Name: Doppler VPN
Brand: Doppler VPN
Price: 6.99 USD
Availability: InStock

공개 분쟁으로 비난받는 마이크로소프트

마이크로소프트는 자사 제품의 일련의 미패치 취약점과 개념 증명(Proof-of-Concept) 악용 코드를 공개한 보안 연구원에 대해 법적 조치와 사법당국 개입을 검토하겠다고 경고해 비판을 받고 있다.

수요일 게시한 블로그 글에서 회사는 "나이트메어 이클립스"라는 필명을 사용하는 연구원이 Windows 디펜더 및 비트로커를 포함해 영향을 받았다고 주장하는 버그의 세부 정보를 공개한 것을 비판했다. 마이크로소프트는 해당 공개가 취약점이 패치되기 전에 이루어졌기 때문에 "책임 있는" 공개가 아니었다고 말했다.

회사의 대응은 대형 소프트웨어 플랫폼의 취약점을 보안 연구자들이 어떻게 다루어야 하는지에 대한 오랜 논쟁에 다시 불을 지폈다. 특히 취약점이 마이크로소프트와 같은 자원을 가진 기업의 널리 사용되는 도구들에 영향을 줄 때 그 문제는 더욱 민감하다.

마이크로소프트는 나이트메어 이클립스가 공개한 일부 취약점이 회사와 미국 사이버보안청 CISA에 따르면 실제 공격에서 해커들에게 사용된 것으로 보고했다. 또한 자사의 디지털 범죄 단속 부서는 사법당국과의 협력을 포함해 범죄 활동에 기여한 것으로 판단되는 대상에 대해 계속해서 소송을 진행하겠다고 밝혔다.

나이트메어 이클립스는 지난 몇 주 동안 일련의 블로그 게시물에서 마이크로소프트와 접촉했다고 주장하며 회사가 자신을 부당하게 대했다고 밝혔다. 연구원은 마이크로소프트가 자신들의 Microsoft Security Response Center 계정 접근 권한을 취소했다고 주장했는데, 연구원은 이로 인해 공개 공개(자동 공개) 외에는 의미 있는 책임 있는 공개 경로가 남지 않았다고 제시했다.

그 이후 해당 버그들은 오픈 소스 저장소에 게시되었고, 거기에는 취약점이 어떻게 악용될 수 있는지를 보여주는 코드가 함께 첨부되었다. 패치 없이 공개되자마자 해당 문제들은 제로데이 취약점이 되었다 — 공개 또는 악용 시점에 소프트웨어 제작자가 알지 못했던 결함이다.

마이크로소프트의 비판은 연구원이 먼저 비공개로 보고했어야 한다는 주장에 초점을 맞추고 있다. 반면 연구원의 입장은 블로그 게시물에서 제시된 대로 마이크로소프트의 대응 방식이 자신들에게 책임 있는 공개를 할 실질적인 경로를 남기지 않았다는 것이다. 이 분쟁은 이제 마이크로소프트의 보안 대응 절차를 정밀 조사받게 만들었고, 공익적 연구와 공격자에게 도움을 줄 수 있는 행위 사이의 경계가 어디에 있는지에 대한 새로운 의문을 제기하고 있다.

출처:

techcrunch.com

프라이빗하게 탐색하려면 Doppler VPN — 로그 미보관, 원터치 연결.