와이든 상원의원, 마이크로소프트의 사이버 보안 실패를 비난
최근 마이크로소프트는 사이버 보안 관행에 대한 느슨한 접근 방식으로 날카로운 비판에 직면했습니다.이는 마이크로소프트가 호환성 문제로 특정 윈도우 기능을 구현하지 않기로 결정한 사건에 따른 것으로, 이 결정은 부주의로 규정된 비판자들의 반발을 불러일으켰습니다.론 와이든 미국 상원의원이 개입하여 연방거래위원회(FTC)에 마이크로소프트의 허술한 사이버 보안 조치와 기업 IT 부문에서의 지배적 지위를 강조하는 통렬한 서한을 보내면서 상황은 더욱 악화되었습니다.
사이버 보안 관행에 대한 우려 제기
민주당 소속인 와이든 상원의원은 마이크로소프트의 사이버 보안 부실을 “심각한” 수준이라고 규정하며, 이것이 랜섬웨어 사건 급증에 직접적인 영향을 미쳤다고 주장했습니다.특히 의료 분야에서는 보안 침해가 환자에게 생명을 위협하는 결과를 초래할 수 있어 심각한 우려를 자아냅니다.마이크로소프트가 기업 IT 시장에 대한 상당한 지배력을 보유하고 있다는 점을 고려할 때, 그는 이것이 심각한 국가 안보 위협이라고 주장합니다.그는 마이크로소프트가 강력한 보안을 우선시하는 대신, 사이버 공격 피해자에게 사이버 보안 애드온과 서비스를 판매하는 데 중점을 둔 수십억 달러 규모의 사업 모델을 통해 이익을 취하고 있다고 비난합니다.그는 이러한 행태를 “방화범이 피해자에게 소방 서비스를 판매하는 것”에 비유하며 날카롭게 비판했습니다.
보안 구성의 기본값
와이든에 따르면, 윈도우에는 기본 보안 구성이 포함되어 있지만 근본적으로 안전하지 않습니다.사용자가 이러한 설정을 사용자 지정할 수 있지만, 많은 사용자가 필요한 조정을 하지 않아 취약한 상태에 놓이게 됩니다.와이든 상원의원은 이러한 “위험한 소프트웨어 엔지니어링 결정”이 기업과 정부 사용자 모두에게 알려지지 않아 궁극적으로 사이버 위협의 위험에 노출된다고 주장합니다.
사례 연구: Ascension 랜섬웨어 공격
상원의원은 비영리 의료 서비스 제공업체인 어센션(Ascension)에 대한 랜섬웨어 공격을 이러한 취약점의 생생한 사례로 언급했습니다.이 침해는 해커가 빙(Bing)에서 발견된 악성 링크를 통해 계약직 직원의 노트북에 침투할 수 있도록 하는 “커버로스팅(Kerberoasting)” 기법을 악용했습니다.이 진입점을 통해 공격자는 네트워크를 탐색하고, 관리자 권한을 획득하고, 랜섬웨어를 배포하고, 수백만 명의 환자 데이터를 침해할 수 있었습니다.
구식 보안 기술과 책임
와이든 상원의원은 이 보안 침해의 대부분 책임을 마이크로소프트에 돌렸습니다.그는 마이크로소프트가 여전히 구식 RC4 암호화 기술을 사용하고 있으며, 윈도우에서 더 안전한 AES 암호화를 기본적으로 의무화하지 않고 있다고 지적했습니다.마이크로소프트는 사용자가 최소 14자 이상의 비밀번호를 생성하면 공격 표면을 줄일 수 있다고 주장하지만, 해당 소프트웨어는 관리자 계정에 대한 이 중요한 요구 사항을 강제하지 않습니다.마이크로소프트는 이전에 와이든 상원의원에게 RC4를 단계적으로 폐지하겠다고 약속했지만, 아직 그 약속을 이행하지 않았습니다.
FTC 조사 요청
와이든이 FTC에 보낸 4페이지 분량의 서한은 위원회가 마이크로소프트 소프트웨어가 주요 정부 및 공공 인프라에 미치는 악영향에 대해 조치를 취할 것을 촉구합니다.그는 마이크로소프트의 실효적인 독점과 안전한 소프트웨어 개발 관행의 부재에 대한 책임을 묻지 않으면 향후 유사한 사고가 발생할 가능성이 높다고 강조합니다.전체 서한은 여기에서 확인할 수 있으며, 더 자세한 내용은 The Register의 이 기사에서 확인할 수 있습니다.
결론
사이버 보안 환경이 끊임없이 변화함에 따라 강력하고 신뢰할 수 있는 보안 관행의 필요성이 점점 더 중요해지고 있습니다.이러한 책임을 소홀히 할 경우 기업의 재정적 부담뿐만 아니라 공공 안전까지 위협할 수 있습니다.와이든 상원의원의 강력한 입장은 마이크로소프트와 같은 주요 기술 기업의 책임성을 확보하는 데 있어 규제 기관이 얼마나 중요한 역할을 해야 하는지를 보여줍니다.
답글 남기기