Microsoft Teams는 안전한가요? 2026년에 알아야 할 모든 것

이 글은 독립적인 가이드예요. Microsoft Corporation과 제휴하거나 보증을 받지 않았어요.

IT 담당자가 방금 메시지를 보내서 다음 이사회에 Microsoft Teams가 충분히 안전한지 물었어요. CISO는 금요일까지 서면 답변을 원하고요. 인터넷에서는 "Teams는 군사급 보안"부터 "Teams가 작년에 해킹당했다"까지 중간이 없는 정보만 나와요.

현실은 이래요: Microsoft Teams는 안전한가요? 네, 대부분의 조직에서 Teams는 탄탄한 기본 보안을 제공해요. 하지만 "안전하다"는 건 예/아니오로 답할 수 있는 질문이 아니에요. 라이선스 등급, 관리자 설정, 방어하려는 특정 위협에 따라 달라져요.

이 가이드에서는 Teams가 정확히 무엇을 보호하는지, 어디에 빈틈이 있는지, 기밀 정보를 플랫폼으로 보내기 전에 관리자가 무엇을 설정해야 하는지 알려드려요. 아래의 모든 내용은 Microsoft 공식 문서와 서드파티 연구를 기반으로 해요 (2026년 3월 기준).

Microsoft Teams의 데이터 암호화 방식

Teams는 전송 중과 저장 중 두 가지 수준으로 데이터를 암호화해요. 각각 다른 위협으로부터 보호하기 때문에 둘 다 이해하는 게 중요해요.

전송 중 암호화는 사용자 기기와 Microsoft 서버 사이를 이동하는 모든 메시지, 파일, 비디오 프레임을 보호해요. Teams는 모든 클라이언트-서버 트래픽에 TLS 1.2(이상), 오디오/비디오 스트림에 SRTP(Secure Real-Time Transport Protocol)를 사용해요. 2026년 3월 기준으로 데스크톱, 모바일, 웹 모든 Teams 클라이언트에 적용돼요.

저장 중 암호화는 Microsoft 서버에 저장된 데이터를 보호해요. SharePoint와 OneDrive(Teams가 공유 문서를 저장하는 곳)의 파일은 AES-256 암호화를 사용해요. Exchange Online과 Azure Cosmos DB에 저장된 채팅 메시지와 채널 대화는 기본적으로 Microsoft 관리 키로 암호화돼요.

**종단간 암호화(E2EE)**는 좀 더 복잡한 부분이에요. Microsoft는 2021년에 1:1 음성 및 영상 통화용 선택적 E2EE를 출시했어요. 활성화하면 암호화 키가 두 엔드포인트에만 존재해서 Microsoft도 통화를 복호화할 수 없어요. 하지만 Teams의 E2EE에는 제한이 있어요: 예약되지 않은 1:1 통화에서만 작동하고, 녹음, 실시간 자막, 통화 전환 같은 기능이 비활성화되며, 2026년 3월 기준 그룹 통화나 채팅에는 사용할 수 없어요.

예를 들어 CFO가 CEO에게 전화해서 인수 건을 논의한다고 해 보세요. 두 계정 모두 E2EE가 활성화되어 있으면 그 통화는 Microsoft를 포함한 모든 사람으로부터 보호돼요. 하지만 같은 CFO의 6명이 참석하는 주간 재무팀 회의는요? 표준 SRTP 암호화로 진행되며 Microsoft가 키를 보유해요.

기밀 또는 민감한 데이터를 다루는 조직에게 그룹 커뮤니케이션에서 기본 E2EE가 없다는 점은 현재 Teams의 가장 큰 보안 빈틈이에요.

규정 준수 인증 및 규제 지원

Teams는 광범위한 규정 준수 인증 목록을 보유하고 있어요. 2026년 3월 기준으로 각 인증이 조직에 실제로 의미하는 바를 설명해 드릴게요.

SOC 1 및 SOC 2 Type II는 Microsoft의 데이터 처리에 대한 운영 통제가 독립적으로 감사되었음을 확인해요. SOC 2는 보안, 가용성, 처리 무결성, 기밀성, 개인정보 보호를 구체적으로 다뤄요. 이 감사는 매년 갱신돼요.

ISO 27001은 Microsoft가 국제 표준을 충족하는 정보보안 관리 시스템(ISMS)을 운영함을 인증해요. ISO 27018은 개인 식별 정보(PII)에 대한 클라우드 전용 개인정보 보호 통제를 추가해요.

