Azure는 전 세계적으로 7억 명 이상의 활성 사용자를 지원합니다. 이렇게 방대한 사용자 기반의 신뢰를 유지하기 위해 Microsoft는 매년 10억 달러 이상을 투자하여 Azure의 보안 인프라를 강화하고 있습니다. 그러나 클라우드 보안 공격이 날로 정교해짐에 따라 조직은 항상 경계를 유지해야 합니다.
그리고 이러한 경계 유지 책임을 클라우드 보안 공급자와 고객 간에 분담하기 위해 Azure는 공유 책임 모델(SRM)을 운영합니다. 공유 책임 모델은 Microsoft Azure가 기본 클라우드 인프라를 보호하는 동안, 고객은 애플리케이션, 데이터, 신원 보안을 책임진다는 원칙에 기반합니다.
이러한 환경을 고려하여, 본 문서에서는 Azure 사용자가 효과적으로 강력한 보안 태세를 유지할 수 있도록 Azure 보안 모범 사례 체크리스트를 제공합니다.
먼저, Azure의 SRM에 대해 좀 더 알아보겠습니다.
Azure의 공유 책임 모델(SRM)이란?
Azure의 SRM 모델은 서비스 유형에 따라 클라우드 공급자와 고객이 각각 어떤 보안 통제를 담당하는지 결정할 수 있게 해줍니다. 공유 책임 모델은 Azure 보안의 기본으로, 클라우드 공급자와 고객 간의 보안 책임 분담을 명확히 합니다. 자신의 책임을 이행하기 위해 Singularity™ Cloud Workload Security와 같은 솔루션을 활용하면 클라우드 워크로드를 고도화된 위협으로부터 보호하면서 환경을 관리할 수 있습니다.
서비스 유형은 세 가지가 있습니다:
- Infrastructure as a Service (IaaS): 이 경우, Azure는 가상 머신 및 스토리지와 같은 기본 인프라를 보호하며, 고객은 운영 체제, 애플리케이션, 데이터의 보안을 관리해야 합니다.
- Platform as a Service (PaaS): 이 경우, Azure는 런타임 및 미들웨어 계층도 보호합니다. 고객은 애플리케이션 보안과 데이터 보호를 책임집니다.
- Software as a Service (SaaS): SaaS 모델에서는 Azure가 인프라와 애플리케이션 계층 모두를 보호하는 더 많은 책임을 집니다. 그러나 고객은 여전히 데이터 보안과 접근 제어를 관리해야 합니다.
주요 Azure 보안 모범 사례
최근 연구에 따르면, 80%의 기업이 지난 1년간 최소 한 번의 클라우드 보안 사고를 경험했습니다. 더 많은 사용자가 Azure Cloud로 이전함에 따라, 위 통계는 다음과 같은 Azure Cloud 보안 모범 사례를 구현해야 할 시급성을 강조합니다:
#1 신원 및 접근 관리(IAM)
Microsoft Azure Active Directory(AD)는 클라우드 기반 신원 및 접근 관리 서비스로, 직원들이 OneDrive, Exchange Online과 같은 데이터 및 애플리케이션에 접근할 수 있도록 지원합니다.
Azure AD의 이점을 극대화하려면 조직은 다음과 같은 Azure IAM 모범 사례를 구현해야 합니다:
- 다단계 인증(MFA): 다단계 인증은 계정에 추가 보안 계층을 더해줍니다. 이는 사용자가 알고 있는 것(비밀번호), 가지고 있는 것(디바이스), 본인임을 증명하는 것(생체정보) 등 두 가지 이상의 요소를 기반으로 작동합니다. 즉, MFA는 사용자의 디바이스, 비밀번호, 지문 또는 얼굴 인식 등 본인임을 확인하는 요소를 활용합니다. 비밀번호 입력 시, 디바이스 인증 또는 계정에 등록된 생체정보로 신원을 인증해야 하므로, 위협 행위자가 디바이스나 본인 없이 계정에 접근할 수 없습니다. Azure AD MFA도 동일한 원칙에 따라 작동하며, Microsoft Authenticator App, OATH 하드웨어 토큰, SMS, 음성 통화 등 다양한 인증 방법을 선택할 수 있습니다.
