지난 6일 미국 시애틀에 있는 MS 본사에서 열린 '사이버 보안 캠퍼스 투어'에서 개최된 'MS 보안 전략 세션'에 참석한 조이 칙 MS 아이덴티티 및 네트워크 액세스 부문 사장은 사티아 나델라 MS 최고경영자(CEO)가 18개월 전 보안 전략을 개별 제품 단위가 아닌 '회사 전체 관점'에서 재편하라고 지시한 것이 SFI의 출발점이라고 설명했다. 칙 사장은 "과거에는 윈도, 애저 등 제품별로 위협 요소에 따로 대응했지만 지금은 공격자들이 환경을 가로질러 이동한다"며 "MS 전체를 하나의 지형으로 보고 위협에 대비해야 한다"라고 말했다.
초기 개편 과정은 순탄치 않았다. 그러나 경영진이 매주 최고리더십회의(SLT)를 열고 주요 위험 요소를 직접 논의하면서 변화가 가속됐다. 칙 사장은 "보안 수준을 스스로 평가하지 않고 CEO와 제품 리더, 이사회까지 전 단계에서 위험을 투명하게 공유해 표준을 맞추는 구조를 만들었다"고 강조했다. 가장 큰 변화 중 하나는 '보안 설계'를 제품 개발의 최우선 기준으로 설정한 점이다. 데이비드 웨스턴 MS OS 보안 부사장은 "은행 건물을 지을 때 벽이 얇으면 경보기를 아무리 최신으로 바꿔도 소용없다"며 "좋은 설계가 보안의 기초"라고 말했다. 그는 최신 암호화, 부품 교체 용이성, 탐지 기능 내재화 등 설계 단계에서 보안 기본기를 강화해야 공격에 대응할 수 있다고 덧붙였다.
이런 변화는 실제 제품 정책에 반영되고 있다. 윈도에서 기본 관리자 권한을 제거하고 자격 증명 보호 기능을 기본 설정으로 전환하는 등 수년간 논의만 이어지던 조치가 SFI 시행 이후 신속히 결정됐다. 웨스턴 부사장은 "앱 호환성 문제나 고객 불편을 우려해 미뤄졌던 결정이 '지금 해야 하는 일'로 받아들여지고 있다"며 "문화가 말이 아니라 행동으로 나타나고 있다"고 말했다. 인공지능(AI)을 활용한 보안 자동화도 빠르게 퍼지고 있다. 대표적인 예가 '브리즈'라는 코드 검사·자동 수정 서비스다. 개발자가 인증 기능을 잘못 쓰면 AI가 "여기에 문제가 있다"고 찾아주고 고친 코드까지 바로 만들어 자동 제출한다. MS에 따르면 브리즈는 최근 1만7000건이 넘는 보안 오류를 자동으로 고쳤고 사람이 했으면 9년 걸릴 일을 대신 처리했다.
전사 보안 거버넌스 체계도 재편됐다. 핵심은 부대표 보안책임자(DCISO) 제도다. 칙 사장은 "제품별 보안 책임자와 회사 전체를 보는 수평적 보안 조직이 360도 관점에서 위험을 점검한다"고 설명했다.
[실리콘밸리 원호섭 특파원]
[ⓒ 매일경제 & mk.co.kr, 무단 전재, 재배포 및 AI학습 이용 금지]
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