GDPR 준수는 Microsoft가 EU 규정에서 요구하는 계약적 약속, 데이터 처리 계약, 기술적 통제를 제공함을 의미해요. Teams는 EU 내 데이터 상주를 지원하며 Microsoft는 GDPR 하에서 데이터 처리자로 활동해요. 조직은 Microsoft Purview 포털의 규정 준수 도구를 사용해 데이터 주체 요청을 처리할 수 있어요.

HIPAA 지원은 BAA(Business Associate Agreement)가 필요하며 Microsoft는 적격 플랜(Microsoft 365 E3/E5, Business Premium 등)의 조직과 서명해요. BAA는 Teams 채팅, 채널, 회의, 통화를 포함해요. 하지만 HIPAA 준수는 자동이 아니에요: 조직이 Teams를 올바르게 설정하고 사용자를 PHI 처리에 대해 교육하며 자체 규정 준수 프로그램을 유지해야 해요.

FERPA, FedRAMP, CJIS 인증은 Teams를 각각 교육, 미국 연방 기관, 법 집행 기관에서 사용할 수 있게 해요.

경쟁업체가 잘 언급하지 않는 점이 하나 있어요: 인증은 Microsoft의 인프라와 관행을 대상으로 해요. 조직의 Teams 사용 방식을 인증하는 게 아니에요. 팀이 게스트 액세스가 활성화된 공개 채널에서 환자 기록을 공유하면 Microsoft의 인증과 관계없이 규정 위반이에요. 효과적인 온라인 회의 운영에는 여전히 팀의 보안 위생이 필요해요.

가장 중요한 관리자 보안 설정

Teams 보안에서 가장 큰 영향을 미치는 건 Microsoft의 암호화가 아니에요. 관리자 설정이에요. Teams는 허용적인 기본 설정으로 제공되며 이를 강화하는 건 조직의 책임이에요.

조건부 액세스 정책

조건부 액세스(Microsoft Entra ID P1 이상에서 사용 가능)를 통해 관리자는 누가 어떤 조건에서 Teams에 접근할 수 있는지 규칙을 설정할 수 있어요. 모든 Teams 로그인에 다단계 인증(MFA)을 요구하고, 관리되지 않는 기기에서의 접근을 차단하고, 특정 IP 범위나 국가로 로그인을 제한하고, 접근 전 규정 준수 기기 확인을 강제할 수 있어요.

이것은 사용할 수 있는 가장 효과적인 보안 통제예요. Microsoft 자체 데이터에 따르면 MFA는 99% 이상의 계정 침해 공격을 차단해요(Microsoft Digital Defense Report, 2024).

게스트 및 외부 액세스

기본적으로 Teams는 외부 사용자가 조직과 채팅 및 회의를 요청할 수 있게 허용해요. 협업에는 유용하지만 공격 표면을 만들어요. 2023년 말 위협 그룹 Storm-0324는 Teams 외부 메시징을 활용해 타겟 조직에 피싱 페이로드를 전달하며 이메일 보안 필터를 완전히 우회했어요.

관리자는 분기마다 외부 액세스 설정을 감사해야 해요. 외부 액세스를 신뢰할 수 있는 특정 도메인으로 제한하고, 익명 회의 참여를 비활성화하고, 모든 외부 참석자에게 대기실 승인을 요구하고, 조직에 필요하지 않으면 게스트 액세스를 완전히 끌 수 있어요.

회의 보안 설정

Teams 회의에는 여러 겹의 통제가 있어요. 관리자는 모든 외부 참석자에게 대기실을 적용하고, 전역적으로 익명 참여를 비활성화하고, 누가 발표하거나 화면을 공유할 수 있는지 제한하고, 회의 녹화 가능 여부와 권한을 제어하고, 공유 콘텐츠와 비디오 피드에 워터마크를 적용할 수 있어요(2026년 3월 기준 Teams Premium에서 사용 가능).

200명 규모 핀테크 회사의 IT 관리자 Sarah는 이렇게 말했어요: "저희 조직 외부 모든 사람에게 대기실을 켜고, 익명 참여를 비활성화하고, MFA를 요구했어요. 설정에 45분 걸렸어요. 두 달 후 누군가 위조된 표시 이름으로 분기별 이사회에 참여하려는 사회공학 시도를 잡았어요. 대기실이 막아줬어요."

