SFI 진행률 보고서 2025년 11월 | Microsoft 보안 센터

세 번째 진행률 보고서에서는 모든 영역 및 엔지니어링 핵심 요소에 대한 업데이트를 공유하고, NIST 사이버 보안 프레임워크에 대한 매핑을 도입하여 고객이 인식된 산업 프레임워크를 사용하여 진행 상황을 이해하고, 고객에게 제공되는 새로운 보안 기능을 강조합니다. 또한 고객이 위험을 줄일 수 있도록 제로 트러스트 원칙에 부합하는 모범 사례 및 구현 지침을 공유합니다.

Microsoft는 조직 전반에 걸쳐 보안을 최우선으로 하는 문화를 계속 조성하고 있습니다.

2025년 7월에 배정된 최신 보안 교육인 AI 기반 공격 방어 교육을 95%의 직원이 이미 완료했으며, 이 과정은 여전히 가장 높은 평가를 받고 있습니다.
보안에 대한 엔지니어링 감정은 2024년 2월 이후 9포인트 증가했습니다.
직장과 가정에서 보안 우선 사고방식을 강화하기 위해 직원용 자료를 개발했고, 이를 처음으로 고객에게도 제공하여 보안 인식을 높이고 있습니다.

실행 가능한 지침을 받고 보안이 우리가 일하는 방식, 리더십, 영향 측정에 어떻게 녹아 있는지 자세히 알고 싶다면 전체 보고서를 읽어 보세요.

"보안팀뿐 아니라 Microsoft의 모든 직원에게 보안을 핵심 우선순위로 삼았습니다.”

Vasu Jakkal
CVP, Microsoft Security

Microsoft는 진화하는 위협 환경과 증가하는 규제 복잡성을 해결하기 위해 거버넌스 모델을 계속 확장합니다.

사이버 보안 거버넌스 위원회의 범위를 확대하여 3개의 추가 부CISO 기능을 포함시켰습니다.
- 공급망 및 타사
- 비즈니스 기능, 마케팅 및 재무
- EU 사이버 보안 법규 준수
파트너 관계를 강화하고 유럽 정부에게 위협 환경을 더 잘 알리기 위해 Microsoft 유럽 보안 프로그램을 만들었습니다. 유럽 연합 사이버 복원력법 전문가 그룹에 계속 적극 참여하고 있습니다.
전 세계 남부의 고급 지역 사이버 보안 이니셔티브를 통해 기존 및 미래의 사이버 보안 규정을 더 잘 조정하고 사이버 보안 용량을 구축하기 위해 업계 파트너와 적극적으로 협력했습니다.

실행 가능한 지침을 받고 진화하는 위협 환경과 증가하는 규제 복잡성에 대응하기 위해 거버넌스 모델을 확장하는 방법을 자세히 알고 싶다면 전체 보고서를 읽어 보세요.

"문화가 맞지 않으면 지속 가능한 프로그램을 가질 수 없고, 거버넌스가 맞지 않으면 측정 가능한 프로그램을 가질 수 없다고 확신합니다.”

Ann Johnson
CVP & 부CISO, 고객 보안 관리 사무실

보안 원칙

보안을 고려한 설계, 기본 제공 보안, 안전한 운영

보안을 고려한 설계, 기본 제공 보안, 안전한 운영 세 가지 보안 원칙을 바탕으로 Microsoft 전반의 팀들이 고객과 Microsoft를 보호하는 혁신을 계속 제공하고 있습니다.

필수 보안 기본값을 도입하고, 하드웨어 기반 신뢰를 확대했으며, 클라우드 보안을 개선하기 위해 보안 벤치마크를 업데이트했습니다.

전체 보고서에서 Azure에 대해 자세히 알아보기
모든 Azure 사용자에게 이제 MFA가 필수로 적용되어 비밀번호 관련 공격 위험이 줄어들었습니다. 또한 Azure Bastion Developer는 이제 35개 지역의 가상 머신에 대한 기본 보안 연결을 제공합니다.
MCSB(Microsoft Cloud Security Benchmark) 버전 2는 고객에게 클라우드용 Microsoft Defender를 사용하여 구현할 수 있는 업데이트된 보안 기준 지침을 제공합니다.
Azure 로컬은 보안 기본 설정 수를 25%(400개 설정) 늘렸습니다. 이를 통해 고객은 업계 표준을 준수하는 데 더욱 수월해지고 파일리스 맬웨어와 같은 추가 위협으로부터 Azure 로컬 노드를 더 효과적으로 보호할 수 있습니다.
전체 보고서에서 Azure에 대해 자세히 알아보기
Microsoft는 고객이 위험을 줄일 수 있도록 제로 트러스트 원칙에 부합하는 모범 사례 및 구현 지침을 제공합니다.

