MS, 보안 결함 정보 중국 기업에 미제공 결정… 셰어포인트 해킹 영향
||2025.08.21
마이크로소프트(MS)가 자사 소프트웨어(SW)의 보안 결함 발견 시 중국 기업에 관련 정보를 미리 제공하지 않기로 결정했다고 블룸버그 통신이 20일(현지시각) 보도했다.
MS 대변인 데이비드 커디는 “지난달부터 새로운 제도를 시행했다”며 “보안 취약점 발견 시 정부에 보고 의무가 있는 국가의 기업들이 새 제도의 영향을 받는다”라고 밝혔다. 이에 따라 중국을 포함한 기업들은 보안 취약점에 대한 주요 정보를 제공받지 않고, 대신 일반적인 설명만 제공받게 된다. 또한, 취약점을 수정하는 보안 패치가 배포될 시점에 코드를 발송하기로 했다.
MS는 그동안 전 세계 보안 기업들과 협력해 적극적 보호 프로그램(MAPP)을 운영해왔다. 이 제도는 MS 제품에서 보안 결함을 발견하면, 패치가 공개되기 전에 보안 기업들에 미리 정보를 제공해 고객 보호를 강화하는 시스템이다. 하지만 이번 변화는 셰어포인트 대규모 해킹 공격을 계기로 나왔다. 이 공격으로 미국 국가핵안보국(NNSA)을 포함해 400곳이 넘는 기관과 기업들이 해킹을 당했다. MS는 중국 정부의 지원을 받는 해커 조직인 리넨 타이푼과 바이올렛 타이푼을 이번 공격의 주범으로 지목했다.
MS는 이 해킹 사건 직후 MAPP 파트너들로부터 취약점 관련 정보가 유출됐을 가능성을 조사한 바 있다. MAPP 그룹에는 12곳 이상의 중국 기술·보안 기업이 포함돼 있으며, 이들 기업은 보안 패치가 공개되기 최소 24시간 전에 관련 정보를 받아볼 수 있었다. MS는 2021년에도 익스체인지 서버 취약점 관련 정보가 중국 MAPP 파트너사에 의해 유출됐다고 판단했다.
블룸버그 통신은 MS의 결정이 중국법에서 비롯된 것이라고 전했다. 중국 법은 사이버 보안 결함을 발견한 기업이나 연구자가 48시간 이내에 당국에 보고하도록 의무화하고 있기 때문이다. 미국 사이버 보안 기업 센티넬원의 다코타 캐리는 “MS가 중국 기업의 접근을 제한한 것은 잘한 결정”이라며 긍정적인 평가를 했다.
