# 마이크로소프트, 보안보다 이익을 우선시했다고 내부고발자 주장

> Clean Markdown view of GeekNews topic #15330. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=15330](https://news.hada.io/topic?id=15330)
- GeekNews Markdown: [https://news.hada.io/topic/15330.md](https://news.hada.io/topic/15330.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2024-06-14T09:43:00+09:00
- Updated: 2024-06-14T09:43:00+09:00
- Original source: [propublica.org](https://www.propublica.org/article/microsoft-solarwinds-golden-saml-data-breach-russian-hackers)
- Points: 1
- Comments: 1

## Topic Body

### 마이크로소프트, 보안보다 이익을 선택해 미국 정부를 러시아 해킹에 취약하게 만들었다고 내부고발자가 주장

#### 전직 직원의 경고 무시

- **주요 내용**: 전직 마이크로소프트 직원 앤드류 해리스는 회사가 중요한 보안 결함을 무시했다고 주장함. 이 결함은 러시아 해커들이 미국의 국가 핵 보안 관리국(NNSA)을 포함한 여러 기관을 침해하는 데 사용됨.
- **해리스의 발견**: 해리스는 마이크로소프트의 클라우드 애플리케이션에서 사용자가 클라우드 기반 프로그램에 로그인할 수 있도록 하는 애플리케이션에서 심각한 결함을 발견함. 이 결함은 해커들이 합법적인 직원으로 가장해 중요한 데이터를 훔칠 수 있게 했음.
- **회사의 반응**: 해리스는 이 결함을 동료들에게 알렸지만, 회사는 정부 사업을 잃을 것을 우려해 이를 무시함. 마이크로소프트는 장기적인 대안을 마련하겠다고 했지만, 그 동안 클라우드 서비스는 여전히 취약한 상태로 남아 있었음.

#### 솔라윈즈 해킹 사건

- **해킹 사건 발생**: 해리스가 회사를 떠난 후, 러시아 해커들이 솔라윈즈(SolarWinds) 해킹 사건을 통해 여러 연방 기관의 민감한 데이터를 훔침. 이 해킹은 미국 역사상 가장 큰 사이버 공격 중 하나로 기록됨.
- **해킹 방법**: 해커들은 해리스가 발견한 결함을 이용해 여러 연방 기관의 데이터를 훔쳤으며, 이는 장기적인 정보 수집을 위한 스파이 활동으로 묘사됨.

#### 마이크로소프트의 대응

- **공식 입장**: 마이크로소프트는 고객 보호가 최우선이라고 주장하며, 모든 보안 문제를 철저히 검토한다고 밝혔음. 그러나 해리스는 회사가 고객보다 이익을 우선시했다고 비판함.
- **보안 문화**: 마이크로소프트는 보안 문화가 부족하다는 비판을 받았으며, 회사 내부에서도 보안보다 이익을 우선시하는 문화가 문제로 지적됨.

#### GN⁺의 의견

- **보안과 이익의 균형**: 기업이 보안보다 이익을 우선시할 경우, 장기적으로 고객 신뢰를 잃을 수 있음. 이는 결국 회사의 평판과 수익에 부정적인 영향을 미칠 수 있음.
- **정부와의 관계**: 정부와의 계약을 유지하기 위해 보안 문제를 무시하는 것은 단기적으로는 이익이 될 수 있지만, 장기적으로는 국가 안보에 큰 위협이 될 수 있음.
- **보안 문화 개선 필요**: 마이크로소프트와 같은 대기업은 보안 문화를 개선하고, 보안 문제를 신속하게 해결하는 시스템을 구축해야 함. 이는 고객 신뢰를 유지하고, 장기적인 성공을 보장하는 데 중요함.
- **경쟁 제품**: 오크타(Okta)와 같은 경쟁 제품도 존재하며, 이러한 제품들은 보안에 더 중점을 두고 있음. 기업은 다양한 옵션을 고려해 최적의 보안 솔루션을 선택해야 함.
- **기술 도입 시 고려사항**: 새로운 기술을 도입할 때는 보안 문제를 철저히 검토하고, 잠재적인 취약점을 미리 파악해 대응책을 마련해야 함. 이는 해킹과 같은 사이버 공격을 예방하는 데 중요함.

## Comments



### Comment 26251

- Author: neo
- Created: 2024-06-14T09:43:01+09:00
- Points: 1

###### [Hacker News 의견](https://news.ycombinator.com/item?id=40667976) 
- **Zero Trust 모델**: 조직 내 네트워크를 외부처럼 취급하고 완전한 신뢰를 두지 않는 것이 중요함. Google은 BeyondCorp를 통해 이를 구현하여 내부 침해를 방지함.

- **보안과 이익의 불일치**: 보안과 이익 간의 불일치는 문화적 변화 없이는 해결하기 어려움. 현재로서는 무엇이 이를 촉발할지 불확실함.

- **사이버 보안의 현실**: 사이버 보안 업계는 실제 보안보다 규정 준수에 집중하는 경향이 있음. 규정 준수 기준이 부족하거나 제대로 시행되지 않음.

- **정부와 기업의 관계**: 정부에 제품을 판매하는 기업들은 많은 돈을 벌 수 있으며, 이를 위해 부정적인 부분을 숨기기도 함. 이는 기본적인 윤리와 정직성의 부식을 초래함.

- **보안 인센티브**: 보안 인센티브가 부족함. 판매 직원은 성과에 따라 보상을 받지만, 보안 직원은 성과가 없으면 해고됨. 이는 보안 문화를 저해함.

- **보안 우선주의**: "보안을 우선시하라"는 경영진의 말은 중요하지 않음. 보안 문화를 보상하지 않으면 직원들은 다른 우선순위에 최적화됨.

- **Microsoft의 보안 접근**: Microsoft의 CEO Satya Nadella는 보안을 우선시한다고 말하지만, 실제로는 광고와 사용자 활동 기록에 집중함.

- **정부의 스마트 카드 사용**: 미국 정부는 스마트 카드 인증을 사용하여 보안을 강화하려고 함. 그러나 Seamless SSO를 비활성화하면 사용자가 클라우드에 접근하기 어려워짐.

- **이익 우선주의**: 대부분의 기업은 보안보다 이익을 우선시함. 이는 Microsoft만의 문제가 아님.

- **Golden SAML 공격**: Golden SAML은 취약점이 아니라 공격 유형임. SSO 인프라가 손상되면 모든 것이 위험에 처함.

- **비유적 설명**: 다리 건설 회사가 구조적 결함을 무시하고 다리가 붕괴되는 상황을 비유로 들어, IT 업계에서도 비슷한 일이 발생한다고 설명함.

- **법적 규제 필요성**: 네트워크 보안에 대한 법적 규제가 필요함. 기술이 스스로를 규제할 수 없다는 인식이 커지고 있음. 미국 정부가 Microsoft의 클라우드를 신뢰하지 않게 되면 대체할 곳이 많지 않음.