미 상원의원 론 와이든은 의료기관을 겨냥한 랜섬웨어 공격으로 마이크로소프트(MS)가 10년 넘게 알고 있던 윈도우 취약점이 드러나자 이에 대한 책임을 촉구했다.
미 상원의원 론 와이든은 의료기관을 겨냥한 랜섬웨어 공격으로 마이크로소프트(MS)가 10년 넘게 알고 있던 윈도우 취약점이 드러나자 이에 대한 책임을 촉구했다.
미 상원의원 론 와이든은 의료기관을 포함한 주요 기반시설을 대상으로 한 대규모 랜섬웨어 공격을 가능하게 한 ‘중대한 사이버 보안 과실(gross cybersecurity negligence)’에 대해 MS를 조사하라고 연방거래위원회(FTC)에 공식 요청했다.
오리건주 민주당 소속인 와이든 의원은 FTC 위원장 앤드루 퍼거슨에게 보낸 4쪽 분량의 서한에서 MS의 소프트웨어 엔지니어링 결정이 어떻게 랜섬웨어 공격을 가능하게 했는지를 구체적으로 기록했다. 그는 서한에서 “MS는 피해자에게 소방 서비스를 파는 방화범과 같다”라며, 회사가 핵심 제품을 공격에 취약한 상태로 방치하면서 동시에 수익성 높은 보안 사업을 구축했다고 주장했다.
이 서한은 2024년 2월 아센션 헬스(Ascension Health)를 겨냥한 랜섬웨어 공격을 사례로 제시했다. 당시 공격으로 560만 명의 환자 기록이 유출됐으며, MS의 기본 보안 설정 때문에 해커가 단일 노트북 감염에서 조직 전체 침해로까지 확산할 수 있었음을 보여줬다.
한 번의 클릭으로 무너진 병원 시스템
아센션 공격은 외부 계약자가 사용하던 아센션 노트북에서 MS 빙 검색 결과에 포함된 악성 링크를 클릭하면서 시작됐다. 악성코드는 아센션 네트워크 전반으로 확산돼, 결국 MS 액티브 디렉토리 서버의 관리자 계정까지 탈취당했다.
해커는 ‘커버로스팅(Kerberoasting)’이라는 공격 기법을 활용했는데, 이는 MS가 여전히 기본값으로 지원하고 있는 RC4 암호화 방식을 악용한 것이다. RC4는 1980년대 기술로, 연방기관이 10년 넘게 사용 중단을 권고해온 방식이다.
컨설팅 기업 그레이하운드리서치(Greyhound Research)의 최고분석가 겸 CEO 산칫 비르 고기아는 “아센션 사례는 하나의 취약한 기본 설정이 어떻게 눈덩이처럼 불어나 랜섬웨어 재앙으로 이어질 수 있는지를 보여준다”라고 말했다.
와이든 의원은 서한에서 “MS가 위험한 소프트웨어 엔지니어링 결정을 내리고 이를 기업 및 정부 고객에게 거의 알리지 않았기 때문에, 병원이나 다른 조직에서 단 한 명이 잘못된 링크를 클릭하는 것만으로도 조직 전체가 랜섬웨어에 감염될 수 있다”고 지적했다.
기술적 실패의 현실
보안 전문가들은 오래전부터 MS의 구식 암호화 표준 의존을 비판해 왔다. 고기아는 “RC4는 오래전에 퇴출됐어야 하지만 여전히 액티브 디렉토리에 남아 있어 커버로스팅 같은 공격을 가능하게 한다”라고 말했다.
MS는 호환성 문제를 이유로 이를 정당화해 왔다. 고기아는 “MS의 주장은 이를 하루아침에 꺼버리면 구형 시스템이 작동을 멈출 수 있다는 것”이라며, “일리가 있을 수 있지만 10년 넘게 경고가 이어진 상황에서 이 논리를 유지하기는 점점 더 어려워지고 있다”고 설명했다.
와이든 의원은 “MS가 오래되고 안전하지 않은 RC4 암호화를 계속 지원하는 것은 고객을 불필요하게 랜섬웨어와 사이버 위협에 노출시키는 것”이라며, “해커는 네트워크 내 어떤 컴퓨터든 침투하면 관리자 계정의 암호를 쉽게 크랙할 수 있다”라고 표현했다.
