마이크로소프트 vs 해커, 0-day 폭로 전쟁의 진짜 패배자는?
한 사람이 자신의 노트북 앞에 앉아, 암호로 서명한 글 한 줄을 인터넷에 올립니다. 그리고 며칠 뒤, 전 세계 수많은 기업의 윈도우(Windows) 컴퓨터가 무방비 상태로 노출됩니다. 영화 속 장면이 아닙니다. 지금 마이크로소프트(Microsoft)와 익명의 보안 연구자 사이에서 실제로 벌어지고 있는 일이죠. 한 사람의 분노가 어떻게 세계 최대 소프트웨어 기업을 코너로 몰아넣었는지, 그 전말을 들여다봅니다. 한 연구자의 분노가 […]
한 사람이 자신의 노트북 앞에 앉아, 암호로 서명한 글 한 줄을 인터넷에 올립니다. 그리고 며칠 뒤, 전 세계 수많은 기업의 윈도우(Windows) 컴퓨터가 무방비 상태로 노출됩니다. 영화 속 장면이 아닙니다. 지금 마이크로소프트(Microsoft)와 익명의 보안 연구자 사이에서 실제로 벌어지고 있는 일이죠. 한 사람의 분노가 어떻게 세계 최대 소프트웨어 기업을 코너로 몰아넣었는지, 그 전말을 들여다봅니다.
한 연구자의 분노가 불씨가 되다
이번 사태의 중심에는 ‘나이트메어 이클립스(Nightmare Eclipse)’라는 가명을 쓰는 익명의 보안 연구자가 있습니다. 그는 지난 4월 2일을 시작으로, 마이크로소프트가 아직 패치하지 못한 윈도우의 보안 취약점, 이른바 0-day(제로데이)를 연달아 공개하기 시작했죠. 쉽게 말하면 0-day란 제작사도 미처 막지 못한 ‘열려 있는 뒷문’을 뜻합니다. 집주인도 모르는 사이에 누군가가 그 뒷문의 위치를 동네방네 떠들고 다니는 셈입니다.
그가 공개한 취약점의 목록은 화려합니다. 일반 사용자에게 시스템 최고 권한을 그대로 넘겨주는 블루해머(BlueHammer, CVE-2026-33825), USB 하나만 꽂으면 윈도우의 디스크 암호화 기능인 비트락커(BitLocker)를 통째로 무력화하는 도구, 그리고 옐로키(YellowKey)라 불리는 또 다른 권한 상승 버그까지. 보안 업계가 술렁일 수밖에 없는 위력적인 패들이었습니다.
문제는 그의 동기가 기술적 호기심이 아니라 지극히 개인적인 원한에서 비롯됐다는 점입니다. 그는 암호로 서명한 블로그 글을 통해 마이크로소프트가 자신의 보안신고 계정(MSRC)을 삭제하고, 받기로 한 포상금을 지급하지 않았으며, 최소 한 건의 보안 권고문에서 자신의 이름을 지워버렸다고 주장했습니다. 깃허브(GitHub) 계정마저 마이크로소프트에 의해 차단되자, 그는 작업 공간을 깃랩(GitLab)으로 옮겨가며 폭로를 이어갔죠.
“마이크로소프트는 아직 내 손에 쇠사슬을 채우고 있다. 이 날짜를 기억하라. 7월 14일, 그날 나는 당신들의 뼈를 산산조각 낼 것이다.”
나이트메어 이클립스가 블로그에 남긴 경고. The Register 보도.
섬뜩한 선언입니다. 더 무서운 건 이게 단순한 협박으로 끝나지 않았다는 사실이죠. 보안 커뮤니티에서는 “한 사람이 6주 만에 웬만한 국가 지원 해킹 조직(APT)이 1년간 일으키는 것보다 더 큰 기업 단위 피해를 냈다”는 평가까지 나왔습니다.