데이터 상주, DLP, 정보 보호

데이터가 어디에 저장되고 누가 공유할 수 있는지는 규정 준수 담당자에게 가장 큰 고민거리예요. Teams는 두 가지 모두에 대한 통제를 제공하지만 깊이는 라이선스에 따라 달라요.

데이터 상주

Microsoft는 Microsoft 365 테넌트와 연결된 지리적 지역에 Teams 데이터를 저장해요. 2026년 3월 기준으로 Microsoft는 EU, 미국, 영국, 호주, 일본, 캐나다, 인도 등 17개 이상 지역에서 데이터 상주를 제공해요. 엄격한 주권 요구 사항이 있는 조직을 위해 Microsoft 365 Advanced Data Residency(추가 기능)로 특정 워크로드를 특정 국가에 고정할 수 있어요.

채팅 메시지는 Exchange Online 사서함(1:1 및 그룹 채팅)과 Azure Cosmos DB(채널 메시지)에 저장돼요. 파일은 SharePoint Online으로, 회의 녹화는 OneDrive 또는 SharePoint로 저장돼요. 각 데이터 유형이 정확히 어디에 있는지 아는 건 법무팀이 규정 준수 검토 중 "데이터가 어디에 저장되나요?"라고 물을 때 중요해요.

데이터 손실 방지(DLP)

DLP 정책은 민감한 정보가 Teams를 통해 조직 외부로 유출되는 것을 방지해요. 신용카드 번호, 주민등록번호, 건강 기록, 또는 사용자 정의 패턴(내부 프로젝트 코드 등)이 Teams 채팅과 채널에서 공유되는 것을 감지하고 차단하는 규칙을 만들 수 있어요.

DLP는 Microsoft 365 E3 이상에서 사용 가능해요. E5는 정확한 패턴과 일치하지 않더라도 민감한 콘텐츠를 식별하는 머신러닝 기반 고급 분류기를 추가해요. 금융 데이터를 다루는 조직에게 DLP는 필수예요.

민감도 레이블과 정보 장벽

민감도 레이블(Microsoft Purview의 일부)을 사용하면 팀, 채널, 회의를 기밀 등급별로 분류할 수 있어요. "매우 기밀" 레이블은 자동으로 암호화를 적용하고 게스트 액세스를 제한하며 팀 외부로의 콘텐츠 공유를 방지할 수 있어요.

정보 장벽은 더 나아가 전체 사용자 그룹 간 커뮤니케이션을 차단해요. 투자은행은 딜팀과 애널리스트 간 정보 공유를 막는 데 사용해요. 학교는 교직원과 학생 커뮤니케이션을 분리하는 데 사용해요. 이 기능은 Microsoft 365 E5 또는 규정 준수 추가 기능이 필요해요.

현재 플랜에 이런 기능이 포함되지 않아서 Microsoft Teams 대안을 알아보고 있다면 신중하게 비교해 보세요. 많은 대안이 더 간단한 권한 모델을 제공하지만 Microsoft가 제공하는 세분화된 DLP와 분류 도구는 부족해요.

알려진 취약점과 실제 공격 사례

어떤 플랫폼도 보안 사고로부터 자유롭지 않으며, 과거 문제에 대한 투명성이 없는 척하는 것보다 훨씬 유용해요.

Storm-0324과 Midnight Blizzard (2023)

두 개의 별도 위협 그룹이 Teams 외부 메시징을 악용해 피싱 공격을 수행했어요. Storm-0324는 Teams 채팅을 통해 외부 조직에 악성 링크를 보냈어요. Midnight Blizzard(러시아 국가 후원 활동과 연관)는 침해된 Microsoft 365 테넌트를 사용해 정부 및 기술 조직을 대상으로 Teams 메시지를 보냈어요. Microsoft는 외부 메시징에 새로운 제한을 추가하고 Defender for Office 365의 위협 감지를 개선하는 것으로 대응했어요.

크로스 사이트 스크립팅(XSS) 취약점

연구자들이 Teams에서 CVE-2023-4863(데스크톱 클라이언트에 영향을 미치는 libwebp 취약점)과 표시 이름 인젝션 관련 이전 이슈를 포함한 XSS 취약점을 발견했어요. Microsoft가 이 취약점들을 패치했지만 반복되는 패턴이 있어요: Teams 데스크톱 클라이언트(Electron 기반)는 순수 웹 애플리케이션보다 더 넓은 공격 표면을 가져요.