- 조건부 접근: 조건부 접근은 디바이스 준수, 사용자 컨텍스트, 위치, 세션 위험 요소 등 실시간 신호를 활용하여 Azure 기반 조직 리소스에 접근할 때 허용, 차단, 제한 또는 추가 인증 단계를 요구할지 결정합니다.
- Azure 역할 기반 접근 제어(RBAC): 역할 기반 접근 제어(RBAC)는 역할 기반 보안이라고도 하며, 조직이 무단 접근을 제한할 수 있도록 지원하는 메커니즘입니다. RBAC 모델을 통해 조직은 권한과 특권을 설정하여 인가된 사용자만 접근할 수 있도록 할 수 있습니다.
#2 제로 트러스트 아키텍처
제로 트러스트는 이름 그대로 ‘절대 신뢰하지 않고 항상 검증한다’는 원칙에 기반합니다. 즉, 사람, 기계, 애플리케이션 등 모든 엔터티는 네트워크 내부든 외부든 기본적으로 신뢰하지 않으며, 네트워크 리소스에 접근하려면 모두 검증이 필수입니다.
- 명시적으로 검증: 시스템 내 데이터 포인트에 따라 인증, 식별, 인가를 반드시 수행해야 합니다.
- 최소 권한 접근 사용: 사용자를 ‘적시에 필요한 만큼만 접근’(JIT/JEA)으로 제한합니다.
- 침해 가정: 침해가 발생할 수 있다는 전제로 네트워크를 분할하고, 종단 간 암호화를 적용하여 잠재적 침해의 공격 영역을 최소화해야 합니다.
#3 네트워크 보안
다계층 방어 전략을 기반으로 하는 Azure의 네트워크 보안은 공유 환경에서 데이터 보호를 보장합니다. 이는 논리적 분리, 접근 제어, 암호화, SOC2, SOC1, ISO27001 등 표준 프레임워크 준수를 통해 달성됩니다.
이 디지털 시대에 클라우드 인프라 내 네트워크 보안은 매우 중요한 역할을 합니다.
Azure Firewall 및 네트워크 보안 그룹(NSG)으로 Azure 네트워크를 보호하십시오.
- Azure Firewall: Azure Virtual Network 리소스를 보호하는 관리형 클라우드 기반 네트워크 보안 서비스입니다. 고급 위협 보호를 제공하며, 높은 가용성과 확장성을 바탕으로 트래픽 제어가 가능합니다.
- NSG: 네트워크 보안 그룹은 가상 네트워크 내 다양한 Azure 리소스에서 허용 또는 거부할 인바운드 트래픽을 결정하는 보안 규칙으로 구성됩니다. 포트, IP 주소, 프로토콜 기준으로 보안 규칙을 정의할 수 있습니다.
#4 가상 네트워크(VNet) 구성
Azure에서 프라이빗 네트워크의 기본 빌딩 블록인 Virtual Network(VNet)는 Azure Virtual Machines(VM) 등 다양한 Azure 리소스가 클라우드 및 온프레미스 네트워크와 안전하게 통신할 수 있도록 지원합니다.
Windows Azure 보안 모범 사례에는 Virtual Network(VNet) 구성, 네트워크 분할, 프라이빗 엔드포인트, NSG 규칙에 대한 모범 사례가 포함됩니다.
- VPN 게이트웨이: VPN 게이트웨이를 활용하여 온프레미스 네트워크를 암호화된 VPN 연결을 통해 Azure로 안전하게 확장하고, 두 환경 간 전송되는 데이터가 무단 접근으로부터 보호되도록 합니다.
- ExpressRoute: ExpressRoute를 구현하여 온프레미스 인프라와 Azure 간에 프라이빗 연결을 생성함으로써, 공용 인터넷을 우회하여 보안성과 신뢰성을 높이고 성능을 개선합니다.
- 전송 중 데이터 암호화: IPsec 및 IKE 프로토콜을 사용하여 VPN 연결을 암호화함으로써, 인터넷을 통한 데이터 전송 시 안전한 채널을 제공하고 데이터를 보호합니다.
#5 저장 및 전송 중 데이터 암호화
효과적인 암호화 관행은 저장 및 전송 중 민감한 정보를 보호하여 규정 준수와 데이터 기밀성을 유지합니다. 저장 및 전송 중 데이터를 보호하는 방법은 다음과 같습니다.
