마이크로소프트, 깃허브 계정 차단 후 윈도우 제로데이 공개 비판
(thehackernews.com)마이크로소프트가 패치되지 않은 제로데이 취약점을 대중에 무단 공개한 보안 연구원에 강력히 반발하며 깃허브 계정을 차단하자, 해당 연구원이 추가 폭로를 예고하며 갈등이 심화하고 있습니다.
전문 번역
마이크로소프트는 공동 취약점 공개(CVD) 프로세스를 강력히 지지한다는 입장을 밝히며, 보안 연구 커뮤니티가 발견한 내용을 공유하고 취약점이 대중에 공개되기 전 영향을 받는 공급업체가 이를 명확히 이해하고 해결할 수 있는 기회를 달라고 촉구했습니다.
이번 사태는 'Chaotic Eclipse'(일명 Nightmare-Eclipse)라는 이름의 연구원이 지난 한 달간 마이크로소프트의 취약점 처리 프로세스 부실을 이유로 들며 디펜더와 비트커커를 포함한 다양한 윈도우 구성 요소에 영향을 미치는 여러 제로데이 취약점의 세부 정보를 대중에 공개하면서 시작되었습니다.
마이크로소프트는 "최근 몇 주 동안 여러 건의 제로데이 취약점이 대중에 공개되었다"라며, "이러한 취약점의 세부 정보는 공개 전에 마이크로소프트와 공유되지 않았으며, 이로 인해 당사 고객들이 불필요한 위험에 노출되었다"라고 밝혔습니다. 이어서 "무단 공개로 발생한 위험에 대응하기 위해 당사의 보안 팀은 영향력을 파악하고 고객을 보호하며 보안 업데이트를 개발하기 위해 24시간 내내 일하고 있다"라고 덧붙였습니다.
공개된 취약점은 블루해머(CVE-2026-33825), 레드썬(CVE-2026-41091), 언디펜드(CVE-2026-45498), 옐로우키(CVE-2026-45585), 그린플라즈마, 미니플라즈마 등 총 6개입니다. 이 중 블루해머, 레드썬, 언디펜드 등 3개 취약점은 {p:50} 이미 실제 환경에서 악의적인 공격에 적극적으로 악용되고 있습니다.
마이크로소프트는 이처럼 조율되지 않은 취약점 공개에 "단호히" 반대한다며, 패치되지 않은 취약점의 개념 증명(PoC) 코드가 악의적인 행위자의 손에 들어갈 경우 "현실 세계에 심각한 결과"를 초래할 수 있다고 경고했습니다. 또한 "보안 커뮤니티가 모두를 보호하기 위해 함께 협력할 수 있도록 다양한 관점을 환영한다. 모든 사안에 항상 동의할 수는 없겠지만, 투명성을 유지하고 대화의 기회를 계속 만들어 나갈 것을 약속한다"라며, "이러한 대화는 연구원 감사 행사, 보안 컨퍼런스, 그리고 취약점을 이해하고 해결하기 위해 매일 함께하는 업무 속에서 이루어진다"라고 강조했습니다.
이러한 무단 공개의 여파로 인해 깃허브는 지난주 해당 연구원의 계정을 폐쇄한 것으로 알려졌습니다. 이후 6개 취약점에 대한 익스플로잇 코드가 깃랩에 다시 업로드되었으나, 새로 생성된 깃랩 계정 역시 현재 차단된 상태입니다.
해당 연구원은 주말에 게시한 글을 통해 "정리해 보자면, 내가 적극적으로 소통을 요청했을 때는 거부하고 나를 모욕했으며 사람들 앞에서 대놓고 망신을 주었다"라고 주장했습니다. 이어서 "버그를 신고할 때 사용했던 마이크로소프트 계정을 완전히 삭제해 버려놓고는, CVE-2026-45585 보안 권고문을 통해 대중 앞에서 내 명예를 훼손했다. 나는 단 한 푼도 받지 않고 바보처럼 기쁘게 일해줬는데, 이제는 내 깃허브 계정까지 플래그를 지정해 대중 앞에서 흔적도 없이 지워버리는 호사를 누리느냐? 당신들은 이 갈등을 적극적으로 고조시키고 있다는 것을 모두에게 증명하고 있다. 하지만 난 이제 구걸하는 짓 따윈 끝냈다"라고 분통을 터뜨렸습니다.
