분석가들은 해당 조치가 서구 기업의 신뢰를 높일 수 있지만 글로벌 보안 우려는 키울 수 있다고 지적했다
최근 마이크로소프트(MS) 쉐어포인트(SharePoint) 서버를 겨냥한 해킹 공격과 보안 경고 시스템 간에 연관성이 있다는 의혹이 제기됐다. 이에 MS는 사이버보안 취약점 조기 경고 프로그램에 대한 일부 중국 기업의 접근을 제한했다고 밝혔다.
로이터 보도에 따르면, MS는 일부 중국 기업에 실제 악성코드 작동 방식을 시뮬레이션한 ‘개념증명 코드(proof of concept code)’를 더 이상 제공하지 않기로 했다고 밝혔다. 이 코드는 보안팀이 신속히 방어책을 마련하는 데 유용하지만, 동시에 공격자에게는 공격을 가속화하는 수단이 될 수 있다.
이번 조치는 지난달 MS의 쉐어포인트 서버를 겨냥한 대규모 해킹 시도 이후 단행됐다. MS 및 다수의 보안 연구진은 해당 공격이 중국과 연관돼 있을 가능성이 높다고 보고 있다.
특히 해킹 시도로 인해 정부 기관과 민간 기업 등 400곳이 넘는 조직이 영향을 받은 것으로 알려졌다. 그 대상에는 미국의 핵무기 프로그램을 총괄하는 국가 핵안보국(NNSA)도 포함됐다.
해당 사건 이후 일부 전문가는 MS의 ‘액티브 프로텍션 프로그램(Microsoft Active Protections Program, MAPP)’에서 취약점 정보가 유출됐을 가능성이 있다고 주장했다. MAPP는 취약점 정보가 공개되기 전에 보안 벤더가 방어체계를 강화할 수 있도록 조기 정보를 제공하는 프로그램으로, 일부 중국 보안 기업도 이 프로그램에 참여하고 있는 것으로 알려졌다.
영향 및 효과
MS의 이번 결정이 보안을 강화하는 조치인지, 오히려 새로운 리스크를 초래할 수 있는지에 대해 전문가들의 의견은 엇갈렸다. 일부는 MS가 지역별로 ‘신뢰 관리’ 전략을 재조정하려는 신호로 해석하는 반면, 실질적인 영향이 크지 않을 것이라는 의견도 제기됐다.
옴디아(Omdia)의 사이버보안 수석 애널리스트 릭 터너는 “이번 조치는 중국 기업과 MS 사이에 상징적인 장벽을 세우는 결과를 낼 수 있다. 서구 기업 입장에서는, 중국 기업과 중국의 위협 행위자가 어떤 형태로든 연계됐다는 의심이 있는 상황에서 MS 인프라를 보호한다는 심리적 안정감을 줄 수 있다”라고 분석했다.
반면 다른 전문가는 중국 기업에의 제한 조치가 실질적인 영향력이 있을지에 대해 회의적인 입장을 보였다. 사이버보안 애널리스트 수닐 바키는 “중국 기업은 이미 자체 정보 수집 역량을 갖추고 있으며, 다양한 글로벌 정보 채널도 확보하고 있다. MS 정보만 제한한다고 해서 이들의 전반적인 역량에 큰 영향을 주긴 어려울 수 있다”라고 진단했다.
또한 이번 조치는 MS를 포함해 위협 인텔리전스 공유 프로그램을 운영하는 벤더들이 직면한 복잡한 딜레마를 단적으로 보여주는 사례일 수 있다.
컨피디스(Confidis)의 설립자 겸 CEO 키스 프라부는 “고객이 자료를 오용하지 않을 것이라는 신뢰에 기반해 완전한 정보를 공유하는 방식이 오히려 역효과를 낳았다. 하지만 사이버 보안 취약점을 선별적으로 공유하는 방식은 고객들로 하여금 중요한 정보가 빠지는 것에 대한 의구심을 불러일으킬 수 있다. 기업은 위협 인텔리전스 프로그램을 보완하기 위해 다양한 출처에서 추가 정보를 확보해야 할 것”이라고 말했다.
이 같은 긴장감이 이미 기업에게 면밀한 검토를 요구하고 있을 수 있다. 에베레스트 그룹(Everest Group)의 실무 책임자 프라하르쉬 스리바스타바는 민감한 데이터가 오용될 가능성이 있는 경우, 기업이 위협 인텔리전스 프로그램에 더 강력한 거버넌스와 감독을 요구하게 될 것으로 보인다고 진단했다.
스리바스타바는 “한편으로는 오용 의혹이 제기된 이후 MS가 선제적으로 접근 차단한 조치를 책임 있는 대응이라고 볼 수 있으며, 엄격한 보안 프로토콜 통제 역량에 대한 벤더의 신뢰를 회복하는 계기가 될 수도 있다”라고 덧붙였다.
기업 운영에 미치는 영향
MS의 이번 조치는 중국 내 사업 비중이 큰 다국적 기업(MNC)을 중심으로 더 광범위한 운영상의 영향을 미칠 수 있다. 복잡한 지정학적 요구와 현지 규제 준수 사이에서 이미 어렵게 균형을 유지하고 있는 일부 기업에게 추가적인 부담이 될 수 있는 상황이다.
옴디아의 터너는 “중국에서 사업을 운영하는 다국적 기업은 이미 중국 정부와 자국 정부 양측의 감시 대상이라는 사실을 잘 알고 있다. 이번 조치로 중국 내 운영에 대한 압박이 더 커질 수는 있겠지만, 이들이 양측 모두로부터 주목받고 있다는 점은 이미 인지하고 있을 것”이라고 말했다.
또한 이번 결정은 기업 차원의 우려를 넘어 글로벌 위협 인텔리전스 협업 체계의 신뢰성과 투명성에 대한 의문도 제기한다. 일부 사용자가 사이버 보안 취약점 정보를 오용한 정황이 드러나면서, 보다 넓은 정보 공유 체계 전반에 대한 우려가 커지고 있다.
프라부는 “위협 인텔리전스 프로그램을 통해 보안을 유지해 온 합법적인 중국 기업도 상당수 존재한다는 점을 잊어선 안 된다. 전술적 관점에서 보면, 중국 보안 기업과의 정보 공유를 줄이는 것이 비중국 자산의 보안을 강화하는 데는 도움이 될 수 있지만, 전체 생태계의 보안 수준은 오히려 저하될 가능성이 있다. 흔히 말하듯, 보안은 가장 취약한 지점에서 무너질 수 있다”라고 말했다.
터너 역시 이 같은 견해에 동의하며, 위협 인텔리전스 접근을 제한하는 조치가 장기적으로는 단순한 지역 간 정치 문제를 넘어서는 영향을 미칠 수 있다고 진단했다. 그는 “방어자가 많을수록, 그리고 더 많은 정보를 갖출수록 보안이 강화된다는 원칙에 따르면 정보 공유를 제한하는 것은 ‘보이지 않는 취약 지대’와 ‘공격 가능 시점’을 만드는 부작용을 초래할 수 있다”라고 설명했다.
dl-ciokorea@foundryco.com