- Azure Key Vault: Azure Key Vault를 사용하여 데이터 암호화에 사용되는 암호화 키와 비밀 정보를 관리 및 보호하십시오. 이 서비스는 민감한 정보에 대한 안전한 저장소와 접근 제어를 제공하여 무단 접근 위험을 줄입니다.
- Azure Update Management: Azure Update Management를 사용하여 패치 및 규정 준수 평가를 자동화하십시오. 또한, 모든 Azure 가상 머신과 서비스를 최신 보안 패치로 유지하여 예기치 않은 사고를 방지해야 합니다.
- Azure Storage Service Encryption: Azure Storage Service Encryption을 활용하여 저장 중인 데이터를 자동으로 암호화함으로써, 클라우드에 기록될 때 민감한 정보가 안전하게 보호되도록 합니다.
- 전송 계층 보안(TLS): 전송 중 데이터 보호를 위해 TLS 암호화를 구현하여 전송 중 가로채기를 방지하십시오. TLS는 강력한 인증과 메시지 무결성을 제공하여, 데이터 전송 중 무단 접근이나 변조를 어렵게 만듭니다.
- Azure 백업 및 재해 복구: Azure Backup을 사용하여 데이터를 정기적으로 백업하십시오. 또한, 강력한 재해 복구 계획을 수립하고 정기적으로 테스트하여 비즈니스 연속성을 보장해야 합니다.
#6 위협 탐지 및 모니터링
위협 탐지 및 모니터링은 조직이 견고한 보안 아키텍처를 위해 반드시 따라야 할 또 다른 Azure 보안 모범 사례입니다.
- Azure Security Center: Azure Security Center를 사용하면 통합 인프라 보안 관리 시스템을 제공합니다. Azure 및 하이브리드 워크로드 전반에 고급 위협 보호를 제공하여 데이터 센터의 보안 태세를 강화합니다.
- Azure Sentinel: Azure Sentinel을 활용하여 클라우드 네이티브 SIEM 및 SOAR 솔루션을 제공합니다. 엔터프라이즈 전반에 지능형 보안 분석 및 위협 인텔리전스를 제공하여 전반적인 보안 가시성을 향상시킵니다.
- 지속적 모니터링 및 알림: Azure Security Center와 Azure Sentinel에서 알림을 설정하여 잠재적 위협이나 의심스러운 활동에 대한 알림을 받을 수 있습니다. 이를 통해 신속하고 실시간으로 위험을 완화할 수 있습니다.
- AI 기반 위협 탐지: Azure의 AI 기반 보안 도구를 활용하여 방대한 데이터를 분석하고 잠재적 위협을 나타내는 패턴을 식별합니다. 이러한 도구는 머신러닝과 행위 분석을 활용하여 기존 방식보다 더 정확한 위협 탐지를 제공합니다.
#7 애플리케이션 보안
다음과 같은 방법으로 애플리케이션의 보안을 보장하십시오:
- 안전한 코딩 관행: 안전한 코딩 표준을 준수하여 애플리케이션의 취약점을 최소화합니다.
- 웹 애플리케이션 방화벽(WAF): WAF를 사용하여 웹 애플리케이션을 보호하고, HTTP 트래픽을 필터링 및 모니터링하여 잠재적 위협을 차단합니다.
- CI/CD 파이프라인 보안: Azure DevOps를 활용하여 CI/CD 파이프라인에 보안 스캐닝 도구를 통합하고, 개발 과정에서 취약점을 탐지 및 수정합니다. 배포 전 코드 무결성을 검증합니다.
- Azure Application Gateway: SSL 종료, WAF, URL 기반 라우팅 등 기능을 통해 트래픽을 관리하고 보안을 강화합니다.
#8 규정 준수 및 거버넌스
규정 준수 및 거버넌스 요건을 준수하는 것은 비즈니스에 필수적입니다. Azure Policy와 Blueprints를 활용한 규정 준수 방법은 다음과 같습니다.
