# 제로데이 Windows 익스플로잇을 공개한 보안 연구자를 GitHub가 차단

> Clean Markdown view of GeekNews topic #29990. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=29990](https://news.hada.io/topic?id=29990)
- GeekNews Markdown: [https://news.hada.io/topic/29990.md](https://news.hada.io/topic/29990.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-05-29T21:35:37+09:00
- Updated: 2026-05-29T21:35:37+09:00
- Original source: [tomshardware.com](https://www.tomshardware.com/tech-industry/cyber-security/microsofts-github-bans-security-researcher-who-posted-zero-day-windows-exploits-because-company-ruined-their-life-expert-claims-action-is-vindictive-and-promises-further-retaliation)
- Points: 1
- Comments: 1

## Topic Body

- **Nightmare-Eclipse**의 GitHub 계정이 차단됐고, 그는 작업 공간을 GitLab로 옮기며 Microsoft의 보복 조치라고 주장함
- 갈등은 4월 초 **BlueHammer** 제로데이 공개로 본격화됐으며, Eclipse는 Microsoft가 신고와 보상 요청을 무시했다고 밝힘
- Microsoft는 차단 이유와 경위를 공개하지 않아, 쟁점이 **비표준 공개**인지 신고·보상 절차 실패인지 불명확함
- Eclipse는 BlueHammer, RedSun, UnDefend 등 Windows 제로데이 6개를 공개했고, 일부는 **실제 환경에서 활발히 악용**됨
- GitHub 차단은 이미 공개된 코드와 악용을 막기 어렵고, AI로 빨라진 취약점 발견 속에서 **공개·패치 절차**의 한계를 드러냄

---

### GitHub 계정 차단과 GitLab 이전
- Microsoft가 보안 연구자 **Nightmare-Eclipse**(Chaotic Eclipse)의 GitHub 계정을 아직 공개되지 않은 이유로 차단함
- Eclipse는 작업 공간을 [GitLab](https://gitlab.com/nightmare-eclipse)로 옮겼고, 버그 신고에 쓰던 Microsoft 계정도 이미 삭제됐다고 밝힘
- [블로그 글](https://deadeclipse666.blogspot.com/2026/05/july-14th.html)에서 이번 조치가 **보복적**이며, Microsoft가 소통을 거부했고 보상도 하지 않았다고 주장함
- Microsoft의 [MSRC 보상 프로그램](https://www.microsoft.com/en-us/msrc/bounty-programs)은 조건에 따라 엔드포인트 제로데이에 최대 **3만~10만 달러**, Hyper-V 취약점에 최대 **25만 달러**를 지급함
- Eclipse는 이미 6개의 제로데이 익스플로잇을 공개했고, **7월 14일** Microsoft에 대한 추가 공개가 있을 수 있음을 암시함

### Microsoft와 Eclipse의 갈등
- 갈등은 4월 초 Eclipse가 사전 경고 없이 **BlueHammer** 제로데이를 공개하면서 본격화됨
- Eclipse의 [블로그](https://deadeclipse666.blogspot.com/)는 Microsoft와 MSRC를 강하게 비판하며, Microsoft가 제로데이 신고를 무시하거나 거부했고 요청한 보상금을 지급하지 않아 금전적 피해를 입혔다고 주장함
- Eclipse는 Microsoft로부터 “삶을 망가뜨리겠다”는 말을 들었고 실제로 그렇게 됐다고 주장했으며, 일종의 **데드맨 스위치**가 있다고 밝힘
- Microsoft가 세부 경위를 공개하지 않아, 표준 공개 절차를 따르지 않은 연구자 문제인지 보안 신고를 어렵게 만든 회사 문제인지 판단하기 어려움

