All News

美 정부, Microsoft 보안 문화 "부적절"…중국 해커 공격 후 비판

By Mackenzie Crow

4/3, 16:00 EDT
Microsoft Corporation
article-main-img

핵심 요약

  • 미 정부는 중국 해커의 공격으로 인한 침해 사고 이후 Microsoft의 "부적절한" 보안 문화를 비판했으며, 이는 미국 정부 관계자와 전 세계 사용자에게 영향을 미쳤다.
  • 이 비판에는 필수적인 강화된 로깅 기능에 대해 추가 비용을 부과하는 Microsoft의 관행이 포함되어 있으며, 이는 에어백에 대해 더 많이 지불하는 것에 비유되었다.
  • 이번 침해 사고와 비판에 대응하여 Microsoft는 클라우드 로깅 기능을 무료로 확대하고 사이버 보안 관행을 전면 개선하는 "Secure Future Initiative"를 출범했다.

보안 문화에 대한 비판

미 정부는 화요일 보고서에서 Microsoft의 "부적절한" 보안 문화를 강하게 비판했다. 이 비판은 지난해 발생한 사이버 공격 이후 나온 것으로, 이 공격으로 인해 미국 정부 관계자들의 이메일에 접근할 수 있었다. 보고서는 이 사건이 "절대 일어나서는 안 되었다"고 지적했다. 국토안보부 사이버 안전 검토위원회는 Microsoft의 일련의 보안 실패를 지적했으며, 이를 중국 정부 지원 해킹 그룹 Storm-0558의 소행으로 밝혔다. 이 그룹은 미국 상무장관 Gina Raimondo를 포함한 22개 기관과 500명 이상의 개인 Microsoft Exchange 온라인 메일박스를 침해했다. 보고서는 감사 로깅이 사이버 공격을 식별하는 데 필수적인 역할을 한다고 강조했으며, 국무부가 프리미엄 로깅 기능을 구매했기 때문에 이번 침해를 탐지할 수 있었다고 지적했다.

강화된 로깅에 대한 논란

정부 보고서는 Microsoft가 강화된 또는 프리미엄 로깅 기능에 대해 추가 비용을 부과하는 관행을 비판했다. 이는 자동차 제조업체가 에어백에 대해 더 많은 비용을 요구하는 것에 비유되었다. 이 기능은 시간에 따른 시스템 활동을 추적하는 데 필수적이지만, 보고서는 영국 피해자들이 강화된 로깅 기능을 갖추지 못해 조사에 어려움을 겪었다고 지적했다. 이번 침해 사고에 대응하여 Microsoft는 2023년 7월 모든 고객에게 클라우드 로깅 기능을 무료로 확대하고, 2월에는 정부 기관을 위한 추가 로깅 기능을 도입했다.

Microsoft의 대응과 개선 노력

비판에 대해 Microsoft는 로깅 관행에 대해 언급하지 않았지만, 사이버 보안 태세 개선을 위한 조치를 취했다. 회사는 지난 가을 "Secure Future Initiative"를 발표하여 사이버 보안 관행을 전면 개선하겠다고 밝혔다. 사이버 안전 검토위원회는 이러한 노력을 인정했지만, Microsoft CEO 및 이사회의 직접적인 감독이 필요하다고 강조했다. 또한 시급한 변화 이행을 위해 고위 경영진의 책임을 물어야 한다고 촉구했다.

더 넓은 사이버 보안 및 프라이버시 우려

이 보고서의 초점은 Microsoft의 보안 관행에 맞춰져 있지만, 기술 업계 전반의 사이버 보안 및 프라이버시 우려도 있다. 예를 들어 Google은 사용자의 브라우징 기록을 무단으로 수집했다는 혐의와 관련해 수백만 건의 기록을 삭제하기로 합의했다. 이는 기술 기업들이 데이터를 수집하고 활용하는 방식에 대한 투명성 제고를 위한 중요한 조치로 볼 수 있다. 또한 재무부는 인공지능이 금융 사기를 더욱 정교하게 만들고 있다고 경고하며, 사이버 보안과 사기 방지에 대한 과제가 계속 진화하고 있음을 지적했다.

월가 의견

  • Jen Easterly, 사이버 보안 및 기반시설 보안청장(Microsoft 보안 관행에 대해 중립적):

    "우리는 기술 생태계를 보호하기 위해 함께 노력해야 하며, 스스로 방어할 수 없는 이들에게 그 부담을 지우지 말아야 합니다."