GIFShell 공격 (2022)

보안 연구원 Bobby Rauch가 Teams GIF 렌더링을 활용해 명령을 실행하고 Microsoft 자체 인프라를 통해 데이터를 유출하는 GIFShell이라는 기법을 시연했어요. Microsoft는 이를 낮은 심각도로 분류하고 즉시 패치하지 않았는데 보안 커뮤니티의 비판을 받았어요.

이것이 의미하는 바

이 사건들에는 공통 패턴이 있어요: 암호화를 깨뜨린 게 아니라 기능(외부 메시징, 미디어 렌더링, 페더레이션)을 악용했어요. 암호화 자체는 잘 유지됐어요. 공격 표면은 Teams를 유용하게 만드는 협업 기능이에요.

IT 팀은 보안 권고를 위해 Microsoft 365 메시지 센터를 구독하고 분기마다 Microsoft Security Response Center(MSRC)에서 Teams 관련 CVE를 확인해야 해요.

Microsoft Teams는 기밀 정보에 안전한가요?

이 질문이 "Microsoft Teams는 안전한가요"를 검색하는 사람들이 실제로 하고 싶은 질문이에요. 짧은 답변: 네, 올바른 설정과 라이선스 등급이면 괜찮아요.

일상 업무 커뮤니케이션에는 (회의록, 프로젝트 업데이트, 팀 토론) 어떤 유료 플랜에서든 Teams가 충분한 보안을 제공해요. TLS 암호화, 저장 중 암호화, Microsoft의 인프라 보안이 기본을 커버해요.

기밀 비즈니스 정보에는 (재무 보고서, M&A 논의, 법률 사안) E3 이상이 필요해요. 민감도 레이블을 활성화하고, DLP 정책을 설정하고, 외부 공유를 제한하고, 민감한 1:1 통화에 E2EE를 사용하세요. 게스트 액세스 설정을 감사하고 각 팀에서 소유자 권한을 가진 사람을 확인하세요.

규제 대상 데이터에는 (환자 건강 기록, 학생 기록, 기밀 정부 정보) E5 플러스 특정 규정 준수 설정이 필요해요. HIPAA용 BAA에 서명하세요. 필요한 경우 정보 장벽을 설정하세요. 규정 준수 팀과 협력해 Teams 설정과 통제를 문서화하세요. 데이터 주권이 중요하면 Microsoft 365 Advanced Data Residency를 고려하세요.

비밀번호와 자격 증명에는 암호화 수준과 관계없이 Teams 채팅은 적합한 도구가 아니에요. 1Password, Bitwarden 같은 전용 비밀번호 관리자나 조직의 기존 볼트를 사용하세요. 이건 Teams뿐만 아니라 모든 협업 플랫폼에 해당돼요.

실용적인 기준: 사무실의 유리벽 회의실에서 논의할 수 있는 주제라면 적절한 보안 설정을 갖춘 Teams로 충분해요. 전화기 없이 잠긴 방에서만 논의할 내용이라면 최소한 E2EE가 필요하며 클라우드 플랫폼이 요구 사항을 충족하는지 검토해야 해요.

팀이 하루 종일 함께 일하는 가상 오피스의 경우, Flat.social의 프라이빗 룸은 물리적 분리를 만드는 소리 차단 벽을 제공해요. 채팅 채널과는 다른 모델이며 일부 팀에게는 공간형 접근 방식이 누가 무엇을 들을 수 있는지 더 명확하게 해줘요.

관리자를 위한 Microsoft Teams 보안 모범 사례

Microsoft 공식 가이드와 실제 사고를 기반으로 한 실행 가능한 체크리스트예요. 2026년 3월 기준 Microsoft 365 E3/E5 테넌트에 적용돼요.