### MSRC 절차 논란과 공개 정책 압박
- Tharros의 William Dormann은 [BlueHammer 관련 글](https://medium.com/@taylorsmithgg/et-tu-defender-bluehammer-turns-windows-defender-against-you-666328724ec4)에서 MSRC가 과거에는 협업하기 좋았지만, 비용 절감으로 숙련자를 해고하고 절차표만 따르는 사람들을 남겼다고 비판함
- Dormann은 MSRC가 이제 익스플로잇 영상 제출을 요구하는 것으로 보이며, 신고자가 영상을 제출하지 않아 Microsoft가 케이스를 닫았을 가능성도 있다고 봄
- Microsoft가 침묵하면서 **책임 있는 취약점 공개** 절차와 보상 프로그램의 실제 운영 방식이 이번 갈등의 핵심인지 명확히 드러나지 않음
- AI 기반 보안 연구로 표준 **90일 공개-패치 기간**이 [사실상 낡은 모델이 됐다는 평가](https://www.tomshardware.com/tech-industry/cyber-security/standard-90-day-vulnerability-disclosure-policy-is-likely-dead-thanks-to-ai-leaving-worlds-systems-exposed-to-zero-day-attacks-security-expert-details-how-llm-assisted-bug-hunting-ushers-in-a-new-cyberworld-orders)가 나옴
- 익스플로잇까지 걸리는 시간과 미사용 익스플로잇이 [모두 0에 가까워지고 있다](https://www.tomshardware.com/tech-industry/cyber-security/zero-day-clock-visualizes-and-quantifies-the-effects-of-ai-on-software-security-time-until-exploit-went-from-one-year-to-one-day-and-projected-to-be-one-minute-soon-enough)는 맥락에서 Microsoft와 다른 소프트웨어 업체들의 정책 조정 필요성이 커짐

### 공개된 Windows 제로데이
- Eclipse는 여러 Windows 제로데이 익스플로잇을 공개함
- [BlueHammer](https://gitlab.com/nightmare-eclipse/BlueHammer)는 Defender를 통해 **SYSTEM 권한**을 얻는 취약점임
- [RedSun](https://gitlab.com/nightmare-eclipse/RedSun)도 SYSTEM 사용자 접근을 가능하게 함
- [UnDefend](https://gitlab.com/nightmare-eclipse/un-defend)는 **Defender를 오프라인** 상태로 만들 수 있음
- [GreenPlasma](https://gitlab.com/nightmare-eclipse/green-plasma)는 CTFMon 서비스를 통해 SYSTEM 접근을 얻음
- [MiniPlasma](https://gitlab.com/nightmare-eclipse/MiniPlasma)는 Windows Cloud Filter 드라이버 결함을 통해 유사한 권한 상승을 가능하게 함
- [YellowKey](https://www.tomshardware.com/tech-industry/cyber-security/microsoft-bitlocker-protected-drives-can-now-be-opened-with-just-some-files-on-a-usb-stick-yellowkey-zero-day-exploit-demonstrates-an-apparent-backdoor)는 BitLocker 취약점으로, 공격자가 거의 노력 없이 암호화된 드라이브를 열 수 있게 해 BitLocker의 핵심 목적을 무너뜨림

### 실제 악용과 보안상 파장
- **BlueHammer**, **RedSun**, **UnDefend**는 실제 환경에서 활발히 악용되고 있는 것으로 확인됨
- 나머지 취약점들도 전체 또는 부분 개념증명 코드가 공개돼, 관심 있는 공격자가 사용하기 쉬운 상태가 됨
- GitHub 계정 차단은 공개된 코드를 제거하거나 악용을 막는 데 충분하지 않으며, 연구자와 플랫폼 소유 기업 사이의 충돌을 더 키움
- 제로데이 공개, 보상금 분쟁, 계정 차단, AI로 빨라진 취약점 발견이 맞물리면서 기존 보안 신고·검증·패치 프로세스의 한계가 더 뚜렷해짐