이 연구원은 또한 2026년 7월 14일에 무언가를 공개할 예정이며, "그날 마이크로소프트의 뼈가 산산조각이 나도록 만들어 주겠다"라고 예고했습니다.
글쓴이의 한줄
마이크로소프트는 더이상 친화적인 기업이 아닌것같네요
댓글과 토론
아무리 마소의 요즘 행보가 비판받을 점이 많다 한들 저 연구원이라는 사람의 행동하는 방식 또한 지나치게 과격하고 무책임한 게 아닐까 싶기도 합니다.
특히 정보 보안과 관련해서는 어떤 특정한 취약점이 아무리 긴급하고 중대하다 한들 아무래도 (잘못 다루게 되면 제로데이 공격에 즉각적으로 악용될 수 있는) 민감한 부분이니 만큼 관련해서 확립된 원칙과 규범을 엄격히 따라야만 하는데 그 원칙과 규범을 심각하게 파괴해버렸다는 점에서 옹호나 지지를 받기엔 어려운 부분이라고 생각합니다.
취약점를 알려줬는데도 수정을 안하다니.. 마소 대단하다. 취약점를 이용해서 공격하려고 보호하나 생각마저 드네요. 리눅스로 가고 싶은 생각이 확 커집니다. 수정할 능력이 안되면 도움을 청하는게 맞지. 돈을 지불하기 싫으면 뭇매를 맞아야하고.. 약자행세를 하려하다니
전 아마추어입니다. 그냥 제게 필요한 걸 그때마다 적당히 만들어 사용합니다.
-
애초에 마소는 개발자에게 개발환경(문서 포함)을 엄청 지원해주면서도. 오픈소스 친화적이지는 않았죠.
-
사티아 나델라가 ceo가 된 이후. 오픈소스 친화적인 행보를 보이면서 더 호감이 생겼구요. 그 중 하나가 wsl이죠.
-
마소가 현재 ai 쪽에서는 죽쑤고 있다는 건 동의합니다. 깃헙 코파일럿이든 os에 통합된 코파일럿이든요.
-
어떤 이유로든. 제로데이 취약점에 대한 대비가 없는 상태에서 취약점을 공개한다는 건. 공개한 사람이 악의적인 해커라 생각합니다. 해킹이란 건. 취약점을 찾고 취약점을 이용하는 게 어려울 뿐. 내가 만든 프로그램이 모든 권한을 다 가진 채로 설치, 실행된다면. 누구나 악의적이인 프로그램을 만들 수 있죠.
마소가 대응을 잘했냐 못했냐 따지기 전에. 취약점에 대해 대비를 못했음에도 그걸 공개한 건. 사이버 테러일 뿐입니다
저한테는 이 연구원분의 태도가
내가 발견한 게 얼마나 위험한 취약점인데 당연히 전사의 역량을 동원해서 최우선 처리해야하는거 아님? 쒸익쒸익
같은 느낌으로 들리네요
제보 받고 해명 없이 일년씩 묵혀놓고 이러는 거면 마소쫏에 문제가 있는 거지만
대응이 자기 마음에 드는 속도가 아니라고 새로운 취약점 그냥 공개해버릴거야 이건 화이트 해커가 아니라 블랙 해커에 가까워보여요
마이크로소프트의 최근 행보에 대해 저도 아쉽게 생각합니다.다만 연구자의 행동도 문제라고 생각합니다.
일반적으로 보안 취약점은 벤더에 제보 후 90일이 지나야 연구자가 공개할 수 있는 관례가 있습니다.
개발자분들은 아시겠지만, 기존 업무에 추가되는 보안 패치는 시간이 걸릴 수밖에 없습니다. 그렇기에 그 기간 동안 위험도와 중요도를 산정해 순서대로 처리할 수 있도록, 관례적으로 90일이라는 공개 유예 시간이 생긴 것입니다.
이렇게 무책임하게 공개해버리는 건 마이크로소프트보다도 실제 사용자들을 무방비한 공격에 노출시키는 행동이라고 생각합니다.