인증 및 접근:

• 조건부 액세스를 통해 모든 사용자에게 MFA 활성화 (사용자별 MFA가 아닌 — Microsoft가 폐지 예정)
• 레거시 인증 프로토콜 차단
• Teams 접근에 규정 준수 기기를 요구하는 조건부 액세스 정책 생성
• 명명된 위치를 설정하고 사업을 운영하지 않는 국가에서의 로그인 차단

외부 및 게스트 액세스:

• 외부 액세스를 "모두 허용" 대신 신뢰할 수 있는 도메인 허용 목록으로 제한
• 게스트 사용자에게 MFA 요구
• 게스트 액세스 만료 설정 (90일이 일반적인 기준)
• 분기마다 비활성 게스트 계정 검토 및 제거

회의 및 통화 보안:

• 조직 외부 사용자에 대해 대기실을 "모든 사용자"로 설정
• 특별히 필요한 경우가 아니면 익명 회의 참여 비활성화
• 민감한 프레젠테이션에 회의 워터마크 활성화 (Teams Premium)
• 회의 녹화를 주최자와 공동 주최자로 제한

데이터 보호:

• Teams 채팅에서 신용카드, 주민등록번호 등 PII 패턴에 대한 DLP 정책 배포
• 민감도 레이블을 활성화하고 새 팀에 기본 레이블 설정
• Microsoft Purview에서 감사 로깅 활성화
• 필요한 기간보다 오래 데이터가 보관되지 않도록 보존 정책 설정

모니터링:

• Teams용 Microsoft Defender for Office 365 안전한 첨부 파일 및 안전한 링크 활성화
• 매월 Teams 관리 센터 보안 보고서 검토
• Microsoft 365 서비스 상태 및 메시지 센터 알림 구독
• 분기마다 공격 시뮬레이션 훈련을 실시해 사용자 인식 테스트

기존 영상 회의의 대안을 찾는 팀에게 Flat.social 같은 공간형 플랫폼은 보안을 다르게 접근해요. 채널 권한과 DLP 규칙 대신 보안 모델이 공간적이에요: 프라이빗 룸이 소리를 차단하고 누가 대화를 들을 수 있을 만큼 가까이 있는지 정확히 볼 수 있어요. 더 간단하지만 엔터프라이즈 규정 준수와는 다른 용도를 위한 것이에요.

Microsoft Teams, Microsoft 365, Microsoft Entra ID, Microsoft Purview, Microsoft Defender는 Microsoft Corporation의 상표예요. 기타 모든 상표는 해당 소유자의 자산이에요.

결론: Microsoft Teams는 충분히 안전한가요?

Microsoft Teams는 올바르게 설정하면 진정으로 안전한 플랫폼이에요. 암호화는 견고하고, 규정 준수 인증은 실제적이며, 관리 도구는 깊이가 있어요.

하지만 "안전하다"에는 조건이 있어요. 조직에 적절한 라이선스 등급(실제 보안 통제를 위해 최소 E3, 고급 규정 준수를 위해 E5)이 필요해요. 조건부 액세스, DLP, 게스트 액세스 제한을 실제로 설정하는 관리자가 필요해요. 그리고 Teams 채팅에서 비밀번호를 공유하는 것이 어떤 플랫폼에서도 안전하지 않다는 걸 이해하는 사용자가 필요해요.

이번 주에 할 일:

1. 외부 및 게스트 액세스 설정을 감사하세요. 대부분의 조직은 한 번도 검토하지 않은 과도하게 허용적인 기본 설정을 가지고 있어요.
2. 아직 하지 않았다면 조건부 액세스를 통해 MFA를 활성화하세요. 이 하나의 변경이 대부분의 계정 침해를 차단해요.
3. DLP 정책을 검토하세요. 없다면 신용카드 번호와 주민등록번호용 기본 제공 템플릿부터 시작하세요.
4. Teams 라이선스 등급을 확인하세요. E1이나 Business Basic이라면 중요한 보안 기능이 빠져 있어요.
5. Microsoft 365 보안 권고를 구독하세요. 사용자보다 먼저 취약점을 알 수 있어요.

Teams 보안은 한 번 설정하고 잊어버리는 게 아니에요. 지속적인 실천이에요. 하지만 올바른 설정이면 조직의 커뮤니케이션을 맡길 수 있는 플랫폼이에요.

50가지 설정의 관리자 콘솔 없이 온라인 회의를 더 간단하게 하고 싶은 팀에게 Flat.social 같은 공간형 플랫폼은 다른 모델을 제공해요. 누가 근처에 있는지 보고, 기밀이 필요할 때 프라이빗 룸에 들어가고, 복잡한 권한 체계를 건너뛸 수 있어요. 10,000명 규모 기업에서 Teams를 대체하지는 않아요. 하지만 안전하고 자연스러운 대화를 원하는 5~200명 규모 팀이라면 한번 살펴볼 만해요.