리는 정부가 넘지 말아야 할 핵심 규범을 지지하고 강화하기 위해 더 광범위하고 공개적으로 협력해야 합니다.
우리는 모두 주요 인프라 공급업체의 네트워크에 멀웨어를 설치하거나 기타 사이버 보안 취약점을 생성, 또는 악용하려는 국가 차원의 행위를 규탄해야 합니다. 이는 각국 정부가 수 세기 동안 추구해 온 스파이 활동과는 아무런 관련이 없으며, 오히려 미래의 위기나 분쟁에서 선량한 민간인의 생명을 위협하기 위해 고안된 것으로 보입니다. 21세기에도 제네바 협약의 원칙을 지속적으로 유지하기 위해서는 국제 사회가 이러한 유형의 행위를 명확하고 분명한 레드라인으로 설정해야 합니다.
따라서 모든 국가는 에너지, 물, 식품, 의료 등의 핵심 인프라 공급업체의 네트워크에 소프트웨어 취약점을 설치하지 않을 것을 공개적으로 약속해야 합니다. 또한 자국 영토나 관할 지역 내에서 중요 인프라를 표적으로 삼는 사이버 범죄 행위를 허용하지 않을 것을 약속해야 합니다.
마찬가지로, 지난 한 해 동안 직간접적으로 클라우드 서비스를 표적으로 삼아 민감한 데이터에 접근하거나 중요 시스템을 교란하며 잘못된 정보와 선전을 확산시키려는 국가적 행위가 늘어났습니다. 이제 클라우드 서비스 자체는 신뢰할 수 있는 물, 식량, 에너지, 의료, 정보 및 기타 필수 요소와 같이 우리 사회의 모든 측면에 대해 중요한 지원 요소로 자리 잡았습니다.
이러한 이유로, 국가는 클라우드 서비스를 중요한 인프라로 인식하고 국제법에 따라 공격으로부터 보호해야 합니다.
이는 세 가지 관련 약속으로 이어져야 합니다:
- 국가는 자국 영토 또는 관할 지역 내의 어떤 사람도 클라우드 서비스의 보안, 무결성 또는 기밀성을 저해할 수 있는 사이버 작전에 참여하거나 관여하는 것을 허용하지 않아야 합니다.
- 국가는 스파이 활동을 목적으로 클라우드 서비스의 보안을 무분별하게 침해하지 않아야 합니다.
- 국가는 작전 대상이 아닌 사람들에게 비용을 부과하지 않도록 사이버 작전을 구축하여 수행해야 합니다.
둘째, 각국 정부는 레드라인을 위반하는 국가에 대한 더 큰 책임을 묻기 위해 많은 노력을 기울여야 합니다. 지난 한 해는 이러한 규범을 위반하는 국가 차원의 행동에 대한 확실한 증거가 부족하지 않았습니다. 우리가 지금 필요한 것은 이들 국가에게 책임을 묻고 위법 행위를 반복하지 못하도록 하는 정부의 강력하고 공개적이며 다자적 차원의 통일된 태도입니다.
IT 기업과 민간 부문은 사이버 보안 보호에서 주요한 역할을 하며, 마이크로소프트는 새로운 조치와 더 강력한 대응을 취할 것을 약속합니다. 그러나 특히 국가 차원의 활동에 관련된 사이버 보안은 공동의 책임입니다. 그리고 IT 기업이 더 많은 노력을 기울여야 하는 것처럼, 정부도 더 많은 노력을 해야 합니다. 우리 모두가 함께 협력하면, 더 안전한 미래를 만들 수 있습니다.