GN⁺: 마이크로소프트, 보안보다 이익을 우선시했다고 내부고발자 주장

 (propublica.org)
1P by neo 3달전 | favorite | 댓글 1개

마이크로소프트, 보안보다 이익을 선택해 미국 정부를 러시아 해킹에 취약하게 만들었다고 내부고발자가 주장

전직 직원의 경고 무시

  • 주요 내용: 전직 마이크로소프트 직원 앤드류 해리스는 회사가 중요한 보안 결함을 무시했다고 주장함. 이 결함은 러시아 해커들이 미국의 국가 핵 보안 관리국(NNSA)을 포함한 여러 기관을 침해하는 데 사용됨.
  • 해리스의 발견: 해리스는 마이크로소프트의 클라우드 애플리케이션에서 사용자가 클라우드 기반 프로그램에 로그인할 수 있도록 하는 애플리케이션에서 심각한 결함을 발견함. 이 결함은 해커들이 합법적인 직원으로 가장해 중요한 데이터를 훔칠 수 있게 했음.
  • 회사의 반응: 해리스는 이 결함을 동료들에게 알렸지만, 회사는 정부 사업을 잃을 것을 우려해 이를 무시함. 마이크로소프트는 장기적인 대안을 마련하겠다고 했지만, 그 동안 클라우드 서비스는 여전히 취약한 상태로 남아 있었음.

솔라윈즈 해킹 사건

  • 해킹 사건 발생: 해리스가 회사를 떠난 후, 러시아 해커들이 솔라윈즈(SolarWinds) 해킹 사건을 통해 여러 연방 기관의 민감한 데이터를 훔침. 이 해킹은 미국 역사상 가장 큰 사이버 공격 중 하나로 기록됨.
  • 해킹 방법: 해커들은 해리스가 발견한 결함을 이용해 여러 연방 기관의 데이터를 훔쳤으며, 이는 장기적인 정보 수집을 위한 스파이 활동으로 묘사됨.

마이크로소프트의 대응

  • 공식 입장: 마이크로소프트는 고객 보호가 최우선이라고 주장하며, 모든 보안 문제를 철저히 검토한다고 밝혔음. 그러나 해리스는 회사가 고객보다 이익을 우선시했다고 비판함.
  • 보안 문화: 마이크로소프트는 보안 문화가 부족하다는 비판을 받았으며, 회사 내부에서도 보안보다 이익을 우선시하는 문화가 문제로 지적됨.

GN⁺의 의견

  • 보안과 이익의 균형: 기업이 보안보다 이익을 우선시할 경우, 장기적으로 고객 신뢰를 잃을 수 있음. 이는 결국 회사의 평판과 수익에 부정적인 영향을 미칠 수 있음.
  • 정부와의 관계: 정부와의 계약을 유지하기 위해 보안 문제를 무시하는 것은 단기적으로는 이익이 될 수 있지만, 장기적으로는 국가 안보에 큰 위협이 될 수 있음.
  • 보안 문화 개선 필요: 마이크로소프트와 같은 대기업은 보안 문화를 개선하고, 보안 문제를 신속하게 해결하는 시스템을 구축해야 함. 이는 고객 신뢰를 유지하고, 장기적인 성공을 보장하는 데 중요함.
  • 경쟁 제품: 오크타(Okta)와 같은 경쟁 제품도 존재하며, 이러한 제품들은 보안에 더 중점을 두고 있음. 기업은 다양한 옵션을 고려해 최적의 보안 솔루션을 선택해야 함.
  • 기술 도입 시 고려사항: 새로운 기술을 도입할 때는 보안 문제를 철저히 검토하고, 잠재적인 취약점을 미리 파악해 대응책을 마련해야 함. 이는 해킹과 같은 사이버 공격을 예방하는 데 중요함.
neo 3달전  [-]
Hacker News 의견

  • Zero Trust 모델: 조직 내 네트워크를 외부처럼 취급하고 완전한 신뢰를 두지 않는 것이 중요함. Google은 BeyondCorp를 통해 이를 구현하여 내부 침해를 방지함.

  • 보안과 이익의 불일치: 보안과 이익 간의 불일치는 문화적 변화 없이는 해결하기 어려움. 현재로서는 무엇이 이를 촉발할지 불확실함.

  • 사이버 보안의 현실: 사이버 보안 업계는 실제 보안보다 규정 준수에 집중하는 경향이 있음. 규정 준수 기준이 부족하거나 제대로 시행되지 않음.

  • 정부와 기업의 관계: 정부에 제품을 판매하는 기업들은 많은 돈을 벌 수 있으며, 이를 위해 부정적인 부분을 숨기기도 함. 이는 기본적인 윤리와 정직성의 부식을 초래함.

  • 보안 인센티브: 보안 인센티브가 부족함. 판매 직원은 성과에 따라 보상을 받지만, 보안 직원은 성과가 없으면 해고됨. 이는 보안 문화를 저해함.

  • 보안 우선주의: "보안을 우선시하라"는 경영진의 말은 중요하지 않음. 보안 문화를 보상하지 않으면 직원들은 다른 우선순위에 최적화됨.

  • Microsoft의 보안 접근: Microsoft의 CEO Satya Nadella는 보안을 우선시한다고 말하지만, 실제로는 광고와 사용자 활동 기록에 집중함.

  • 정부의 스마트 카드 사용: 미국 정부는 스마트 카드 인증을 사용하여 보안을 강화하려고 함. 그러나 Seamless SSO를 비활성화하면 사용자가 클라우드에 접근하기 어려워짐.

  • 이익 우선주의: 대부분의 기업은 보안보다 이익을 우선시함. 이는 Microsoft만의 문제가 아님.

  • Golden SAML 공격: Golden SAML은 취약점이 아니라 공격 유형임. SSO 인프라가 손상되면 모든 것이 위험에 처함.

  • 비유적 설명: 다리 건설 회사가 구조적 결함을 무시하고 다리가 붕괴되는 상황을 비유로 들어, IT 업계에서도 비슷한 일이 발생한다고 설명함.

  • 법적 규제 필요성: 네트워크 보안에 대한 법적 규제가 필요함. 기술이 스스로를 규제할 수 없다는 인식이 커지고 있음. 미국 정부가 Microsoft의 클라우드를 신뢰하지 않게 되면 대체할 곳이 많지 않음.

답변달기