Microsoft, Secure Future Initiative의 진행 상황 공개

Microsoft는 새로운 보고서에서 가장 중요한 보안 변환 노력에 대한 광범위한 세부 정보를 공개하여 Secure Future Initiative(SFI)에서 상당한 진전을 이루었습니다. 이 이니셔티브는 수년간의 보안 문제와 Microsoft의 보안 문화의 부적절함을 강조하는 미국 사이버 안전 검토 위원회의 중요한 보고서 이후에 이루어졌습니다. Microsoft CEO Satya Nadella가 보안을 무엇보다도 우선시해야 한다고 발표한 지 거의 6개월 만에 이 기술 거대 기업은 상당한 진전을 이루었습니다.

이 회사는 2023년 11월에 SFI를 시작했는데, 이는 미국 사이버 안전 검토 위원회의 혹독한 보고서에서 Microsoft의 보안 문화가 전면적인 개편이 필요하다고 밝힌 직후였습니다. 오늘날 Microsoft는 SFI에 전념하는 정규직 엔지니어 34,000명에 해당하는 인력을 고용하고 있으며, 이는 회사 역사상 가장 중요한 사이버 보안 엔지니어링 노력이라고 말합니다. 회사의 성과 평가가 업데이트된 후, 모든 Microsoft 직원은 이제 보안에 대한 기여도에 따라 평가됩니다.

이러한 변경 사항으로 인해 Microsoft의 보안 프로세스가 여러 가지 개선되었으며, 여기에는 Entra ID 및 Microsoft Account(MSA) 시스템 업데이트가 포함됩니다. 이러한 시스템은 이제 Azure 관리 하드웨어 보안 모듈을 사용하여 액세스 토큰 서명 키를 생성, 저장 및 자동으로 회전하여 보안을 크게 강화합니다. 또한 Microsoft는 575만 개의 비활성 테넌트를 제거하여 잠재적인 공격 표면을 줄였습니다.

이제 레거시 시스템이 초래하는 위험을 완화하기 위해 보안 기본값을 테스트하는 새로운 시스템이 도입되었습니다. Microsoft의 물리적 네트워크의 99% 이상이 이제 중앙 인벤토리 시스템에서 추적되어 펌웨어 규정 준수 및 로깅에 도움이 됩니다. 감사 로그는 최소 2년 동안 보관되어 보안 조치를 더욱 강화합니다.

Microsoft 엔지니어링 팀은 개인 액세스 토큰 기간이 단 7일로 단축되고, 모든 내부 엔지니어링 리포지토리에 대한 SSH 액세스가 비활성화되고, 주요 엔지니어링 시스템에 액세스할 수 있는 그룹 수가 감소하는 것을 보았습니다. 이전에는 보안 문제에 대한 느린 대응으로 비판을 받았지만, Microsoft는 이제 고객 조치가 필요하지 않더라도 투명성을 높이기 위해 CVE를 적극적으로 게시합니다.

Microsoft의 보안 문화 개편

Microsoft의 엔지니어링 프로세스와 보안 문화를 혁신하는 것은 복잡한 작업입니다. 이 회사는 100,000명의 엔지니어, 디자이너, 프로젝트 관리자를 고용하여 500,000개 이상의 작업 항목을 처리하고 매달 500만 개의 빌드를 생성합니다. Microsoft는 이러한 혁신을 달성하기 위해 “Start Right, Stay Right, and Get Right” 접근 방식을 구현했습니다.

이 전략은 프로젝트가 처음부터 보안 표준을 준수하고, 지속적으로 모니터링되며, 규정 준수를 유지하기 위해 정기적으로 감사를 받도록 보장합니다. Microsoft는 또한 새로운 Cybersecurity Governance Council을 설립하고 4명의 신규 직원을 포함하여 13명의 부 CISO(Chief Information Security Officer)를 임명했습니다. 이러한 새로운 부 CISO는 다양한 산업 및 역할에서 풍부한 경험을 제공합니다.

데이먼 베크넬은 규제 산업 담당 부사장 겸 부CISO로, 이전에 ID.me와 Horizon Blue Cross Blue Shield에서 CISO를 역임했습니다.

Geoff Belknap, 핵심 및 합병/인수 담당 기업 부사장 겸 부CISO 이전에는 LinkedIn과 Slack의 CISO였고 Palantir의 CSO였습니다. Shawn Bowen, 게임 담당 부사장 겸 부CISO 엔지니어링 및 보안 분야에서 27년의 경력을 쌓았으며, World Kinect와 US Marine Corps Intelligence에서의 역할도 포함되었습니다. 정부 부문 부사장 겸 부CISO인 Timothy Langan은 FBI에서 26년간 근무한 후 Microsoft에 합류했습니다.

나머지 9명의 부 CISO는 Microsoft의 노련한 임원으로, 여기에는 Azure CTO 역할과 함께 Azure의 부 CISO로 임명된 기술 펠로우 Mark Russinovich가 포함됩니다. Microsoft의 고위 리더십 팀은 이제 매주 SFI 진행 상황을 검토하고 이사회에 분기별 업데이트를 제공합니다. 또한 Microsoft는 7월에 보안 기술 아카데미를 시작하여 모든 직원에게 일상적인 운영에서 보안의 중요성을 강조하기 위한 지속적인 교육을 제공합니다.

이 포괄적인 교육, 성과 평가, Microsoft의 고위 경영진의 감독은 회사의 보안에 대한 헌신을 강조합니다. Microsoft의 보안 책임자는 “투명성과 산업 협력에 대한 우리의 헌신은 변함없습니다.”라고 말했습니다. 이러한 지속적인 학습 및 개선 문화를 육성함으로써 우리는 보안이 단순한 기능이 아니라 기반이 되는 미래를 구축하고 있습니다.