마이크로소프트(MS)가 자사 소프트웨어(SW)의 보안 결함 발견시 관련 정보를 중국 기업에 대해서는 미리 제공하지 않기로 했다고 블룸버그 통신이 20일 보도했다.

MS 대변인 데이비드 커디는 "지난달부터 새로운 제도를 시행했다"며 "보안 취약점 발견시 정부에 보고 의무가 있는 국가의 기업들이 새 제도에 영향을 받는다"고 밝혔다. 여기에는 중국도 포함된다.

MS는 이에 정보 제공이 제한되는 보안 기업에 더 이상 취약점을 알려주는 코드 등의 주요 정보를 제공하지 않고, 일반적인 설명만 제공하기로 했다. 또 취약점을 수정하는 패치(보안 프로그램)가 배포되는 시점에 코드를 발송하기로 했다.

보안 기업들은 그동안 이 코드를 사전에 받아 보안 취약점에 대한 사전 방어책을 만들 수 있었다.

MS는 그동안 전 세계 보안 기업들과 협력해 적극적 보호 프로그램(MAPP)이라는 제도를 운용해 왔다.

이는 MS 제품에서 보안 결함 발견시 이를 개선하기 위한 패치를 공개하기 전에 보안 기업들에 미리 정보를 제공해 고객 보호를 강화할 수 있도록 하는 제도다.

이번 변화는 기업 및 기관에서 문서 공유, 협업, 업무 자동화 등에 사용되는 MS 제품인 셰어포인트가 지난달 대규모 해킹 공격을 당한 이후 나왔다.

이 공격으로 미국 핵무기 개발 및 유지 책임 기관인 미국 국가핵안보국(NNSA)을 포함해 400곳이 넘는 정부 기관과 기업이 해킹을 당했다.

MS는 이번 공격을 주도한 집단으로 중국 정부의 지원을 받는 해커 조직 리넨 타이푼과 바이올렛 타이푼을 지목했고, 중국 기반 또 다른 해킹 조직 스톰-2603도 셰어포인트의 취약점을 이용했다고 밝힌 바 있다.

MS는 이번 해킹 사건 직후 MAPP 파트너들로부터 취약점 관련 정보가 유출됐을 가능성을 조사한 것으로 알려졌다.

MAPP 그룹에는 12곳 이상의 중국 기술·보안 기업이 포함돼 있으며, 이들은 지금까지 보안 패치가 공개되기 최소 24시간 전에 관련 정보를 받아볼 수 있었다.

MS는 2021년에도 자사의 이메일 및 일정 관리 서버 소프트웨어인 익스체인지 서버 취약점 관련 정보가 중국 MAPP 파트너사에 의해 유출된 것으로 봤다.

블룸버그 통신은 중국 기업에 대한 이런 우려는 일정 부분 중국법에서 비롯된다고 전했다. 이 법은 사이버 보안 결함을 발견한 기업이나 연구자는 48시간 이내에 중국 당국에 보고하도록 의무화하고 있기 때문이다.

미국 사이버 보안 기업 센티넬원에서 중국 관련 문제를 전문으로 하는 컨설턴트 다코타 캐리는 "MS가 중국 기업의 접근을 제한한 것은 잘한 결정"이라며 "중국 기업은 정부의 요구에 대응할 수밖에 없기 때문에 정보를 제한하는 것이 맞다"고 말했다.

<연합뉴스>