MS, “우리도 고객도 문제지만 NSA가 제일 문제”

취약점 알고도 숨기다 해커한테 빼앗긴 NSA 강력히 비판
미사일 다루듯 사이버 취약점 다루고 ‘디지털 제네바 협약’ 이행해야

윈도우즈의 SMB 취약점을 미리 파악하고도 MS에 알리지 않은데다 해커에게 익스플로잇을 도난당하기까지 한 NSA를 비난하는 마이크로소프트측은 “기술 기업으로서 MS가 이번 사태 해결에 최우선적 책임이 있다”고 밝히며, 자사의 3,500명 이상의 보안 엔지니어와 MS위협첩보센터(MSTIC), 디지털범죄유닛(DCU) 등을 통해 밝혀낸 바를 전 세계 사법당국과 정부기관, 그리고 고객들과 공유할 것을 약속했다.

그리고, “이번 사태는 기술 기업과 고객이 사이버 보안에 있어 공동책임이 있다는 걸 보여주는 사건”이라고 말했는데, 이는 MS가 패치를 출시한 지 두 달이 지났는데도 컴퓨터를 공격에 취약한 상태로 방치한 고객들에게 일침을 가한 것으로 볼 수 있다. 스미스는 “사이버 범죄자들이 나날이 정교해지는 마당에 고객이 시스템 업데이트를 하지 않는다면 스스로를 지킬 길은 정말 아무것도 없는 셈”이라고 강조했다. MS도 책임이 있지만 보안에 무심한 고객들도 책임이 있다는 것이다.

마지막으로 “이번 공격은 왜 정부기관이 취약점을 비축하면 안 되는지 보여준다”고 말하며 이런 사례가 2017년 들어 두드러지고 있다고 지적했다. “우리는 미 중앙정보국(CIA)이 취약점을 비축해 왔다는 걸 위키리크스를 통해 알 수 있었고, 이제 NSA가 도난당한 취약점이 전 세계 고객들에게 피해를 입히는 상황을 목격하고 있습니다.”라고 설명하며 정부기관의 손 안에 있는 익스플로잇이 반복적으로 민간에 흘러들어가고 있다며 광범위한 피해를 초래할 수 있다고 경고했다.

“이는 국가와 조직적 범죄 사이의 의도된 바 없는 당황스런 연관성”이 오늘날 전 세계 사이버 보안에 가장 심각한 위협이 되고 있다고 말했다. 그러면서 “전 세계 정부가 이번 공격을 통해 경각심을 가져야 할 것”이라며, 물리적인 세계에서 무기를 다룰 때 적용하는 규칙들을 사이버 환경에도 똑같이 적용해야 한다고 짚었다.

덧붙여 지난 2월 MS가 RSA 컨퍼런스에서 제안한 ‘디지털 제네바 협약’(제네바 협약이 전쟁 피해자를 보호하고 지원한 것처럼 각국 정부가 사이버 공격 피해자들을 보호하고 지원할 수 있어야 한다는 내용의 제안)이 바로 이런 사안들을 감시하려는 배경에서 나왔다는 그는 “정부기관이 취약점을 비축하거나 팔고, 심지어 익스플로잇하도록 내버려두는 것이 아니라 판매자(기업)에게 해당 취약점을 보고하도록 만드는 새 규정들을 세우고 이행해야 한다”고 밝혔다.

1차적인 책임이 자사에 있고 패치를 제때 안한 2차적 책임이 고객에 있지만, 무엇보다 전 세계적으로 유례없는 피해를 초래한 것은 NSA 등 정부기관의 비밀공작 탓이 크다고 지적한 것으로 보인다. 로이터 통신에 따르면, NSA와 미 백악관은 해당 입장문에 대한 즉각적인 답변을 회피했다.

유럽연합 범죄대책기구 유로폴(Europol)이 “역사상 유례없는 수준의 공격”이라고 명명한 이번 워너크라이 랜섬웨어 사태는 지난 금요일 오전 영국 런던에서 첫 감염이 보고된 이래, 현재 전 세계 150개국 이상의 200,000대가 넘는 컴퓨터를 대상으로 피해를 가하고 있으며, 미주 대륙이 영업일에 들어가는 몇 시간 내 그 피해가 더욱 확산될 것으로 예측된다.

디지털 포트리스(Digital Fortress) - 댄 브라운