## Comments



### Comment 58578

- Author: neo
- Created: 2026-05-29T21:35:38+09:00
- Points: 1

###### [Hacker News 의견들](https://news.ycombinator.com/item?id=48315968) 
- 웹 앱에서 보안 버그를 발견해도 더는 신고하지 않게 됨. 처음 신고했을 때는 **경찰에 체포될 뻔했고**, 두 번째에는 내게 답도 하지 않은 채 고용주에게 직접 연락해서 신고가 불쾌했고 수정 후 글로 쓰고 싶었다고 함  
  그 뒤로는 이런 번거로움을 감수할 가치가 없다고 판단했고, 그냥 놔두면 나도 평온한 하루를 보낼 수 있음
  - 원한다면 취약점을 **Finnish Cyber Security Centre**에 신고하면 되고, 그쪽에서 영향을 받은 당사자와의 신고·중재를 처리해 줌  
    완전 익명으로도 가능하니, 과민한 기업이 삶을 망칠까 걱정하지 않아도 됨. Traficom의 FCSC는 화이트햇 보안 연구자들이 공익에 계속 기여할 수 있게 해 주는 좋은 자산임
  - 한 번은 어떤 철도 노선이 소셜 미디어에 “누군가에게 좋은 일을 했다”는 사진을 올렸는데, 사무실 사진 속 벽에 여러 시스템의 **사용자명과 로그인 정보**가 적힌 A4 용지가 붙어 있었음  
    찾을 수 있는 연락처 세 곳에 신고했지만 한 곳만 답했고, 그 시스템들이 무엇을 하는지와 위험이 뭔지 물어봄. 나는 전혀 모르고, 정체 모를 시스템에 로그인해서 확인할 생각은 절대 없으니 내부 IT에 넘겨서 변경·교체할 것을 보라고 답함  
    결국 성실함에 감사하며 사진을 지웠으니 해결됐다는 답을 받았음. 이해하는 사람이 실제로 검토했기를 바라지만, 더 관여하지 않기로 함
  - 신경 쓰지 않는 게 낫다  
    한동안 직업적으로 화이트햇을 했지만, 솔직하고 도움이 되려는 시도가 지금은 위험하다는 데 동의함. 취약점을 팔기로 해도 그러려니 하게 됨
  - 규제를 비판하는 사람도 있겠지만, EU가 의무화한 **사이버 복원력 법(CRA)** 은 기업이 취약점 신고를 받을 명확한 연락 창구를 두고 실제로 대응하도록 만들었음
  - 익명으로 정부 기관에 익스플로잇을 신고해 볼 수도 있음