“정당화될 수 없다”는 거인의 반격, 그러나
몇 주간 침묵하던 마이크로소프트는 마침내 공식 입장을 내놨습니다. 표현은 단호했죠. 마이크로소프트는 “패치되지 않은 취약점의 개념증명(PoC) 코드를 악의적 행위자의 손에 쥐여주는 비조율적 공개는 결코 정당화될 수 없으며, 현실 세계에 실질적인 피해를 낳는다”고 밝혔습니다. 비유하자면, 아직 자물쇠를 바꾸지 못한 집의 열쇠 복제법을 도둑들 앞에서 시연하는 것과 같다는 논리입니다.
마이크로소프트는 직접적인 법적 대응을 언급하는 대신, 자사의 디지털범죄대응팀(DCU)이 “위협 행위자와 그들의 범죄를 돕는 자들”을 상대로 전 세계 수사기관과 공조해 계속 소송을 제기하겠다고 경고했습니다. 명백히 이클립스를 겨냥한 메시지였죠.
여기까지만 보면 무책임한 해커와 정의로운 기업의 구도처럼 보입니다. 하지만 보안 커뮤니티의 반응은 그렇게 단순하지 않았습니다. 상당수 연구자들은 폭로 방식의 위험성을 인정하면서도, 동시에 마이크로소프트의 대응 방식에도 날 선 의문을 던졌죠. 연구자의 계정을 삭제하고, 깃허브에서 쫓아내고, 기여 이력을 지우는 행위가 과연 ‘책임 있는 기업’의 모습이냐는 것입니다.
실제로 이클립스가 공개한 취약점 가운데 블루해머, 레드선(RedSun), 언디펜드(UnDefend)는 공개 직후 실제 공격에 악용되기 시작한 것으로 보고되었습니다. 누군가는 이 피해의 책임을 폭로한 연구자에게 묻겠지만, 또 다른 누군가는 애초에 제때 패치하지 못하고 신고자와의 관계마저 망가뜨린 거대 기업의 시스템을 지목합니다. 주장과 반박이 팽팽하게 맞서는 지점이 바로 여기입니다.
한쪽은 “절차를 무시한 폭로가 무고한 기업을 위험에 빠뜨렸다”고 말하고, 다른 한쪽은 “신고자를 적으로 돌린 기업의 태도가 사태를 키웠다”고 반박합니다. 흥미로운 건 두 주장이 모두 부분적으로 사실이라는 점이죠. 그리고 그 사이에서 가장 큰 피해를 보는 쪽은, 이 싸움과 아무 상관 없는 평범한 윈도우 사용자들일 수밖에 없습니다.
결론 및 마무리
이번 사건은 단순한 해커와 기업의 다툼이 아닙니다. 취약점을 발견한 사람과 그것을 고쳐야 하는 기업 사이의 ‘신뢰’라는 가느다란 끈이 끊어졌을 때 무슨 일이 벌어지는지를 보여주는 생생한 사례입니다. 보안 생태계는 결국 신고하는 사람과 고치는 사람의 협력 위에서만 굴러갈 수 있죠. 그 협력이 깨지는 순간, 가장 정교한 방어 체계도 모래성이 됩니다.
주목할 점은 이 갈등이 7월 14일이라는 예고된 날짜를 향해 여전히 진행 중이라는 사실입니다. 마이크로소프트가 법적 압박과 패치로 불길을 잡을지, 아니면 또 한 번의 폭로가 더 큰 혼란을 부를지는 누구도 단언하기 어렵습니다.
다만 한 가지는 분명해 보입니다. 앞으로 모든 거대 기술 기업은 외부 연구자를 단순한 ‘버그 신고자’가 아니라, 자신들의 보안을 함께 지탱하는 동반자로 대해야 한다는 교훈입니다. 한 사람의 분노를 가볍게 여긴 대가가 얼마나 클 수 있는지, 우리는 지금 실시간으로 목격하고 있는 셈입니다.