“중국 보안업체에 SW 결함 정보 차단”…마이크로소프트, 해킹 파장에 정책 전환

현지시각 20일, 미국(USA) IT 대기업 마이크로소프트(Microsoft·MS)가 소프트웨어(SW) 보안 결함 정보를 중국(China) 내 보안업체에는 사전 제공하지 않겠다고 공식 발표했다. 최근 대규모 해킹과 중국 내 보안법 논란이 맞물리며, SW 취약점 관련 글로벌 정보 공개 체계에서 중대한 변곡점이 생겼다는 평가다.

현지시간으로 20일, MS 대변인 데이비드 커디는 “이날부터 정부에 보안 보고 의무가 있는 국가의 보안 기업에는 보안 결함 관련 핵심 정보를 패치 공개 시점에만 제공한다”고 밝혔다. 중국 소속 보안업체 역시 이번 방침에 포함됐다. 

MS는 약 15년간 운영해온 ‘적극적 보호 프로그램(MAPP)’을 통해 전 세계 보안업체와 협력해 왔으나, 앞으로는 중국 MAPP 파트너사 등에는 SW 결함에 대한 구체적 코드 등 핵심 정보를 패치 공개 전 미리 제공하지 않는다. 기존 관행과 달리 사전 제공정보는 간략한 설명에 그칠 예정이다. 그동안 중국 포함 12개 이상의 MAPP 협력사가 취약점 상세 정보를 공식 패치 하루 전에 미리 받아왔다.

정책 전환의 직접적 계기는 최근 발생한 대규모 해킹 사건이다. 문서 공유 솔루션 ‘셰어포인트’가 5월 대규모 해킹을 당하며 미국 국가핵안보국(NNSA) 등 400여 개 기관이 피해를 입었다. 조사 결과, MS는 중국 정부 지원으로 알려진 ‘리넨 타이푼’ 및 ‘바이올렛 타이푼’을 공격 주체로 지목했으며, 또 다른 해킹 조직 ‘스톰-2603’도 SW 취약점을 활용한 것으로 드러났다. MS는 해킹 직후 MAPP 파트너를 통한 정보 유출 가능성도 공식 조사했다.

중국 내 사이버 보안법 역시 이번 결정에 영향을 준 배경으로 꼽힌다. 중국 현행법에 따르면 현지 보안업체나 소프트웨어 기업은 결함 발견 시 48시간 이내에 당국에 의무 보고해야 한다. 미 사이버보안업체 ‘센티넬원’의 다코타 캐리 컨설턴트는 “중국 기업은 정부 요청에 응할 수밖에 없는 구조”라며, “이번 정보 제한은 불가피한 조치”라고 진단했다.

뉴욕타임스 등 국제 매체들은 “미중 사이버 신뢰의 균열이 현실화됐다”며 이번 조치가 글로벌 보안 정보 협력 시장의 판도를 좌우할 수 있다고 분석했다. 전문가들은 “중국 등 당사국과의 정보 격리로 인해 정부 정책, 보안 업계 업무 방식이 연쇄적으로 바뀔 것”이라고 전망한다.

MS가 2021년에도 유사 사건(익스체인지 서버 결함) 당시 중국계 파트너의 유출 정황을 주시한 바 있어, 이번 형태의 사전 정보 제공 차단이 일시적 조치에 그치지 않을 가능성도 거론된다.

글로벌 SW 보안 업계에선 중국 업체에 대한 접근 통제 강화가 시장 모니터링과 위협 판별 역량 분배에 영향을 준다는 우려가 나온다. 국제사회는 향후 MS와 각국 보안 기업 간 정보 교류, 그리고 미중 정보전의 추이에 관심을 집중하고 있다.