- 여기서 무슨 일이 벌어지는지는 모르겠지만, 대형 **버그 바운티 프로그램**의 제1원칙은 벤더 측 관련자 모두가 지급을 하도록 강하게 유인된다는 것임  
  많은 경우 내부 지표가 지급액에 걸려 있는 사람이 있고, 이런 프로그램에서 지급은 축하할 일임. Microsoft가 바운티 청구자를 괴롭혀 돈을 아끼려 한다고 보기는 거의 확실히 어려움  
  작은 회사에는 맞지 않을 수 있고, 그래서 작은 회사가 버그 바운티를 운영하면 안 되는 이유이기도 하지만, FAANG/MAG7 규모 회사에는 분명히 해당됨. 그렇다고 이런 프로그램이 항상 지급 쪽으로 관대하거나 사람을 화나게 할 결정을 안 한다는 뜻은 아님. 다만 앙심 때문에 지급을 보류한다는 주장과는 맞지 않음  
  단, Microsoft 쪽 사람과 이야기한 지 시간이 좀 지나서 약간 유보함
  - **YellowKey** 글을 읽어보면, 적어도 일부 사례에서는 미국 정보기관 등이 쓰는 Microsoft의 공식 백도어를 공개한 것처럼 보임. BitLocker가 안전하지 않고 백도어가 있다는 얘기임  
    TrueCrypt가 어느 날 갑자기 문을 닫고 모든 다운로드를 제거한 뒤 모두에게 Microsoft BitLocker로 옮기라고 권했던 뒤라, 아무도 예상 못 했던 일은 아니었음  
    [1] - [https://www.tomshardware.com/tech-industry/cyber-security/mi...](<https://www.tomshardware.com/tech-industry/cyber-security/microsoft-bitlocker-protected-drives-can-now-be-opened-with-just-some-files-on-a-usb-stick-yellowkey-zero-day-exploit-demonstrates-an-apparent-backdoor>)
  - 이 일은 신고자에게 동영상을 내놓게 설득하지 못하자, **관료주의**가 Bluehammer를 검토조차 거부한 데서 시작됐음  
    그리고 관료제를 고치기보다 계정을 금지하는 식으로 더 밀어붙인 건 정말 좋지 않은 모습임. 왜 Microsoft가 선의로 해석되는지 잘 모르겠음
  - 이 사람이 제기한 버그는 아주 명백한 **BitLocker 백도어**로 보이고, Microsoft가 암호화에서 무엇을 하고 있는지에 대해 매우 심각한 의문을 낳음  
    사용자 키 없이도 볼륨을 해독할 수 있을 가능성이 꽤 커 보이며, 이는 극도로 우려스러움. 없던 일로 만들려는 것 같지만 이미 공개돼 버렸음
  - 금지 조치 뒤에 똑똑했다면 그를 큰돈 주고 채용했을 것임. 이런 대기업들은 긴장하긴 해도 멍청하지 않다면 돈을 지급함  
    Microsoft라서 이런 일에 가장 진보적인 회사는 아닐 수 있으니, 그걸 깨달았는지는 모르겠음
  - 버그 바운티 심사를 하며 일할 때, 지급을 꺼린다는 증거는 본 적이 없음. 회사 쪽에서 본 최악의 행동은 개념 증명에서 “X는 피해주세요”라고 요청해 놓고, 그 지시를 무시한 연구자에게 더 높은 금액을 지급한 일이었음  
    결국 입증된 위험이 더 컸기 때문임. 반대로 어느 대형 프로그램은 한 연구자가 오래전에 평범한 XSS 익스플로잇으로 더 높은 지급 등급에 해당하는 효과를 낼 수 있다고 설득한 뒤, 이후 XSS를 찾을 때마다 같은 효과를 내는 개념 증명을 붙여 계속 부적절하게 높은 등급으로 지급받았음. 다른 연구자들의 XSS는 표에 적힌 XSS 등급으로 지급됐음  
    실제로 한 번은 예외가 떠오름. 누군가 회사 서버에 웹셸을 설치하는 성배 같은 일을 해냈고, 현재 기준이면 1만 달러 이상 가치가 있었음. 하지만 웹셸을 지우지 않고 보고서만 제출한 채 그대로 둠. 프로그램 책임자가 격분해서 그 이유로 바운티를 지급하고 싶지 않다고 구체적으로 말했음. 최종적으로 지급됐는지는 기억나지 않음

- Microsoft가 이 일을 후회하게 될 것 같음  
  누군가 **제로데이**를 찾아도 보상은 없고 계정만 금지됨. 그러면 그 제로데이를 다른 곳에 팔게 됨
  - 그런데 이 이야기는 제로데이 익스플로잇을 판 게 아니라 공개했다는 내용 아닌가. 제목에도 그렇게 되어 있음  
    그리고 Microsoft와 관련 없는 **GitLab**에서도 금지됐음
  - 다른 제로데이를 찾는 사람들도 있음. **평판**은 매우 중요함
  - 제로데이를 다른 곳에 판다고 해도 문제없을 듯함. CIA는 고위 간부가 요청만 해도 금괴 수백만 달러를 줄 수 있으니, 익스플로잇 구매에는 구매 주문서도 필요 없을 것 같음