- Azure Policy 및 Blueprints: Azure Policy를 사용하여 조직 표준을 적용하고 규정 준수를 평가합니다. 자동화된 배포로 규정 준수 요건을 충족하고, 거버넌스 도구를 활용하여 반복 가능한 프로세스를 구축합니다.
- 규제 준수: 정기적으로 감사를 실시하고 Azure의 규정 준수 도구를 사용하여 GDPR, HIPAA 등 규정 준수를 보장합니다. Azure Monitor를 통해 적절한 감사 및 로깅 메커니즘을 구현하여 원격 측정 데이터를 수집 및 조치합니다.
2026년을 위한 Azure 보안 체크리스트
위에서 논의한 모범 사례를 바탕으로, 2026년 Azure 보안을 위한 실용적인 체크리스트를 제공합니다.
#1 신원 및 접근 관리
- 조직은 모든 사용자, 특히 특권 계정에 대해 다단계 인증을 반드시 적용해야 합니다.
- 접근 권한 및 역할 할당을 주기적으로 검토하고 업데이트해야 합니다.
- 사용자 위치, 디바이스 준수, 위험 수준 등 특정 조건에 따라 접근을 제한하는 조건부 접근 정책을 사용해야 합니다.
#2 제로 트러스트 아키텍처
- 모든 접근 요청에 대해 사용 가능한 데이터 포인트를 기반으로 인증, 식별, 인가를 수행해야 합니다.
- “적시에 필요한 만큼만 접근”(JIT/JEA) 원칙을 적용하여 역할에 필요한 최소 권한만 부여해야 합니다.
- 침해가 발생할 수 있다는 전제로 운영해야 하며, 네트워크를 분할하고 종단 간 암호화를 적용하여 잠재적 공격 표면을 제한해야 합니다.
#3 네트워크 보안
- NSG 규칙을 검토하여 현재 보안 태세와 일치하는지 확인해야 합니다.
- 서브넷 분할, 프라이빗 엔드포인트, Azure Firewall 통합 등 VNet의 보안 구성이 적절한지 확인해야 합니다.
- VPN 및 ExpressRoute 연결에 대해 IPsec 암호화 및 접근 제어 등 강력한 보안 조치를 구현해야 합니다.
#4 데이터 보호
- Azure의 내장 암호화 서비스와 Azure Key Vault를 사용하여 저장 및 전송 중 민감한 데이터가 암호화되어 있는지 확인해야 합니다.
- 안전한 데이터 백업 프로세스를 수립 및 유지해야 합니다.
- 무단 또는 의심스러운 활동을 모니터링하기 위해 데이터 접근 로그를 정기적으로 감사해야 합니다. Azure Monitor와 Azure Sentinel을 활용하여 이상 탐지를 자동화할 수 있습니다.
#5 모니터링 및 위협 탐지
- 지속적인 모니터링 및 위협 탐지를 위해 Azure Security Center와 Azure Sentinel을 구성해야 합니다.
- 사고 대응 계획을 수립하고, Azure 환경에 맞게 정기적으로 업데이트해야 합니다.
- 정기적으로 위협 탐지 연습을 실시하여 환경의 복원력을 테스트하고 보안 태세를 강화해야 합니다.
#6 애플리케이션 보안
- Azure DevOps를 활용하여 CI/CD 파이프라인에 안전한 코딩 관행을 통합하고, 빌드 및 릴리스 과정에서 보안 검사를 자동화할 수 있습니다.
- 웹 애플리케이션 및 API의 취약점을 정기적으로 테스트하여 SQL 인젝션 및 XSS 위험을 완화할 수 있습니다.
#7 규정 준수 및 거버넌스
- Azure 정책을 정기적으로 검토 및 업데이트하고, 조직 및 규제 요건에 부합하는지 확인해야 합니다.
- Azure Monitor를 사용하여 적절한 감사 추적을 유지 및 정기적으로 검토해야 합니다.
- Azure Compliance Manager를 활용하여 규정 준수 요건을 추적 및 관리하고, Azure 환경을 정기적으로 평가해야 합니다.
Azure 보안 체크리스트를 따를 때는 인프라를 지속적으로 보호하는 자동화된 보안 도구를 통합하는 것이 중요합니다. Singularity™ Cloud Security Posture Management를 사용하면 클라우드 오구성 오류를 손쉽게 식별 및 해결하여 전체 클라우드 보안 태세를 강화할 수 있습니다.
