제로데이 Windows 익스플로잇을 공개한 보안 연구자를 GitHub가 차단

• Nightmare-Eclipse의 GitHub 계정이 차단됐고, 그는 작업 공간을 GitLab로 옮기며 Microsoft의 보복 조치라고 주장함
• 갈등은 4월 초 BlueHammer 제로데이 공개로 본격화됐으며, Eclipse는 Microsoft가 신고와 보상 요청을 무시했다고 밝힘
• Microsoft는 차단 이유와 경위를 공개하지 않아, 쟁점이 비표준 공개인지 신고·보상 절차 실패인지 불명확함
• Eclipse는 BlueHammer, RedSun, UnDefend 등 Windows 제로데이 6개를 공개했고, 일부는 실제 환경에서 활발히 악용됨
• GitHub 차단은 이미 공개된 코드와 악용을 막기 어렵고, AI로 빨라진 취약점 발견 속에서 공개·패치 절차의 한계를 드러냄

GitHub 계정 차단과 GitLab 이전

• Microsoft가 보안 연구자 Nightmare-Eclipse(Chaotic Eclipse)의 GitHub 계정을 아직 공개되지 않은 이유로 차단함
• Eclipse는 작업 공간을 GitLab로 옮겼고, 버그 신고에 쓰던 Microsoft 계정도 이미 삭제됐다고 밝힘
• 블로그 글에서 이번 조치가 보복적이며, Microsoft가 소통을 거부했고 보상도 하지 않았다고 주장함
• Microsoft의 MSRC 보상 프로그램은 조건에 따라 엔드포인트 제로데이에 최대 3만~10만 달러, Hyper-V 취약점에 최대 25만 달러를 지급함
• Eclipse는 이미 6개의 제로데이 익스플로잇을 공개했고, 7월 14일 Microsoft에 대한 추가 공개가 있을 수 있음을 암시함

Microsoft와 Eclipse의 갈등

• 갈등은 4월 초 Eclipse가 사전 경고 없이 BlueHammer 제로데이를 공개하면서 본격화됨
• Eclipse의 블로그는 Microsoft와 MSRC를 강하게 비판하며, Microsoft가 제로데이 신고를 무시하거나 거부했고 요청한 보상금을 지급하지 않아 금전적 피해를 입혔다고 주장함
• Eclipse는 Microsoft로부터 “삶을 망가뜨리겠다”는 말을 들었고 실제로 그렇게 됐다고 주장했으며, 일종의 데드맨 스위치가 있다고 밝힘
• Microsoft가 세부 경위를 공개하지 않아, 표준 공개 절차를 따르지 않은 연구자 문제인지 보안 신고를 어렵게 만든 회사 문제인지 판단하기 어려움

MSRC 절차 논란과 공개 정책 압박

• Tharros의 William Dormann은 BlueHammer 관련 글에서 MSRC가 과거에는 협업하기 좋았지만, 비용 절감으로 숙련자를 해고하고 절차표만 따르는 사람들을 남겼다고 비판함
• Dormann은 MSRC가 이제 익스플로잇 영상 제출을 요구하는 것으로 보이며, 신고자가 영상을 제출하지 않아 Microsoft가 케이스를 닫았을 가능성도 있다고 봄
• Microsoft가 침묵하면서 책임 있는 취약점 공개 절차와 보상 프로그램의 실제 운영 방식이 이번 갈등의 핵심인지 명확히 드러나지 않음
• AI 기반 보안 연구로 표준 90일 공개-패치 기간이 사실상 낡은 모델이 됐다는 평가가 나옴
• 익스플로잇까지 걸리는 시간과 미사용 익스플로잇이 모두 0에 가까워지고 있다는 맥락에서 Microsoft와 다른 소프트웨어 업체들의 정책 조정 필요성이 커짐

공개된 Windows 제로데이

• Eclipse는 여러 Windows 제로데이 익스플로잇을 공개함
• BlueHammer는 Defender를 통해 SYSTEM 권한을 얻는 취약점임
• RedSun도 SYSTEM 사용자 접근을 가능하게 함
• UnDefend는 Defender를 오프라인 상태로 만들 수 있음
• GreenPlasma는 CTFMon 서비스를 통해 SYSTEM 접근을 얻음
• MiniPlasma는 Windows Cloud Filter 드라이버 결함을 통해 유사한 권한 상승을 가능하게 함
• YellowKey는 BitLocker 취약점으로, 공격자가 거의 노력 없이 암호화된 드라이브를 열 수 있게 해 BitLocker의 핵심 목적을 무너뜨림

실제 악용과 보안상 파장

• BlueHammer, RedSun, UnDefend는 실제 환경에서 활발히 악용되고 있는 것으로 확인됨
• 나머지 취약점들도 전체 또는 부분 개념증명 코드가 공개돼, 관심 있는 공격자가 사용하기 쉬운 상태가 됨
• GitHub 계정 차단은 공개된 코드를 제거하거나 악용을 막는 데 충분하지 않으며, 연구자와 플랫폼 소유 기업 사이의 충돌을 더 키움
• 제로데이 공개, 보상금 분쟁, 계정 차단, AI로 빨라진 취약점 발견이 맞물리면서 기존 보안 신고·검증·패치 프로세스의 한계가 더 뚜렷해짐