마이크로소프트가 컴퓨터 보안에 대해서 내부적으로 어떻게 보안과 관련된 정책을 수립하고 실행하고 있으며 이를 통해서 기업들을 대상으로 보안에 대한 인식을 강화하고자 하는 백서를 발간하고 이를 인터넷에 공개했다.
<br>
<br>
“마이크로소프트의 보안”(Security at Microsoft)란 이름의 이 백서는 마이크로소프트의 운영과 기술 그룹(OTG, Operations and Technology Group)에서 마이크로소프트 자체적으로 보유한 전 세계 30만대의 컴퓨터와 4,200개의 서버를 안전하게 운영하기 위한 방법과 기술을 자세히 밝히고 있다.
<br>
<br>
이 백서에서 마이크로소프트는 자사의 위기 관리 전략(RMS, Risk Management Strategy)에 대해서 설명하고 있으며 보유한 각각 컴퓨터 리소스를 윈도우 소스 코드를 포함한 서버에서 테스트 서버까지 그 서버가 보유한 리소스 가치에 따라서 클래스를 분류하고 있다고 한다. 마이크로소프트는 또한 이 백서에서 어떻게 잠재적인 위험을 판단하고 이 위험에 대한 위협을 검증한 후에 부여된 가치 클래스에 합당하여 이를 방지하기 위한 적절한 정책을 선택한다고 한다.
<br>
<br>
이 문서에 의하면 마이크로소프트 서버로 칩입 시도가 한달에 10만번이 넘는다고 하며 약 12만 5천통의 바이러스 감염 전자 메일을 받는다고 한다. 또한 외부에서 일하는 원격 사용자들을 통한 침입에서 마이크로소프트 자산을 보호하기 위해서 마이크로소프트는 스마트 카드 기술에 많은 투자를 해왔으며 원격 근로자들에게 6만 5천개가 넘는 스마트 카드를 발행했고 2개 요소의 인증과정을 거쳐야지만 마이크로소프트의 내부 네트웍에 로그온이 가능하다고 한다.
<br>
<br>
마이크로소프트는 최근 OTG를 설립하기 이전에 소스코드 관리나 보안을 관리하기 위한 적절한 시스템을 갖추지 못했었다고 인정했으며 이로 인해서 소스 코드 관리가 과잉 인프라 구축과 비연속적인 과정으로 특징지어졌었다고 인정했다. 이전에는 기업 네트웍의 어떠한 컴퓨터라도 소스 코드가 담겨있는 서버에 접속이 가능했었다고 하며 이로 인해서 기업 네트웍상의 컴퓨터 한대만이라도 해킹된다면 마이크로소프트의 가장 중요한 자산인 소스 코드가 담겨있는 서버로의 접속이 가능했을 수도 있었다고 한다.
<br>
<br>
한편 자사 네트웍의 시스템에 대한 소프트웨어 패치에 대해서도 마이크로소프트는 매우 조심스러운 자세를 취한다고 밝혔다. 마이크로소프트는 중앙에서 네트웍의 시스템에 대해서 패치 레벨을 마이크로소프트의 시스템 관리 서버 2003 (Systems Management Server 2003)를 이용해서 감시하며 엔드 유저의 침해 없이 보안 패치를 적용한다고 밝혔다. 또한 사용자들이 인증 없이 보안 패치 관리 기능을 사용하지 않는 것을 금지한다고 이 문서에서 밝혔다.
<br>
<br>
마이크로소프트의 이번 문서에서 비교적 솔직히 내부 보안 운영에 대해서 밝힌 것은 마이크로소프트가 자체적으로 고객들과의 보안과 관련된 의견 교환을 개선시키기 위한 것이라고 마이크로소프트는 밝혔다.
<br>
<br>
마이크로소프트는 이번 백서 발간 이외에도 보안 담당 수석 경영진을 내보내어 월별로 웹을 통해서 보안과 관련된 방송을 시작하였다. 이들은 방송에서 IT 전문가들이 하는 보안과 관련된 질문에 답변을 하고 마이크로소프트 제품에 대한 보안 강화에 대한 정보에 대해서 언급한다. 또한 마이크로소프트는 새로운 보안 포탈인 IT Pro Security Zone을 출범하였다. 이 포탈에는 보안성을 높이기 위한 사례들을 공개하고 보안 전문가들과의 접촉을 주선하게 된다. 이 포탈에는 마이크로소프트의 MVP(Most Valuable Professionals), 고객, 컨설턴트 등이 참여하게 된다. 이 포탈은 기존 엔드 유저 보다는 IT 전문가/관리자들을 대상으로 기술적인 문제에 대한 리소스를 제공한다.
<br>
<br>
한편 이 백서에 대해서 대부분은 긍정적인 반응을 보였지만 마이크로소프트가 고객, 혹은 일반 대중과의 관계를 개선하는 것 이외에 그다지 기술적으로 새로운 내용은 없다는 반응도 나오고 있다. 또한 마이크로소프트같이 거대 기업 이외에는 마이크로소프트가 현재 내부적으로 채용하는 보안 정책을 수용할 만한 예산이 없다는 것에서 크게 도움이 될만한 기술적 내용은 없다는 비판도 있다. 또한 이 문서에는 마이크로소프트의 보안 프로젝트에 대한 사례가 적다는 것도 단점으로 지적된다.
<br>
<br>
마이크로소프트는 이 문서에서 네트웍상에서 관리되는 컴퓨터와 관리되지 않는 컴퓨터를 분리하는 사례 하나만을 언급했다. 물론 이 프로젝트도 완료된 것은 아니고 현재 진행중이라고 한다.
<br>
<br>
여하튼 기업 네트웍의 보안에 대해서 책임을 지고 있고 마이크로소프트의 제품이 기업 네트웍에 사용되고 있다면 마이크로소프트의 솔직한(?) 고백을 한번쯤 관심을 가지고 읽어볼만하다. 마이크로소프트의 내부 보안 백서는 마이크로소프트의 홈페이지에서 볼 수 있다.
<br>
<br>
<!-- -->