실행 가능한 지침 링크 받기

엔지니어링 핵심 요소

6개의 SFI 핵심 요소에는 보안에 대한 접근 방식을 정의하는 목표와 작업이 포함됩니다.

28개 목표 중 5개는 거의 완료 단계에 있고, 12개는 상당한 진전을 이루었으며, 나머지 목표도 계속 진행 중입니다. SFI 덕분에 플랫폼과 서비스의 보안이 향상되었고, 위협을 탐지하고 대응하는 능력도 개선되었습니다.

Microsoft 서비스와 고객의 ID 보안을 향상시켰습니다.
Microsoft Entra ID 서명 VM의 95%가 Azure 기밀 컴퓨팅으로 마이그레이션되었습니다.
Microsoft Entra ID 보안 토큰 유효성 검사의 94.3%를 표준 ID SDK(소프트웨어 개발 키트)로 이동했습니다.
Microsoft 직원 및 디바이스의 99.6%에 피싱 방지 MFA를 적용했습니다.

전체 보고서에서 실행 가능한 지침에 대한 링크를 포함하여 자세히 읽어보세요.
격리를 계속 늘리고 횡적 이동의 위험을 줄입니다.
생산성 환경에서 ADFS(Active Directory Federation Services) 사용을 중단했습니다.
ASM(Azure Service Manager)에서 관리하는 클라우드 자산의 98%를 ARM(Azure Resource Manager)으로 마이그레이션했습니다.
Microsoft 생산 및 생산성 환경에서 560,000개의 사용하지 않는 오래된 테넌트와 83,000개의 사용하지 않는 Entra ID 앱을 추가로 폐기했습니다.

전체 보고서에서 실행 가능한 지침에 대한 링크를 포함하여 자세히 읽어보세요.
진행된 작업으로 네트워크 보안이 향상되고 고객을 위한 새로운 기능이 제공되었습니다.
완전한 네트워크 디바이스 인벤토리 및 완성도 높은 자산 수명 주기 관리를 달성했습니다.
격리 강화와 보호 제어를 통해 보안을 강화했습니다.
학습 모드에서 110만 개 이상의 리소스를 사용하고 적용 모드에서 약 500,000개의 리소스를 사용하여 NSP(네트워크 보안 경계)의 채택을 가속화했습니다.

전체 보고서에서 실행 가능한 지침에 대한 링크를 포함하여 자세히 읽어보세요.
코드를 빌드, 테스트 및 배포하는 데 사용하는 시스템의 보안을 개선했습니다.

이제 코드 서명이 프로덕션 ID로 거의 완전히 잠기고 코드에서 감지된 비밀이 지속적으로 수정됩니다.
거의 완전한 소프트웨어 자산 인벤토리를 사용하면 신속한 인시던트 응답 및 범용 정책 적용이 가능합니다.
거의 모든 프로덕션 빌드와 94%의 릴리스 파이프라인이 관리되는 템플릿을 사용하여 기본 보안 파이프라인 및 네트워크 격리를 확장했습니다.

전체 보고서에서 실행 가능한 지침에 대한 링크를 포함하여 자세히 읽어보세요.
위협 헌팅, 신속한 인시던트 응답 및 통합 보안 제어를 발전시키고 있습니다.
프로덕션 인프라의 98%는 중앙에서 추적되며 로그는 2년 동안 보존됩니다.
우선 순위가 높은 전략, 기술 및 절차(TTP)를 대상으로 하는 Microsoft 인프라 전반에 배포된 50개 이상의 새로운 검색 - 해당 탐지는 Microsoft Defender에 통합됩니다.
AI 통합은 식별에서 효율성 유효성 검사에 이르기까지 탐지 수명 주기 개선을 가속화하고 있습니다.

전체 보고서에서 실행 가능한 지침에 대한 링크를 포함하여 자세히 읽어보세요.
취약성의 식별, 심사 및 해결 속도를 높이고 있습니다.
AI 기반 취약성 분류는 규모와 범위가 지속적으로 증가했음에도 불구하고, 완화에 걸리는 시간을 단축하여 취약성을 해결하는 데 72%의 성공률을 기록했습니다.
신속한 배포 프로세스로 취약성 완화가 가속화되었습니다.
Microsoft는 53개의 비작동 클라우드 CVE를 포함하여 1,096개의 CVE를 게시하고 장려금으로 1,700만 USD를 지급하여 투명성과 외부 참여도를 향상했습니다.

전체 보고서에서 실행 가능한 지침에 대한 링크를 포함하여 자세히 읽어보세요.