"우리는 보안과 컴플라이언스, 신원 확인, 기기 관리를 상호의존적인 전체로서 다루는 것, 그리고 마이크로소프트(MS) 제품 여부를 떠나 모든 데이터와 기기, 신원확인, 플랫폼, 클라우드에 대해 보호를 확장하는 것이 올바른 접근이라고 믿는다."
2일(미국시간) MS가 온라인으로 개최한 기술 컨퍼런스 '이그나이트 2021'에서 바수 자칼(Vasu Jakkal) MS 보안·컴플라이언스·아이덴티티 부문 부사장은 '제로트러스트'의 중요성을 강조하면서 이같이 말했다.
제로트러스트는 안전한 내부와 그렇지 않은 외부 영역을 구분짓지 않고 보안을 구축하는 모델을 뜻한다. 해킹이 갈수록 정교해지고, 기업·기관 내 보안 체계가 계속 복잡해지고 있는 상황에서 추구해야 할 전략으로 주목했다.
이에 어떤 IT 환경을 갖추고 있더라도, 시스템 내 모든 영역에 대해 '제로트러스트'를 구현할 수 있도록 지원하겠다는 뜻을 밝힌 것이다.
이그나이트 2021에서 자칼 MS 부사장은 이같이 말하며 제로트러스트를 지원하는 보안 분야 기술 혁신 내용들을 소개했다.
■계정 관리 : '패스워드 없는 인증' 지원 확대
MS는 자사 클라우드 기반 계정 관리 솔루션 '애저 액티브디렉토리(AD)'에서 패스워드 없는 인증을 적용할 수 있도록 지원한다. 생체인증 시스템 '윈도 헬로' 기업용 버전, 모바일 MS 계정관리 앱 'MS 오센티케이터' 등 앱 서비스와 MS 보안 소프트웨어 파트너인 유비코, 페이티엔, 어센틱트렌드 등에서 제공하는 FIDO2 보안 키를 사용한 로그인이 가능해진다.
일시적으로 유효한 코드를 사용해 자격증명 및 자격증명 갱신이 가능한 '임시 접근 패스' 기능도 선보였다.
애저 AD에서 계정 관리 정책을 담당하는 엔진 '애저 AD 컨디셔널 액세스'에는 맥락인증 기술이 도입된다. 사용자 행동에 따른, 세분화된 계정 관리 정책을 적용하는 것이다. 여기에는 계정에서 접근을 시도하는 데이터의 민감도나 사용 중인 앱 등의 정보가 반영된다.
렉시스넥시스, 온피도, 소큐어 등 신원확인 검증 전문업체들과 협업해 사용자의 자격증, 교육 수료증 등의 정보를 직접 수집 및 보관하지 않고도 확인하는 기능인 '애저 AD 베리파이어블 크리덴셜'도 몇 주 내 공개될 예정이다. 일본 게이오 대학교, 플람스 정부, 영국 국가보건서비스(NHS) 등이 이 기능을 이미 시범 도입했다고 밝혔다.
■보안 : 도구 통합
MS는 제로트러스트를 구현하는 데 있어 보안 체계의 복잡성과 파편화 정도가 장애물로 작용한다고 지적했다. 그러면서 전체 플랫폼과 클라우드를 통틀어 가시성을 제공하는 통합 보안 솔루션이 해결책이 될 수 있다고 봤다.
그러나 벤더마다 엔드포인트 또는 메일 보안 솔루션, 보안정보이벤트관리(SIEM) 도구 등 제공하는 솔루션 종류가 달라 보안 체계 통합에 오랜 시간이 걸리고 있다는 설명이다.
이런 문제에 대해 MS는 SIEM과 다계층 위협 탐지 및 대응(XDR) 도구를 결합 제공함으로서 통합적인 접근이 가능하다고 제안했다. 회사는 엔드포인트 보안 솔루션인 'MS365 디펜더'와 SIEM '애저 센티넬'의 사용자 환경이 호환되도록 지원할 예정이다.
같은 맥락에서 MS는 보안 솔루션 'MS 디펜더'의 엔드포인트용 버전과 오피스365용 버전 사용자에 대해, 'MS 365 보안 포털'에서 전체 보안 상황에 대한 모니터링과 위협 탐지 및 대응이 가능하도록 지원한다.
성행하는 사이버위협을 파악하고, 피해를 예방할 수 있도록 MS 보안 전문가 보고서도 제공한다.
그 외 사물인터넷(IoT) 및 하이브리드 클라우드 환경에서 사용되는 펌웨어를 노린 공격으로부터 시스템을 보호하기 위해 펌웨어의 신뢰성을 제한하는 '시큐어코어'를 윈도 서버와 엣지 기기에 도입할 예정이다.
■컴플라이언스 : MS 플랫폼 내·외부 데이터 통합 관리
규제 준수(컴플라이언스) 측면에서 제로트러스트를 구현하기 위해 MS는 시스템 내·외부에서 생산, 저장되는 데이터에 대한 보호 및 관리가 이뤄져야 한다고 언급했다.
이를 위해 여러 클라우드, 플랫폼 상에 존재하는 다수의 사용자가 MS365로 동시 작업하는 문서, 메일 등을 윈도 기반 파일 암호화 솔루션 'MIP'로 보호한다.
관련기사
- MS, 윈도서버2022 연말 출시2021.03.03
- 클라우드에 올인하는 MS, 애저·팀즈·MR 새 기능 대거 공개2021.03.03
- "헤드셋 쓰고 가상공간에서 협업"...MS, MR 플랫폼 메시 공개2021.03.03
- 클라우데라, AWS·MS 애저에서 DB 플랫폼 상용화2021.03.02
또한 내부 구성원에서 기인한 위협을 관리하기 위해 MS365 사용자 개개인의 잠재적 위협 활동을 식별하고, 이를 보안 정책 구성에 반영할 수 있도록 분석 정보를 제공한다. 이와 함께 구글 브라우저 '크롬'과 온프레미스 협업 도구 '쉐어포인트 서버' 환경에서 정보유출방지(DLP) 기능도 지원한다.
데이터 거버넌스 서비스 '애저 퍼뷰'의 데이터 통합 관리 기능도 강화했다. MIP와 통합해 MS365 컴플라이언스 센터에서 정의한 민감 정보 구분을 타 클라우드와 온프레미스 데이터에 동일하게 적용할 수 있게 했다. AWS 심플 스토리지 서비스(S3), SAP 전사적자원관리(ERP) 'ECC'와 'S4/HANA', 오라클 데이터베이스 상의 데이터 검색 및 분류가 가능해진다.