예전에 Microsoft 365 계약을 했다고 알려드린 적이 있습니다. 이런 저런 고민이 있었습니다만, Microsoft 365 Business Premium을 계약했습니다. 이 제품은 이름 그대로 Microsoft 365, 즉, 오피스를 포함하면서도 기업보안을 위한 여러 솔루션이 올인원으로 갖춰져 있습니다.
우선, Microsoft Defender for Business(MDB)라는 중소기업(SMB)용 Microsoft Defender for Endpoint(MDE, 구 명칭 Microsoft Defender Advanced Threat Protection)의 수정 버전이 들어갑니다. 관리 노력을 줄이기 위해서 상당 부분의 기능은 대기업용인 Microsoft 365 E5에 포함된 MDE P2의 기능을 답습하면서도 관리자가 손을 댈 수 있는 부분은 적어, 적은 부담과 간소화된 셋팅으로 거의 대기업 수준의 보안을 한번에 도입할 수 있어 매력적입니다.
Microsoft 365 Business Premium은 위에서 보시듯, 굉장히 여러가지를 포함한 종합 번들이고, Microsoft 365 for Office 365 Plan 1라는 클라우드 저장소나 메일에 대한 보안 기능이 포함되어 있습니다. 그뿐 아니라, Intune(구 명칭 Microsoft Endpoint Manager)과 Entra ID(구 명칭 Azure Active Directory)를 이용해 윈도우에서 로그인 하는 것만으로 온보딩하여 관리하고, 규제하며 추가적으로 Purview 등을 이용해 데이터의 유출 방지(DLP)나 유출시에 로그가 남아 감사를 할 수 있도록 되어 있습니다. 또, Intune을 이용해 기기를 제어 할 수 있어, 허가 받지 않은 USB의 사용 등을 규제할수도 있습니다.
MDB로 다시 돌아와서, 클라우드와 시그니처의 하이브리드 NGAV(대부분의 여러분이 윈도우에서 보시는 그것)을 관리자가 중앙통제 방식으로 제어할 수 있으며, 악성코드가 파일/파일리스로 침입한 경우, 일차적으로 Microsoft Defender Antivirus가 EPP로서 동작합니다. Defender Antivirus가 제지를 성공 할 경우 경고가 나오고 관리자 화면에 분석 내용이 나오고 사건은 자동으로 종결됩니다. MDB는 자동 조사 및 수정(AIR)과 EDR을 포함하고 있기 때문에, 만에 하나 EPP가 제지하지 못해 암호화나 유출 등 이상동작을 일으킬 경우, 이를 재빠르게 경고하고 해당기기를 네트워크에서 격리하는 일련의 과정이 전자동으로 이뤄집니다. 클라이언트를 감시하고 있다가 마이크로소프트의 클라우드 상 위협 인텔리전스에 일치되는 행동 징후(패턴)가 감지 될 경우 이를 최대한 빠르게 격리, 복구 등을 시도해서 랜섬웨어 암호화 등 최악의 사태를 방지하고, 최악의 사태가 벌어져도 횡단적으로 네트워크를 통해 확산되어 피해가 확산되는 위기 시나리오를 막게 됩니다.
보통 개인용/소규모 기업용 안티바이러스 소프트웨어는 일단 ‘어떻게서든 보안 사고가 벌어지는 것을 막는 것’에 중점을 둡니다만, 이러한 솔루션은 표적화, 난독화등으로 인해 ‘벌어지는 것을 완전히 막는 것이 불가능에 가까우므로, 그 이후의 피해를 최소한으로 봉쇄하는데 그 역할이 있습니다. 관리자는 알려진(악용된/악용되지 않은) MS/서드파티 소프트웨어 취약점에 대한 각 PC등의 대처 상황을 한눈에 볼 수 있고, 사전에 악용되기 쉬운 공격 측면에 대한 사전 봉쇄(공격면 감소;ASR)를 구성할 수도 있게 됩니다. 이러한 일련의 대책을 통해 보안을 높은 수준으로 유지할 수 있습니다.
보통 이런 기업용 보안에 있어서는 소위 신뢰 할 수 있는 구획이 있어, 요컨데 회사 내부 망을 IPS나 방화벽 등으로 둘러싸고 회사 망에 접속한 PC나 기기들을 감시, 보호하게 됩니다. 그러나 이제는 회사 외부에서 원격으로 자료를 열람하거나, 회사 내부에 사용자가 반입한 BYOD가 너무 자연스러운 시대가 되었습니다. 그런 시대에 발맞추어 Microsoft 365 Business Premium에 포함된 모든 구조는 제로 트러스트 사상에 맞추어 설계되었습니다. 회사 자원에 접근하기 위해 회사에 로그인 할 때부터 2단계 인증을 거치게 되어 있고, 어떤 네트워크에 붙던 간에 모든 리퀘스트는 인증, 검증되게 되어 있습니다.
마이크로소프트는 근년 빠르게 클라우드 중심 회사로 거듭나고 있어, 워크그룹/도메인 방식에서 클라우드 방식으로 전환을 권장하고 있습니다. 특히 Microsoft 365 Business Premium에 포함된 Microsoft Defender for Office 365 Plan 1 등을 보면 그것이 명징하게 드러납니다. 아까 설명드린 Purview DLP와 함께 작동하며, 바깥에서 오는 사칭 메일이나 사기 메일, 피싱 메일, 악성 코드가 포함된 메일을 걸러내고, 안쪽에서 고객 자료나 민감 자료를 발송시 규제하거나 경고를 관리자에게 보내게 되어 있습니다. 이는 Teams나 OneDrive 등 다른 Microsoft 어플리케이션에서도 적용됩니다. 예를 들어 회사 자료를 회사 OneDrive 외에 저장하지 못하도록 설정 할 수 있게 됩니다.
해서, Office와 1TB OneDrive에 더해서 이러한 모든 보안 기능이 더해져서 하나의 패키지로 제공하는 것이 최대의 강점입니다. 또, 하나의 보안 사고에 관하여 유입과정부터 해결까지의 전 과정을 하나의 솔루션으로 관리 할 수 있다는 점이 장점이기도 합니다.
이 솔루션의 계약 자체는 심지어 1명부터도 가능합니다. 최대 300명의 사용자까지 수용하게 되어 있습니다. 그러나 솔직히 따라오는 기능이 원체 많은지라 이를 구성하기 위해서 Intune부터 시작해서 몇개의 콘솔 웹 페이지를 열고 사용법을 익혀야 할 필요성이 있습니다. 아마 서드파티라면 하나의 콘솔로 될 지도 모르는 노릇이지만요.
많은분들께서, 그리고 저 역시 마이크로소프트의 보안 솔루션을 얼마나 믿을 수 있는지 고민을 많이 했습니다만, 윈도우에서 발신, 수집되는 수많은 시그널은 업계 최다 수준이고, 그에 걸맞게 마이크로소프트의 보안 부분만 떼어도 연 매출 200억 달러 규모로 세계 최대급 보안 업체라고 합니다. 개인용/기업용 제품의 제3자 평과 기관의 평가도 준수한 편이며, Gartner/Forrester’s 등 업체의 평가에서도 최상위권을 유지하고 있습니다. 제대로 된 백신 조차 제공을 못하던 시절을 생각하면 격세지감을 느낍니다.