마이크로소프트, 깃허브 계정 차단 후 윈도우 제로데이 공개 비판

7 hours ago 2

마이크로소프트가 패치되지 않은 제로데이 취약점을 대중에 무단 공개한 보안 연구원에 강력히 반발하며 깃허브 계정을 차단하자, 해당 연구원이 추가 폭로를 예고하며 갈등이 심화하고 있습니다.

전문 번역

마이크로소프트는 공동 취약점 공개(CVD) 프로세스를 강력히 지지한다는 입장을 밝히며, 보안 연구 커뮤니티가 발견한 내용을 공유하고 취약점이 대중에 공개되기 전 영향을 받는 공급업체가 이를 명확히 이해하고 해결할 수 있는 기회를 달라고 촉구했습니다.

이번 사태는 'Chaotic Eclipse'(일명 Nightmare-Eclipse)라는 이름의 연구원이 지난 한 달간 마이크로소프트의 취약점 처리 프로세스 부실을 이유로 들며 디펜더와 비트커커를 포함한 다양한 윈도우 구성 요소에 영향을 미치는 여러 제로데이 취약점의 세부 정보를 대중에 공개하면서 시작되었습니다.

마이크로소프트는 "최근 몇 주 동안 여러 건의 제로데이 취약점이 대중에 공개되었다"라며, "이러한 취약점의 세부 정보는 공개 전에 마이크로소프트와 공유되지 않았으며, 이로 인해 당사 고객들이 불필요한 위험에 노출되었다"라고 밝혔습니다. 이어서 "무단 공개로 발생한 위험에 대응하기 위해 당사의 보안 팀은 영향력을 파악하고 고객을 보호하며 보안 업데이트를 개발하기 위해 24시간 내내 일하고 있다"라고 덧붙였습니다.

공개된 취약점은 블루해머(CVE-2026-33825), 레드썬(CVE-2026-41091), 언디펜드(CVE-2026-45498), 옐로우키(CVE-2026-45585), 그린플라즈마, 미니플라즈마 등 총 6개입니다. 이 중 블루해머, 레드썬, 언디펜드 등 3개 취약점은 {p:50} 이미 실제 환경에서 악의적인 공격에 적극적으로 악용되고 있습니다.

마이크로소프트는 이처럼 조율되지 않은 취약점 공개에 "단호히" 반대한다며, 패치되지 않은 취약점의 개념 증명(PoC) 코드가 악의적인 행위자의 손에 들어갈 경우 "현실 세계에 심각한 결과"를 초래할 수 있다고 경고했습니다. 또한 "보안 커뮤니티가 모두를 보호하기 위해 함께 협력할 수 있도록 다양한 관점을 환영한다. 모든 사안에 항상 동의할 수는 없겠지만, 투명성을 유지하고 대화의 기회를 계속 만들어 나갈 것을 약속한다"라며, "이러한 대화는 연구원 감사 행사, 보안 컨퍼런스, 그리고 취약점을 이해하고 해결하기 위해 매일 함께하는 업무 속에서 이루어진다"라고 강조했습니다.

이러한 무단 공개의 여파로 인해 깃허브는 지난주 해당 연구원의 계정을 폐쇄한 것으로 알려졌습니다. 이후 6개 취약점에 대한 익스플로잇 코드가 깃랩에 다시 업로드되었으나, 새로 생성된 깃랩 계정 역시 현재 차단된 상태입니다.

해당 연구원은 주말에 게시한 글을 통해 "정리해 보자면, 내가 적극적으로 소통을 요청했을 때는 거부하고 나를 모욕했으며 사람들 앞에서 대놓고 망신을 주었다"라고 주장했습니다. 이어서 "버그를 신고할 때 사용했던 마이크로소프트 계정을 완전히 삭제해 버려놓고는, CVE-2026-45585 보안 권고문을 통해 대중 앞에서 내 명예를 훼손했다. 나는 단 한 푼도 받지 않고 바보처럼 기쁘게 일해줬는데, 이제는 내 깃허브 계정까지 플래그를 지정해 대중 앞에서 흔적도 없이 지워버리는 호사를 누리느냐? 당신들은 이 갈등을 적극적으로 고조시키고 있다는 것을 모두에게 증명하고 있다. 하지만 난 이제 구걸하는 짓 따윈 끝냈다"라고 분통을 터뜨렸습니다.

이 연구원은 또한 2026년 7월 14일에 무언가를 공개할 예정이며, "그날 마이크로소프트의 뼈가 산산조각이 나도록 만들어 주겠다"라고 예고했습니다.