[SC-900] 플랫폼 보안을 지탱하는 기초 이해: Defender와 Zero Trust

2025.06.08 - [MS Azure, AI] - [SC-900] SC-900이 뭐길래? 클라우드 시대의 보안 기초 자격증

2025.06.09 - [MS Azure, AI] - [SC-900] 시험 포맷 완전 해부: SC-900 응시 정보부터 문제 유형까지

2025.06.10 - [MS Azure, AI] - [SC-900] Azure AD와 ID 보안의 핵심: ID 및 액세스 관리 도입

 

 

“우리 내부망에 들어오기만 하면 안전할까?” 과거의 보안 모델은 기업 내부 시스템에 대한 맹신을 전제로 했습니다. 그러나 클라우드와 모바일 환경에서는 내부든 외부든 모든 접근을 의심하고 검증해야 합니다. 이것이 바로 제로 트러스트(Zero Trust) 모델의 핵심 철학입니다. 제로 트러스트에서는 **“절대 신뢰하지 말고, 항상 확인하라”**는 원칙을 따릅니다. 이를 구현하기 위해 세 가지 지침을 강조합니다:

• 명시적으로 확인(Verify Explicitly): 사용자 신원, 디바이스 상태, 위치, 애플리케이션, 데이터의 분류 등 가능한 모든 신호를 기반으로 매번 인증 및 승인합니다. 과거에 한 번 내부 네트워크에 들어왔다고 계속 신뢰하지 않고, 모든 요청을 제로 트러스트 관점에서 검사하는 것이죠.
• 최소 권한 부여(Least Privilege Access): 업무에 필요한 최소한의 권한만 부여합니다. 관리자 권한 남용 금지가 대표적인데, Azure AD PIM처럼 필요할 때만 높은 권한을 주고 평소에는 제한하는 접근이 이에 해당합니다. 또한 데이터나 시스템 접근 시에도 Need-to-Know 원칙을 적용하여 불필요한 권한은 제거합니다.
• 침해 가정(Assume Breach): 이미 공격자가 내부에 침투했다고 가정하고 보안 대책을 세웁니다. 한 계정이나 시스템이 뚫려도 전체 시스템이 위험해지지 않도록 **네트워크를 세분화(마이크로 세그멘테이션)**하고, 중요한 데이터에는 별도의 암호화와 모니터링을 적용합니다. 또 침해 시나리오를 지속적으로 모의훈련하고 대응 절차를 갖춤으로써 실제 사고 시 피해를 최소화합니다.

참고로, 제로 트러스트는 미국 연방 정부가 전 기관에 도입을 의무화했을 정도로 전 세계에서 새로운 보안 표준으로 부상했습니다. 그만큼 기존의 신뢰 기반 모델을 버리고 언제나 검증하는 접근이 중요해진 것입니다.

이러한 Zero Trust 원칙 아래에서, Microsoft의 보안 솔루션들은 서로 긴밀히 연계되어 플랫폼 전반의 방어망을 구축합니다. 그 중심에는 Microsoft Defender 제품군이 있습니다. Microsoft Defender는 단일 제품명이 아니라, 다양한 영역을 포괄하는 통합 위협 방지 솔루션(XDR) 모음입니다. XDR(Extended Detection and Response)이란 여러 보안 영역(엔드포인트, 이메일, ID, 클라우드 애플리케이션 등)에 걸쳐 발생하는 이상 징후를 하나로 모아 종합적인 위협 탐지와 대응을 제공하는 개념입니다. Microsoft Defender 제품군에는 대표적으로 다음과 같은 서비스들이 속합니다:

• Microsoft Defender for Endpoint: PC, 서버, 모바일 등 엔드포인트 기기에 대한 보안입니다. 실시간 바이러스/악성코드 방지, 행위 기반 침입 탐지, 의심스러운 행동 발생 시 기기 격리 등의 기능을 제공합니다. 모든 사내 PC에 설치되어 백그라운드에서 상시 방어막 역할을 하며, 중앙 포털에서 장치 보안 상태를 모니터링할 수 있습니다.
• Microsoft Defender for Office 365: 이메일과 협업 도구에 대한 보안입니다. 이메일의 피싱 링크 차단, 악성 첨부파일 격리(안전한 곳에서 실행해 보는 기능), 의심스러운 발신자 차단 등을 통해 사용자 Inbox를 안전하게 지켜줍니다. Teams 채팅이나 SharePoint/OneDrive에 업로드된 파일도 검사하여 악성 콘텐츠 확산을 막습니다.
• Microsoft Defender for Identity: 온프레미스 Active Directory 환경의 이상 징후를 감지합니다. 도메인 컨트롤러의 로그를 분석해 사용자 계정의 비정상적인 동작(예: Pass-the-Hash, Golden Ticket 공격)을 탐지하고 경고합니다. Azure AD와 연계하여 하이브리드 ID 위협도 포착합니다.
• Microsoft Defender for Cloud Apps: 직원들이 사용하는 클라우드 애플리케이션에 대한 CASB 기능을 제공합니다. OAuth를 통해 연결된 외부 클라우드 서비스에서 **이상 행동(예: 대량 데이터 다운로드, 외부 공유)**을 모니터링하고 정책에 따라 차단하거나 경고합니다.
• Microsoft Defender for Cloud: Azure, AWS, GCP 등 클라우드 인프라 전반의 보안을 관리합니다. 클라우드 설정을 점검해 보안 구성 점수(Secure Score)를 보여주고(CSPM 기능), VM이나 컨테이너, 데이터베이스 등의 워크로드에 대한 위협 방지(CWP 기능)를 제공합니다. 예를 들어 외부에 노출된 포트나 취약한 설정을 발견하면 경고와 수정 권고를 해줍니다.