연 200억 달러 규모로 성장한 보안 사업
MS의 보안 부문은 현재 연간 200억 달러(약 27조 원) 이상을 창출하고 있으며, 상당 부분은 회사 핵심 제품의 보안 공백을 메우는 기능에서 발생하고 있다. 그레이하운드리서치의 고기아는 “고급 로깅 기능 같은 경우 많은 이들이 기본 제품에 포함된다고 생각했지만, 실제로는 프리미엄 라이선스 뒤에 숨어 있었다”며 “엑스체인지 온라인(Exchange Online) 해킹 사건이 발생한 뒤에야 MS가 접근 범위를 확대했다”고 설명했다.
와이든 의원은 “MS는 고객에게 안전한 소프트웨어를 제공하는 대신, 이를 감당할 수 있는 조직을 대상으로 수십억 달러 규모의 보안 부가 서비스 사업을 구축했다”고 주장했다. 이 때문에 기업 고객들은 이른바 ‘이중 청구(double-billing)’ 문제를 겪고 있다고 토로했다. 고기아는 “CIO들이 느끼는 건 플랫폼 사용료를 한 번 내고, 안심을 위해 또 한 번 요금을 내는 기분”이라고 전했다.
와이든 의원은 이를 두고 “이 시점에서 MS는 피해자에게 소방 서비스를 파는 방화범과 같다”고 강하게 비판했다.
지켜지지 않은 약속과 규제 압박
와이든 의원실은 2024년 7월 MS 고위 임원에게 커버로스팅 위협을 설명하며, 경영진이 이해할 수 있도록 “평이한 언어의 명확한 지침”을 공개하라고 요청했다. 그러나 MS의 대응은 기대에 미치지 못했다. 회사는 금요일 오후, 웹사이트의 잘 알려지지 않은 영역에 기술적 블로그 글 형태로만 게시했고, RC4 암호화를 비활성화하는 소프트웨어 업데이트를 내놓겠다고 약속했지만 11개월이 지난 시점에도 여전히 공개되지 않았다.
규제 당국의 대응은 불확실하다. 고기아는 “FTC가 단순히 취약한 기본 설정을 이유로 전면 조사를 개시할 가능성은 낮다”고 전망하면서도 “다만 지난해 사이버 안전 검토위원회(CSRB)가 MS의 보안 문화를 부적절하다고 평가하고, 정부 이메일 침해 사건에서 불필요한 실수를 저질렀다고 지적한 점이 상황을 복잡하게 만든다”고 말했다.
CISO들의 대응
기업 보안 책임자(CISO)들은 MS나 규제 당국의 조치를 기다리지 않고 직접 나서고 있다. 고기아는 “CISO들은 이미 와이든 의원의 지적이 사실이라는 전제하에 움직이고 있다”며, “RC4를 수동으로 비활성화하고, 서비스 계정에는 더 긴 암호를 의무화하며, 전사적으로 다중 인증을 확대하고 있다”고 설명했다.
또한 조직들은 조달 계약을 지렛대로 활용하고 있다. 고기아는 “계약서에 보안 설정 보고서와 최소 보호 조치를 요구하는 조항이 포함되기 시작했으며, 조건을 충족하지 않으면 워크로드를 다른 환경으로 이전하겠다고 위협하는 경우도 있다”고 전했다.
업계 전반으로 확산될 파장
와이든 의원의 조사는 소프트웨어 업계 전반의 보안 접근 방식을 바꿀 잠재력이 있다. 고기아는 “와이든 의원의 우려가 힘을 얻게 되면 그 파장은 MS를 넘어선다”라며, “불안전한 기본 설정을 과실로 간주하는 것은 소프트웨어의 제작과 판매 방식을 근본적으로 바꿀 것”이라고 말했다.
와이든 의원은 “MS는 자사의 위험한 소프트웨어로 인해 확산된 랜섬웨어 문제를 막거나 늦추는 데 철저히 실패했다”며, “보안 태만 문화와 기업 운영체제 시장에서의 사실상 독점적 지위가 국가 안보에 심각한 위협을 주고 추가 해킹을 불가피하게 만든다”고 경고했다.
고기아는 “아센션 침해 사건은 업계의 결집점이 됐다”며 “기본 설정 하나가 산업 전체를 무너뜨릴 수 있다는 사실이 드러난 만큼, 더 이상 기본값을 신뢰하지 않는 분위기”라고 정리했다.
MS는 이번 사안에 대한 논평 요청에 즉각 응하지 않았다.
dl-ciokorea@foundryco.com
