AI 요약
마이크로소프트(MS)가 자사의 보안 취약점(익스플로잇)을 공개 게시한 보안 연구원 '나이트메어 이클립스(Nightmare Eclipse)'와 심각한 갈등을 빚으며 법적 대응을 시사했습니다. 전직 직원으로 추정되는 이 연구원은 최근 MS의 제로데이 취약점 개념증명(PoC) 코드를 대중에 노출해 왔습니다. MS는 '적절한 조정 절차'를 거치지 않은 무단 공개라며 해당 연구원의 깃허브(GitHub), 깃랩(GitLab), 마이크로소프트 보안 대응 센터(MSRC) 계정을 정지시키고 형사 고발을 예고했습니다. 그러나 사이버 보안 전문가 케빈 보몬트(Kevin Beaumont)는 계정을 차단해 놓고 '책임 있는 취약점 신고'를 요구하는 것은 모순이라고 비판했습니다. 또한, 과거 해킹 전과자를 채용하거나 익스플로잇 브로커로부터 취약점을 구매해 온 MS의 이중적인 과거 행적이 법정에서 드러날 경우 오히려 MS에 불리하게 작용할 것이라고 경고했습니다.
핵심 인사이트
- 강경 법적 대응 시사: 마이크로소프트는 2026년 5월 30일, 보안 규정을 준수하지 않고 제로데이 취약점을 공개한 연구원 '나이트메어 이클립스'에 대해 형사 소송 카드를 꺼내 들었습니다.
- 계정 일방 차단: MS는 나이트메어 이클립스의 깃허브(GitHub), 깃랩(GitLab), 그리고 MSRC 계정을 모두 정지시켰습니다.
- 전문가의 모순 지적: 보안 전문가 케빈 보몬트는 MS가 과거에 제로데이 취약점을 무단 공개한 인물이나 해킹 범죄 유죄 판결을 받은 전과자들을 고용해 왔다는 사실을 폭로했습니다.
주요 디테일
- 내부자 소행 가능성: 익스플로잇 코드를 유출한 '나이트메어 이클립스'는 작성한 게시글 정황상 MS에 불만을 품고 퇴사한 전직 직원일 가능성이 높게 점쳐지고 있습니다.
- 신고 채널 차단 논란: 보몬트 연구원은 MS가 연구원의 공식 소통 계정들을 모두 정지시킴으로써 향후 추가 발견될 취약점을 '책임 있게 보고'할 수 있는 유일한 통로를 스스로 막아버렸다고 꼬집었습니다.
- MS의 과거 행적: 마이크로소프트는 그동안 제로데이 취약점을 중개하는 브로커들로부터 익스플로잇을 상업적으로 구매해 사용하는 등 이중적인 보안 수집 관행을 이어왔습니다.
- 법정 공방 시 리스크: MS가 자의적인 '책임 있는 취약점 공개' 기준을 들어 사법 처리를 강행할 경우, 법정 심리 과정에서 그동안 베일에 싸여 있던 MS 내부의 모순적인 의사결정 방식과 비윤리적 사실들이 대거 폭로될 수 있습니다.
향후 전망
- 화이트햇 해커와의 갈등 심화: MS의 이번 강경 법적 대응은 취약점을 제보하는 보안 연구원 커뮤니티의 활동을 위축시키고, 오히려 취약점을 음성적으로 거래하게 만드는 부작용을 낳을 수 있습니다.
- 소송 진행 여부 주목: MS가 실제 형사 고발을 강행할 경우, 기업의 가이드라인 미준수를 이유로 보안 연구원을 처벌할 수 있는지에 대한 중대한 사법적 선례가 될 것입니다.