MS "보안이 최우선"…제품별 대응서 회사전체 방어로 전환 작성일 11-24 30 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">美시애틀 본사서 SFI전략 발표<br>윈도 위험하면 애저도 악영향<br>MS 생태계 관점에서 보안 대응<br>AI가 취약점 1만7000건 해결도</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="464E6Ie4vr"> <figure class="figure_frm origin_fig" contents-hash="9158caeff950140be08b297bd421c953fda52c93683602b8bff34aaed3e09943" dmcf-pid="8P8DPCd8lw" dmcf-ptype="figure"> <p class="link_figure"><img alt="지난 17일 시애틀 MS 본사에서 개최된 사이버 보안 캠퍼스 투어에서 데이비드 웨스턴 MS 부사장, 조이 칙 MS 사장(왼쪽부터)이 이야기하고 있다." class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202511/24/mk/20251124163212698lrjj.jpg" data-org-width="1000" dmcf-mid="f1QmMSnQvm" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202511/24/mk/20251124163212698lrjj.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 지난 17일 시애틀 MS 본사에서 개최된 사이버 보안 캠퍼스 투어에서 데이비드 웨스턴 MS 부사장, 조이 칙 MS 사장(왼쪽부터)이 이야기하고 있다. </figcaption> </figure> <p contents-hash="bcd35af085db8bec24556ae01625c0e8d79b1d2ef693786f32d24e3fbc12806a" dmcf-pid="6Q6wQhJ6vD" dmcf-ptype="general">마이크로소프트(MS)가 전사적 보안 체질 개선을 목표로 추진 중인 '보안 우선 원칙(SFI·Secure First)' 전략의 핵심 내용을 밝혔다. 최근 보안 사고와 급변하는 위협 환경에 대응하기 위해 제품 개발·운영 전 과정에서 '보안을 가장 먼저 고려하는 문화'를 정착시키겠다는 것이다.</p> <p contents-hash="2389831e27145e28fdca2e81c3c3e2aa7d2fb0f57f50cbbaabb6e75e52e88c44" dmcf-pid="PxPrxliPvE" dmcf-ptype="general">지난 6일 미국 시애틀에 있는 MS 본사에서 열린 '사이버 보안 캠퍼스 투어'에서 개최된 'MS 보안 전략 세션'에 참석한 조이 칙 MS 아이덴티티 및 네트워크 액세스 부문 사장은 사티아 나델라 MS 최고경영자(CEO)가 18개월 전 보안 전략을 개별 제품 단위가 아닌 '회사 전체 관점'에서 재편하라고 지시한 것이 SFI의 출발점이라고 설명했다. 칙 사장은 "과거에는 윈도, 애저 등 제품별로 위협 요소에 따로 대응했지만 지금은 공격자들이 환경을 가로질러 이동한다"며 "MS 전체를 하나의 지형으로 보고 위협에 대비해야 한다"라고 말했다.</p> <p contents-hash="f998a1ddd39e7d1563b99e250930afa70c6fb4b7099b26a3baacea6669a09d96" dmcf-pid="QMQmMSnQSk" dmcf-ptype="general">초기 개편 과정은 순탄치 않았다. 그러나 경영진이 매주 최고리더십회의(SLT)를 열고 주요 위험 요소를 직접 논의하면서 변화가 가속됐다. 칙 사장은 "보안 수준을 스스로 평가하지 않고 CEO와 제품 리더, 이사회까지 전 단계에서 위험을 투명하게 공유해 표준을 맞추는 구조를 만들었다"고 강조했다. 가장 큰 변화 중 하나는 '보안 설계'를 제품 개발의 최우선 기준으로 설정한 점이다. 데이비드 웨스턴 MS OS 보안 부사장은 "은행 건물을 지을 때 벽이 얇으면 경보기를 아무리 최신으로 바꿔도 소용없다"며 "좋은 설계가 보안의 기초"라고 말했다. 그는 최신 암호화, 부품 교체 용이성, 탐지 기능 내재화 등 설계 단계에서 보안 기본기를 강화해야 공격에 대응할 수 있다고 덧붙였다.</p> <p contents-hash="c1106db11e262aaac1131074000c203f908c75e6ceff628d748e0f7450b5dcd1" dmcf-pid="xRxsRvLxlc" dmcf-ptype="general">이런 변화는 실제 제품 정책에 반영되고 있다. 윈도에서 기본 관리자 권한을 제거하고 자격 증명 보호 기능을 기본 설정으로 전환하는 등 수년간 논의만 이어지던 조치가 SFI 시행 이후 신속히 결정됐다. 웨스턴 부사장은 "앱 호환성 문제나 고객 불편을 우려해 미뤄졌던 결정이 '지금 해야 하는 일'로 받아들여지고 있다"며 "문화가 말이 아니라 행동으로 나타나고 있다"고 말했다. 인공지능(AI)을 활용한 보안 자동화도 빠르게 퍼지고 있다. 대표적인 예가 '브리즈'라는 코드 검사·자동 수정 서비스다. 개발자가 인증 기능을 잘못 쓰면 AI가 "여기에 문제가 있다"고 찾아주고 고친 코드까지 바로 만들어 자동 제출한다. MS에 따르면 브리즈는 최근 1만7000건이 넘는 보안 오류를 자동으로 고쳤고 사람이 했으면 9년 걸릴 일을 대신 처리했다.</p> <p contents-hash="a3588199abcc7b8690dce5053de176dd7424a0260b148d51736dca55e276bd2f" dmcf-pid="yYy9YP1yyA" dmcf-ptype="general">전사 보안 거버넌스 체계도 재편됐다. 핵심은 부대표 보안책임자(DCISO) 제도다. 칙 사장은 "제품별 보안 책임자와 회사 전체를 보는 수평적 보안 조직이 360도 관점에서 위험을 점검한다"고 설명했다.</p> <p contents-hash="7630809a5b5eeac6c00f8de0464bd6862d4d3f9a3e0f4de182180458afb13cd6" dmcf-pid="WGW2GQtWyj" dmcf-ptype="general">[실리콘밸리 원호섭 특파원]</p> </section> </div> <p class="" data-translation="true">Copyright © 매일경제 & mk.co.kr. 무단 전재, 재배포 및 AI학습 이용 금지</p> 관련자료 이전 제로베이스원, 잘생김 넘버원(입국)[뉴스엔TV] 11-24 다음 미래 제품·공장·도시 가상공간에 재현 … 제조업 혁신 이끈다 11-24 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
