“보안을 잘하려면 처음부터 튼튼한 집을 지어야 합니다. 집 설계 단계부터 침투 경로나 취약한 곳을 파악해 조치하면 피해는 현저히 줄어듭니다.”
9월 초 한국마이크로소프트 최고정보보호책임자(CISO)가 된 김명호 박사는 마이크로소프트 보안 전략을 집 짓기에 비유했다. 집을 다 지은 후 담을 높이고 창문에 창살을 붙이는 것보다 설계부터 도둑 침입을 최소화한 건축을 추구한다. 그는 취임 후 처음으로 마이크로소프트 보안 전략을 전자신문에 소개했다.
그는 “마이크로소프트 비즈니스 근간은 보안에서 시작한다”면서 “마이크로소프트 운영 자체가 보안 수준을 증명 한다”고 설명했다. 마이크로소프트를 운영하는 모든 솔루션과 서비스를 그대로 고객에게 판매하기 때문이다.
마이크로소프트는 ID부터 장비, 앱과 데이터, 인프라를 총체적으로 보호하는 `사이버 보안 플랫폼` 전략을 확장한다. 윈도, 애저, 오피스365에 보안 기능이 모두 들어갔다.
김 CISO는 “디지털 트랜스포메이션 시대에 다양한 기술이 쏟아지고 있는데 이를 습득할 시간이 없다”면서 “최근 사이버 위협은 각 분야마다 대응하는 보안 솔루션으로 막기 어렵다”고 강조했다. IT 솔루션과 서비스에 보안이 내재화해야 한다는 설명이다. 클라우드 서비스를 도입할 때 신뢰할 수 있는 수준인가가 선택 포인트다. 제품 도입 초기부터 튼튼한지 꼼꼼히 따지라는 설명이다.
그는 “마이크로소프트 클라우드 서비스나 솔루션을 이용하면 비즈니스를 영위하는데 문제가 없는 수준의 보안이 제공된다”고 설명했다. 마이크로소프트는 매일 3000억개에 달하는 사용자 인증을 처리한다. 매달 10억대 윈도 기기에 매달 업데이트를 배포하며 2000억개 이메일을 분석해 악성코드와 스팸을 제거한다.
김 CISO는 “마이크로소프트는 그 어떤 기업보다 많은 사이버 보안 위협 인텔리전스를 습득하고 분석하는 환경을 갖췄다”면서 “사이버보안 플랫폼과 인텔리전스, 파트너 협력으로 생태계를 완성한다”고 말했다. 마이크로소프트는 전세계 사이버 위협 인텔리전스를 습득하고 각 서비스에 바로 배포한다.
그는 “고객은 비용과 위험도를 따져 마이크로소프트 제품 내에 포함된 보안 기능 라이선스를 구매하면 된다”며 “각 제품에 최적화된 보안 서비스를 받을 수 있다”고 말했다.
김인순 보안 전문기자 insoon@etnews.com