이 외에도 Defender Vulnerability Management(엔드포인트 취약점 관리), Defender for DevOps(코드/파이프라인 보안), Defender External Attack Surface Management 등 다양한 서비스가 있습니다. 중요한 점은 이러한 Defender 서비스들이 Microsoft 365 Defender 포털에서 통합 관리되며 서로 신호를 공유해 연계된 위협 대응을 한다는 것입니다. 예컨대 한 직원 PC에서 랜섬웨어 징후가 포착되면(Defender for Endpoint 경고) 해당 사용자의 이메일 계정 활동도 자동으로 조사되고(Defender for Office 365와 연계), 필요 시 그 사용자의 Azure AD 세션을 차단하여 공격 확산을 막습니다. 이러한 자동화된 교차 대응은 수동으로 각 제품을 운용하는 것보다 훨씬 빠르고 효율적입니다.

Azure 플랫폼 자체의 기본 방어 기능들도 빼놓을 수 없습니다. Azure에서는 **네트워크 보안 그룹(NSG)**을 통해 가상네트워크 내 세부 트래픽을 제어하고, Azure Bastion으로 가상머신에 안전하게 원격 접속하며, Azure Key Vault로 애플리케이션 비밀과 암호화 키를 안전하게 관리하는 등 다양한 인프라 보안 서비스를 제공합니다. 또한 Azure DDoS Protection Standard 서비스를 이용하면 대규모 분산 서비스 거부 공격(DDoS)을 자동 완화할 수 있고, Azure Policy를 통해 조직의 보안 설정 표준을 정의하고 강제 적용할 수도 있습니다. 이러한 서비스들이 1차 방어선을 형성하고, 앞서 소개한 Defender XDR과 Sentinel이 이를 보완하는 다층 방어(Defense-in-Depth) 체계를 갖추게 됩니다. (다층 방어는 흔히 중세 성의 성벽을 여러 겹 쌓는 것에 비유되곤 합니다.)

정리하면, Zero Trust 보안 모델 아래에서 Azure 인프라의 기본 보안과 Microsoft Defender XDR 제품군이 유기적으로 결합되어 플랫폼 전반에 걸친 깊고 넓은 방어망을 제공합니다. 네트워크 계층에서는 방화벽과 NSG로 트래픽을 통제하고, 디바이스/애플리케이션 계층에서는 Defender로 위협을 탐지하며, ID 계층에서는 Azure AD가 접근을 제한하고 이상징후를 탐지합니다. 그리고 Microsoft Sentinel이 모든 계층의 신호를 모아 거시적인 관점에서 분석함으로써 관리자는 숲과 나무를 모두 볼 수 있게 되죠.

실전 적용 사례: 보안 관리자 D씨는 회사에 Zero Trust 원칙을 도입하면서, 여러 계층의 보안을 점검했습니다. 우선 사내 시스템과 데이터에 최소 권한 원칙을 적용하여 권한을 대폭 정리하고, 모든 직원에게 MFA를 의무화했으며, 중요 서버들은 별도 네트워크로 분리했습니다. 얼마 후 한 영업사원의 노트북이 스피어 피싱 이메일에 속아 악성코드에 감염되는 사건이 발생했습니다. 하지만 즉시 Defender for Endpoint에서 의심스러운 프로세스를 감지하여 차단하고 해당 기기를 네트워크에서 격리시켰습니다. 동시에 Microsoft 365 Defender 포털에서 그 사용자의 최근 메일 발신 내역과 다른 기기 로그인이 자동 조사되어 추가 피해 여부를 확인해주었습니다. D씨는 감염된 노트북을 포맷 및 복구하고 Azure AD 로그를 검토하여 해당 계정으로 다른 시스템에 비정상 접속 시도는 없었음을 최종 확인했습니다. 일련의 대응 과정을 통해 D씨의 회사는 다층적인 보안 방어망이 어떻게 실제 위협을 차단하고 피해를 최소화하는지 체감하게 되었고, 경영진은 Zero Trust 전략과 보안 솔루션에 더욱 신뢰를 갖게 되었습니다.

 

 

 

2025.06.08 - [MS Azure, AI] - [SC-900] SC-900이 뭐길래? 클라우드 시대의 보안 기초 자격증

2025.06.09 - [MS Azure, AI] - [SC-900] 시험 포맷 완전 해부: SC-900 응시 정보부터 문제 유형까지

2025.06.10 - [MS Azure, AI] - [SC-900] Azure AD와 ID 보안의 핵심: ID 및 액세스 관리 도입