🔐 마이크로소프트의 보안 대개편! Secure Future Initiative 진짜 효과 있을까?

2023년 여름, 마이크로소프트의 Exchange Online 시스템이
중국의 사이버 스파이 그룹 Storm-0558에게 침해당했다는 뉴스 기억하시나요? 🧨
그 충격적인 사건은 단순한 기술 결함이 아닌, 구조적인 보안 태만에서 비롯된 것으로 밝혀졌고,
이는 마이크로소프트의 전사적 보안 체계 개편이라는 후폭풍을 불러왔어요.

이에 따라 마이크로소프트는 2023년 11월,
대대적인 보안 강화를 위한 Secure Future Initiative(SFI)를 발표했는데요.
최근, 그 성과가 하나둘 공개되면서 보안 업계의 이목을 집중시키고 있어요.

---

🧹 비활성 Azure 테넌트 63만 개 정리 완료

가장 먼저 눈에 띄는 건 비활성 Azure 테넌트 정리 작업입니다.
마이크로소프트는 작년 9월 이후 55만 개 이상의 비활성 테넌트를 제거했으며,
전체적으로는 630만 개에 달하는 테넌트를 정리했어요.
이건 단순한 정리 작업이 아니라, 불필요한 공격 표면을 줄이는 보안 강화 조치입니다.

---

🧠 클라우드와 네트워크 자산 가시성 확보

기업 보안의 첫걸음은 "내가 뭘 가지고 있는지 정확히 아는 것"입니다.
마이크로소프트는 SFI 추진 이후 다음과 같은 자산 인벤토리 작업을 수행했어요:

• ✅ 전체 네트워크 자산의 99%를 중앙 저장소에 등록
• ✅ 가상머신, 스토리지, DB 등 88%를 Azure Resource Manager로 이관
• ✅ Azure DevOps 릴리즈 파이프라인 99% 인벤토리 완료
• ✅ MFA 적용, 관리자 권한 축소, 네트워크 격리 강화

이제는 보안 기준을 코드 작성 및 배포 과정에 내재화하고,
모든 제품 팀마다 부보안책임자(Deputy CISO)를 두는 등 조직 전체의 책임체계까지 바꿨어요. 💪

---

🪪 Entra ID 토큰도 안전하게?

이번 보고서에서 주목할 부분은 Entra ID 토큰 검증 표준화입니다.

ESTSAUTH와 ESTSAUTHPERSISTENT라는 인증 쿠키를 통해 MFA를 우회하거나
세션을 탈취할 수 있다는 'Cookie Bite' 공격 벡터가 최근 보안 연구자들에 의해 보고되었는데요,
이에 대한 대응으로 마이크로소프트는 하나의 하드닝된 SDK로 90%의 토큰 검증을 통합했다고 밝혔습니다.

즉, 토큰 발급 및 검증이 표준화되어 일관된 보안 적용과 빠른 패치 대응이 가능해졌다는 뜻이죠. 😌

---

🔐 MSA 키 보관도 더 안전하게

보안의 핵심은 암호화 키 관리입니다.
마이크로소프트는 이제 Microsoft 계정(MSA) 및 Entra ID의 토큰 서명 키를 하드웨어 보안 모듈(HSM)과
Azure 기밀 VM(Confidential VM)에 저장해요.
키 자동 회전도 적용해서 유출 리스크를 줄였어요.

이러한 조치는 과거 Storm-0558 사건에서 토큰 서명 키가 유출된 일이 재발하지 않도록 하는 근본적인 보안 체계 개선입니다. 🔒

---

📣 보안 업계의 평가는?

Sectigo의 보안 전문가 Jason Soroko는 "좋은 시작이지만 아직 부족하다"며 다음과 같은 개선점을 지적했어요:

• 👉 모든 토큰과 고객 테넌트를 새로운 SDK로 전환해야 함
• 👉 제3자 앱에도 하드웨어 기반 인증서 적용 필요
• 👉 토큰 위조 방지를 위한 메모리 안전 코드와 지속적인 외부 레드팀 점검 필요

또한 Black Duck의 Jamie Boot는 이번 보안 개편을
"2002년 신뢰할 수 있는 컴퓨팅(Trustworthy Computing) 선언과 유사한 흐름"이라고 평가하며,
보안 문화 내재화와 개발자 보안 툴 제공에 방점을 두어야 한다고 강조했어요.

---

✅ 결론: 아직 끝난 게 아니다!

지금까지의 SFI 결과만 보면 마이크로소프트가 "보안 문제를 진심으로 개선하려는 의지"를 보인 건 확실해요.
하지만 아직도 완전한 토큰 통합, 서드파티 보안 강화, 지속적인 침투 테스트 등이 남아있어요. 💡

중요한 건 ‘속도’가 아니라 ‘지속성’입니다.
보안은 일회성 캠페인이 아니라, 지속적이고 체계적인 변화를 요구하죠.