MS 보안 문제, 연구자들 불만 폭발

영상에 따르면, Nightmare Eclipse라는 익명의 공격자는 Microsoft 제품의 0-day 취약점을 연이어 공개하며 보안 커뮤니티의 주목을 받고 있습니다. 이들은 6주간 6개의 윈도우 제로데이 익스플로잇을 공개했으며, 이는 Microsoft의 보안 대응 체계에 대한 심각한 의문을 제기합니다. 특히, 이 공격자는 개인적인 복수심이나 순수한 혼란 야기를 목적으로 활동하는 것으로 보이며, 일반적인 금전적 이득이나 정치적 목적과는 다른 양상을 보입니다. 이러한 활동은 보안 연구자 커뮤니티 내에서도 이례적인 사례로 받아들여지고 있습니다.

영상에서는 Microsoft의 취약점 공개 처리 방식에 대한 보안 연구자들의 불만이 상세히 다뤄집니다. 연구자들은 자신들이 발견한 취약점을 보고해도 Microsoft가 적절한 보상이나 CVE(Common Vulnerabilities and Exposures) 할당 없이 문제를 해결하거나, 심지어 보안 연구자에게 책임을 전가하는 듯한 태도를 보인다고 주장합니다. 이는 보안 연구 생태계 전반의 신뢰도를 저해할 수 있으며, 책임 있는 취약점 공개(Responsible Disclosure) 문화를 약화시킬 수 있다는 우려를 낳고 있습니다. 특히, 장기간의 비공개 기간 요구와 보상 없는 수정은 연구자들의 동기를 저하시키는 요인으로 지적됩니다.

이 문제는 단순한 기술적 이슈를 넘어 미국 정부 기관의 개입까지 불러왔습니다. 법무부와 연방거래위원회(FTC)는 Microsoft의 반복적인 보안 관리 소홀과 취약점 공개 처리 과정에서의 문제점에 대해 조사를 촉구하는 서한을 보냈습니다. 이는 Microsoft가 고객 데이터 보호 및 국가 안보에 미치는 영향이 크다는 점을 시사합니다. 영상에서는 Microsoft가 과거 10년간 발견된 제로데이 취약점의 상당수에 연루되어 있다는 점을 지적하며, 근본적인 보안 문화 개선의 필요성을 강조합니다.

영상은 Microsoft가 보안 연구자들의 노력을 제대로 인정하지 않고 오히려 불이익을 주는 듯한 행태를 반복하고 있다고 비판합니다. 예를 들어, 한 연구자가 발견한 명령어 주입(Command Injection) 취약점은 10년 동안 방치되었으나, 보고 후에도 CVE 할당이나 보상 없이 수정되었고, 심지어 연구자에게 비공개 기간 연장을 요구하는 등 석연치 않은 과정을 거쳤습니다. 이러한 Microsoft의 일방적인 처리 방식은 보안 커뮤니티 내에서 불신을 키우고 있으며, 보안 생태계의 건강성을 해치는 주요 원인으로 지목됩니다.