Azure 보안을 위해 SentinelOne을 사용해야 하는 이유
기존 사고 탐지 및 위험 관리 솔루션을 사용할 수 있지만, Azure의 방대한 데이터와 다양한 구성은 최고의 보안 전문가조차도 어려움을 겪을 수 있습니다.
SentinelOne은 차세대 AI 기반 자율 사이버보안 보호를 통해 엔터프라이즈의 업그레이드를 지원하는 선호 솔루션입니다. SentinelOne은 클라우드 워크로드 보호를 단순화하고, 민첩성을 높이며, 자동화된 런타임 컨테이너 보안을 제공합니다.
이 솔루션은 사이드카 없는 단일 에이전트로 파드, 컨테이너, K8s 워커 노드를 보호합니다. 고성능 EDR 및 클라우드 메타데이터로 강화된 가시성, 자동화된 Storyline™ 공격 시각화, MITRE ATT&CK® TTPs 매핑 기능을 제공합니다.
서버, VM, 컨테이너를 위한 AI 기반 클라우드 워크로드 보호(CWPP)로, 런타임 위협을 실시간으로 탐지 및 차단합니다.
마무리: Azure 생태계 보안
사이버 공격의 정교화와 SHRM의 내재적 취약성으로 인해 Azure 사용자는 새로운 보안 과제에 직면하게 됩니다. Azure는 Azure Security Center, Azure Firewall, Azure Key Vault 등 강력한 보안 도구를 제공합니다.
이와 더불어, 조직은 본 문서에서 제시한 Azure 보안 모범 사례 권장 사항을 반드시 구현해야 합니다. 클라우드에서의 보안 관리는 일회성 작업이 아니라는 점을 기억하십시오. Azure의 보안은 공유 책임이므로, 클라우드 사용자는 접근 권한 및 권한을 적절히 구성하고, 네트워크 트래픽을 모니터링 및 보호해야 하며, 이는 지속적인 과정입니다.
SentinelOne의 클라우드 보안 플랫폼은 이미지 빌드부터 배포까지, 클라우드 네이티브 Microsoft Azure 빌드, 인프라, 배포, 런타임 서비스 전반에 걸쳐 일관된 정책과 제어로 클라우드 네이티브 애플리케이션의 전체 라이프사이클 및 구성에 대한 포괄적인 보안을 제공합니다.
Azure 보안 FAQ
Azure Firewall과 Azure Key Vault는 Azure 보안에서 새롭게 업데이트된 기능 중 일부입니다. Azure Firewall은 연결 수에 따라 자동으로 확장할 수 있으며, Azure Key Vault의 통합 기능을 통해 Azure VM의 SQL Server가 Azure Key Vault에 접근할 수 있습니다.
조직은 다양한 방법으로 Azure에서 보안을 보장할 수 있습니다. 여기에는 네트워크 보안 그룹, Azure Key Vault, 데이터 암호화, ID 및 액세스 관리, 위협 탐지, 네트워크 접근 제어, 원격 접근 비활성화, Azure 알림 사용 등이 포함됩니다.
DMZ(비무장지대)는 Azure에서 물리적 또는 논리적 네트워크 세그먼트입니다. 이는 조직의 내부 네트워크와 인터넷 또는 기타 외부 네트워크 사이에 추가적인 보안을 제공하는 경계 네트워크 역할을 합니다. DMZ는 ‘스크린드 서브네트워크’라고도 불립니다.
효과적인 보안 규칙 보기 기능은 Azure Network Watcher의 기능입니다. 이 기능을 사용하면 네트워크 인터페이스에 적용된 인바운드 및 아웃바운드 규칙을 집계하여 볼 수 있습니다. 이를 통해 네트워크 인터페이스에 적용된 보안 및 관리 규칙을 가시적으로 확인할 수 있습니다.
Azure 보안 원칙과 정책에는 네트워크 보안 그룹(NSG), 웹 애플리케이션 방화벽, 네트워크 분할, ID 및 액세스 관리, Azure AD 다중 인증, 클라우드 보안 상태 관리(CSPM), 운영 보안, 최소 권한 원칙 등이 포함됩니다.

