마이크로소프트, 보안 연구자에 형사고발 위협으로 논란
원제: Microsoft under fire for threatening security researcher with criminal investigation
왜 중요한가
대기업과 독립 보안 연구자 간 취약점 공개 방식에 대한 오랜 논쟁이 재점화되며 사이버보안 업계에 파급효과가 예상된다.
마이크로소프트가 'Nightmare Eclipse'라는 보안 연구자가 윈도우 디펜더, 비트로커 등의 취약점을 공개적으로 공개한 것에 대해 형사고발을 위협했다. 연구자는 마이크로소프트가 자신을 부당하게 대했다며 공개 공시했다고 주장했다.
마이크로소프트가 5월 29일 블로그를 통해 'Nightmare Eclipse'라는 보안 연구자를 비판하며 법적 조치를 시사했다. 해당 연구자는 BlueHammer, RedSun, UnDefend, YellowKey 등의 취약점을 윈도우 디펜더 안티바이러스 엔진과 비트로커 디스크 암호화 도구에서 발견해 공개했다. 마이크로소프트는 연구자가 패치 전 취약점과 익스플로잇 코드를 공개한 것을 문제 삼았으며, 이로 인해 실제 해커들의 공격에 악용됐다고 밝혔다. 미국 사이버보안청 CISA도 이를 확인했다. 마이크로소프트 디지털범죄수사부는 "범죄 행위를 가능하게 하는 행위자들에 대해 전 세계 법 집행기관과 협력해 계속 사건을 제기할 것"이라고 경고했다. 반면 Nightmare Eclipse는 마이크로소프트가 자신의 보안 대응 센터 계정을 해지하는 등 부당하게 대했기 때문에 공개 공시할 수밖에 없었다고 주장했다. 연구자의 GitHub, GitLab 계정은 이미 차단된 상태다.