MS, “우리도 고객도 문제지만 NSA가 제일 문제”

취약점 알고도 숨기다 해커한테 빼앗긴 NSA 강력히 비판
미사일 다루듯 사이버 취약점 다루고 ‘디지털 제네바 협약’ 이행해야

윈도우즈의 SMB 취약점을 미리 파악하고도 MS에 알리지 않은데다 해커에게 익스플로잇을 도난당하기까지 한 NSA를 비난하는 마이크로소프트측은 “기술 기업으로서 MS가 이번 사태 해결에 최우선적 책임이 있다”고 밝히며, 자사의 3,500명 이상의 보안 엔지니어와 MS위협첩보센터(MSTIC), 디지털범죄유닛(DCU) 등을 통해 밝혀낸 바를 전 세계 사법당국과 정부기관, 그리고 고객들과 공유할 것을 약속했다.

그리고, “이번 사태는 기술 기업과 고객이 사이버 보안에 있어 공동책임이 있다는 걸 보여주는 사건”이라고 말했는데, 이는 MS가 패치를 출시한 지 두 달이 지났는데도 컴퓨터를 공격에 취약한 상태로 방치한 고객들에게 일침을 가한 것으로 볼 수 있다. 스미스는 “사이버 범죄자들이 나날이 정교해지는 마당에 고객이 시스템 업데이트를 하지 않는다면 스스로를 지킬 길은 정말 아무것도 없는 셈”이라고 강조했다. MS도 책임이 있지만 보안에 무심한 고객들도 책임이 있다는 것이다.

마지막으로 “이번 공격은 왜 정부기관이 취약점을 비축하면 안 되는지 보여준다”고 말하며 이런 사례가 2017년 들어 두드러지고 있다고 지적했다. “우리는 미 중앙정보국(CIA)이 취약점을 비축해 왔다는 걸 위키리크스를 통해 알 수 있었고, 이제 NSA가 도난당한 취약점이 전 세계 고객들에게 피해를 입히는 상황을 목격하고 있습니다.”라고 설명하며 정부기관의 손 안에 있는 익스플로잇이 반복적으로 민간에 흘러들어가고 있다며 광범위한 피해를 초래할 수 있다고 경고했다.

“이는 국가와 조직적 범죄 사이의 의도된 바 없는 당황스런 연관성”이 오늘날 전 세계 사이버 보안에 가장 심각한 위협이 되고 있다고 말했다. 그러면서 “전 세계 정부가 이번 공격을 통해 경각심을 가져야 할 것”이라며, 물리적인 세계에서 무기를 다룰 때 적용하는 규칙들을 사이버 환경에도 똑같이 적용해야 한다고 짚었다.

덧붙여 지난 2월 MS가 RSA 컨퍼런스에서 제안한 ‘디지털 제네바 협약’(제네바 협약이 전쟁 피해자를 보호하고 지원한 것처럼 각국 정부가 사이버 공격 피해자들을 보호하고 지원할 수 있어야 한다는 내용의 제안)이 바로 이런 사안들을 감시하려는 배경에서 나왔다는 그는 “정부기관이 취약점을 비축하거나 팔고, 심지어 익스플로잇하도록 내버려두는 것이 아니라 판매자(기업)에게 해당 취약점을 보고하도록 만드는 새 규정들을 세우고 이행해야 한다”고 밝혔다.

1차적인 책임이 자사에 있고 패치를 제때 안한 2차적 책임이 고객에 있지만, 무엇보다 전 세계적으로 유례없는 피해를 초래한 것은 NSA 등 정부기관의 비밀공작 탓이 크다고 지적한 것으로 보인다. 로이터 통신에 따르면, NSA와 미 백악관은 해당 입장문에 대한 즉각적인 답변을 회피했다.