- 최근 몇 달 동안 여러 관련 일에서 이상한 디지털 응답을 많이 겪었고, 무엇을 잘못하고 있는지 정확히 짚지 못해 답답했음. 그러다 기사에서 이 문장을 읽음  
  “하지만 비용을 아끼려고 Microsoft는 숙련된 사람들을 해고했고, **순서도 추종자**들만 남겼다.”  
  순서도 추종자라는 표현은 기억해 둘 만함. 생각하라고 돈 받는 게 아니라, 미리 깔린 절차를 따르라고 돈 받는 사람들임. 가까운 미래에는 디지털이든 실제 사람이든 이런 순서도 추종자를 훨씬 더 많이 상대하게 될 것 같음
  - 예전에 상대해야 했던 기업 보안 컨설팅 회사 대부분은 **체크리스트**로 움직였음
  - 정비사, 전기공, 건축업자 같은 많은 블루칼라 직종에서는 `flowchart`를 따르는 것이 사실상 법이고, 절차는 피와 책임으로 쓰인 것임  
    반면 IT, 운영, 개발자들은 스스로를 장인적이고 자유롭게 사고하는 지식인으로 봄. 절차를 따르는 것보다 지름길, 해킹, 틀 밖의 사고가 실력과 연결된다고 여김

- Microsoft에서 무슨 일이 벌어지는지 공개 입장이 있나? 왜 **Microsoft와 GitLab**이 모두 그 사용자를 금지했을까  
  두 플랫폼 모두 처음부터 명확히 표시하면 익스플로잇과 보안 연구 호스팅을 허용하는 줄 알았는데, 아마 어떤 규칙을 어긴 것 같음
  - 하드웨어 접근이 여전히 필요한 전체 디스크 암호화 익스플로잇이라면, 아마 세 글자짜리 정부 기관 같은 곳을 위해 만들어졌을 수도 있음

- 전령을 쏴 버리면 해결되겠지
  - 취약점을 패치하기보다 **국가 기관에 판매**하도록 유도하고 싶은 건지도 모름

- Microsoft가 GitHub에서 제로데이를 제거해야 하는 **편집 책임**을 스스로 만든 건가?  
  내 소프트웨어의 제로데이가 GitHub에 올라오면, Microsoft가 그 계정도 날려 버릴까?
  - 이번 조치가 왜 앞으로 다른 계정에 대해서도 조치해야 할 책임을 뜻하게 되는지 모르겠음

- 이 상황은 Microsoft가 **GitHub를 소유하는 구조적 이해상충**을 잘 보여줌  
  GitHub에는 활성화된 무기화 익스플로잇 호스팅에 대한 명확한 서비스 약관이 있지만, Windows를 겨냥한 연구자를 금지하는 모습은 정당한 사유가 있더라도 언제나 보복처럼 보일 수밖에 없음

- 매우 중요한 정보:  
  [https://www.theregister.com/security/2026/05/28/microsoft-0-...](<https://www.theregister.com/security/2026/05/28/microsoft-0-day-feud-escalates-as-researcher-threatens-another-windows-exploit-dump/5248085>)  
  링크된 Microsoft 블로그 글에서는 이렇게 말함  
  “이 취약점들의 세부 사항은 공개 전에 Microsoft에 공유되지 않았고, 그 공개는 고객을 불필요한 위험에 빠뜨렸다.”  
  그렇다면 Microsoft가 거짓말을 하는 건가? 아니라면 Nightmare-Eclipse가 왜 신고하지 않았을까? 꽤 이상한 상황임
  - “그 공개는 고객을 불필요한 위험에 빠뜨렸다”는 표현이 거슬림  
    책임 있는 공개였든 아니든, 고객을 위험에 빠뜨린 건 연구자가 아니라 **Microsoft 자신**임
  - Nightmare-Eclipse가 신고하지 않은 이유는, 불만을 품은 연구자인 척하는 **외국 정보기관의 위장 조직**일 수도 있기 때문임
  - 여기서 말하는 고객은 라이선스를 돈 주고 산 사람이나 회사가 아니라, 이 **백도어를 요청한 주체**일 수 있음