마이크로소프트(MS)가 미국 정보 기관들이 랜섬웨어 파동의 발단을 제공했다고 강하게 비판했다. 윈도 취약점을 알아내고도 사이버 무기로 활용하기 위해 공개하지 않는 관행 때문에 피해가 커졌다는 얘기다.
14일(현지시간) 브래드 스미스 MS 사장 겸 법무총책임자(CLO)는 회사 블로그(☞링크)를 통해 이 같이 주장했다.
브래드 스미스 사장은 미국국가안보국(NSA), 중앙정보국(CIA) 등 국가정보기관들이 보안 취약점을 찾으면 고칠 수 있게 공개하는 것이 아니라 쌓아두고 있다고 꼬집었다. 이렇게 비축된 취약점이 해커들에게 새어나가 공격으로 이어지는 방식이 새로운 사이버 공격 패턴으로 떠올랐다고 지적했다.
이번에 전세계를 공포로 몰아넣은 워너크라이 랜셈웨어는 NSA가 취약점을 알아낸 뒤 이를 이용한 취약점 공격툴을 만들어 활용하다 유출돼 해커들 손에 넘어간 것으로 알려졌다.
스미스 사장은 정부기관이 이용해온 취약점 공격으로 인해 발생한 사이버 공격은 매우 광범위한 피해를 일으키고 있으며, 이는 마치 미군이 토마호크 미사일 같은 군사 무기를 도둑 맞은 것과 같다고 비유했다.
그는 또 이번 사태가 정보기관들의 행태의 위험성을 일깨우는 신호가 됐다고 봤다. 스미스는 “정부는 취약점들을 쌓아두고 또 이런 취약점 공격을 이용함에 따라 시민들이 입을 피해를 고려해야 한다”고 강조했다.
미국 정보기관들이 취약점을 비밀로 유지해 온 관행 때문에 비난을 받은 것은 이번이 처음은 아니다. NSA는 2014년 하트블리드(Hearbleed) 버그 취약점을 알고 있던 것으로 알려졌다.
하트블리드는 SSL 표준을 오픈소스로 구현한 오픈SSL(OpenSSL) 소프트웨어의 서버 메모리 정보를 잘못 내보내는 버그다. 지난 2014년 4월 발견됐다. 리눅스를 포함해 오픈SSL에 의존하는 기술이 많아 당시 심각한 보안 문제로 대두됐다.
NSA는 적어도 2년전에 이미 이 취약점을 알고 있었지만, 이 취약점 공격을 이융해 정보를 수집하기 위해 감춰왔다.
그러면서 정부당국이 취약점들을 실제 군사무기를 저장하는 것과 같은 수준의 주의를 기울여 관리해야한다고 지적했다.
관련기사
- "한국, 랜섬웨어 피해 세계 선두권"2017.05.15
- 랜섬웨어 워너크라이, 효과적으로 막으려면2017.05.15
- 랜섬웨어 피해, CGV 영화관으로 확산2017.05.15
- '워너크라이' 랜섬웨어, 대체 뭘까?2017.05.15
MS는 이미 정부 기관들이 정보 취약점을 알려야 한다는 내용의 디지털 제네바 협약이라는 개념을 지난 2월 15일 RSA2017 행사에서 공식적으로 제안했다. 이번 워너크라이 공격을 계기로 논의의 시급성이 부각될 전망이다.
한편, 워너크라이 공격으로 150여 개국 10만 개 이상의 기관 및 기업이 영향을 받은 것으로 알려졌다. 특히 영국 국민보건서비스(NHS) 산하 병원들은 랜섬웨어 감염으로 시스템이 멈추는 사태가 발생해 큰 피해를 입었다.