유럽연합 범죄대책기구 유로폴(Europol)이 “역사상 유례없는 수준의 공격”이라고 명명한 이번 워너크라이 랜섬웨어 사태는 지난 금요일 오전 영국 런던에서 첫 감염이 보고된 이래, 현재 전 세계 150개국 이상의 200,000대가 넘는 컴퓨터를 대상으로 피해를 가하고 있으며, 미주 대륙이 영업일에 들어가는 몇 시간 내 그 피해가 더욱 확산될 것으로 예측된다.

by 케찹만땅 | 2017/05/15 19:29 | ICT관련 정보 | 트랙백(1) | 덧글(8)

트랙백 주소 : http://wpkc.egloos.com/tb/5320765
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]
Tracked from 케찹만땅 at 2017/05/16 14:04

제목 : 디지털 포트리스 - 댄 브라운
디지털 포트리스 1- 댄 브라운 지음, 이창식 옮김/대교북스캔Digital Fortress – Dan Brown댄 브라운의 저서는 `다빈치 코드(the Da Vinci Code)`를 시작으로 알게 되어 `천사와 악마(Angels & Demons)`를 거쳐 이 작품 `디지털 포트리스(Digital Fortress)`까지 역순으로 읽게 되었다. 이 디지털 포트리스가 그의 첫 작품이지만 후속작 다빈치 코드나 천사와 악마에 비해 작품성이 상......more

Commented by 채널 2nd™ at 2017/05/15 23:40
고작 20 만대 수준이라니 ... 전세계에 깔린 PC가 최소한 수억대는 될텐데.

그나 저나 보안 기관(이라고 쓰지만, 실제로는 개양아치들)이 야금 야금 취약점을 하나 둘 모아서 가지고 있는데, 이게 털린다니 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ

(그나 저나 MS는 그런 취약점이 있음을 알고 있었을까, 아니면 잠재적인 CIA나 NSA의 협력자였을까.)
Commented by 잉붕어 at 2017/05/16 08:20
전체 컴퓨터 양으로 보자면 고작은 고작인데 걸린 컴퓨터 중에 중요한 물건들이 있어서 문제가 큰 모양입니다. 듣자하니 러시아는 내무부까지 당했다고 합니다.
Commented by 긁적 at 2017/05/16 02:48
흠. 옛날에 하트블리드 취약점도 그렇고.... 확실히 생각해볼만한 문제네요. 잘 보았습니다.
Commented by 케찹만땅 at 2017/05/16 14:06
`디지털 포트리스`라는 소설이 나올만도 합니다.
Commented by RuBisCO at 2017/05/16 08:50
사실 비축한것은 정보기관이지만 그걸 유출시킨 것도 정보기관이라는 이야기가 있는게 참 세상사 재미있습니다.
Commented by 무지개빛 미카 at 2017/05/16 09:38
B급 액션영화에서 나오는 정보기관에서 몇 십년 일하다 억지로 죄 뒤짚어 쓰고 퇴출당한 정보요원이 세상에 대한 복수를 한 답시고 전 세계 인공위성망에 일정한 메세지를 넣은 후 이러고 저러고 한 짓거리를 하다가 보통사람 행세하는 주인공하고 여자 몇 명 나와서 으쌰으쌰 하는 스토리가 이번 일로 현실화 된 것 뿐입니다.
Commented by 무지개빛 미카 at 2017/05/16 09:19
이쯤되면 다 알잖습니까? MS가 단종된 윈도우 운영체재 소스코드 절대공개불가를 외치는 거. 다 누구 때문입니까? 사실상 전 세계의 컴퓨터 운영체재가 원도우, MS 독점시대인데, 당연히 정보기관이 그걸 몰랐습니다~ 이러면 그건 각 국의 정보기관 수장들 모조리 자살해야죠.

알아도 그게 다 쓸모 있는 상대방에 대한 공격수단인 것이라 쉬쉬한건데 이번 일로 재대로 터진 것일 뿐.

특히 랜선에 접속한 상태 만으로도 상대 PC를 못쓰게 하는 공격. 누가 이런 공격 잘 하겠나요? 정보기관이 재일 좋아하는 방식인데요?
Commented by 동굴아저씨 at 2017/05/16 10:22
NSA:헤헤~이 방법 존잼인듯.나중에 써먹어야지?
???:그래?땡큐!
※ 로그인 사용자만 덧글을 남길 수 있습니다.

◀ 이전 페이지          다음 페이지 ▶