사진: 미국 상원의원 론 와이든은 최근 연방거래위원회(FTC) 위원장에게 서한을 보내 마이크로소프트의 행위를 "심각한 사이버 보안 과실"이라고 규정하며 국가 안보에 대한 위협으로 지목했습니다.
와이든 의원은 서한에서 마이크로소프트가 여러 건의 주요 사이버 보안dent에 연루된 역할을 조사할 것을 촉구하며, 마이크로소프트의 관행이 중요 기반 시설과 미국의 국가 안보를 위협했다고 주장했습니다.
와이든, 마이크로소프트를 비난하다
9월 10일 앤드류 퍼거슨 FTC 위원장에게 보낸 서한 에서 마이크로소프트의 "심각한 사이버 보안 과실"이 미국 의료기관을 포함한 중요 기반 시설
와이든 의원은 마이크로소프트를 "방화범이 피해자들에게 소방 서비스를 파는 격"이라고 비유하며, 정부 기관과 다른 기업들은 마이크로소프트가 "기업 IT 시장을 거의 독점하고 있기 때문에" 이 회사의 제품을 사용할 "선택의 여지가 없다"고 주장했습니다
와이든 의원은 2024년 5월 병원 운영업체인 어센션에 대한 랜섬웨어 공격을 대표적인 사례로 들었다.
회사 측에 따르면 해당 사건으로 약 560만 명의 개인 의료 및 보험 정보가 유출되었습니다. 그는 병원 운영자가 직원들에게 어센션 소속 계약자가 자신의 노트북에서 마이크로소프트의 빙trac엔진이 제공하는 악성 링크를 클릭했다고 알렸다고 적었습니다.
와이든 의원은 마이크로소프트가 구식 암호화 기술과 기본 설정 구성을 지원한 것이 어센션 취약점의 원인이 되었다고 주장했습니다. 그는 또한 마이크로소프트가 기업들에게 이러한 위협을 완화하는 방법에 대해 제대로 교육하지 않았다고 지적했습니다.
수요일 마이크로소프트 대변인은 와이든 의원이 언급한 RC4 암호화 표준이 오래된 것은 맞지만, 회사 트래픽의 "0.1% 미만"을 차지하며 고객들에게 사용을 권장하지 않는다고 확인했습니다.
"하지만 해당 기능의 사용을 완전히 차단하면 많은 고객 시스템에 문제가 발생할 수 있습니다."라고 대변인은 말하며, 회사는 경고 및 안내를 제공하면서 고객이 해당 기능을 사용할 수 있는 범위를 점진적으로 줄여나가고 있다고 덧붙였습니다.
RC4는 2026년 1분기부터 특정 Windows 제품에서 기본적으로 비활성화될 예정이며, 회사는 기존 배포 환경에 대한 "추가적인 완화 조치"를 포함할 것이라고 밝혔습니다.
와이든 의원은 법원 시스템의 사이버 보안 관행에 대한 검토를 요구했다
와이든 의원의 마이크로소프트 관련 조치는 그가 존 로버츠 대법원장에게 연방 법원 시스템의 사이버 보안 관행에 대한 포괄적인 검토를 시작할 것을 촉구한 지 얼마 지나지 않아 나온 것입니다.
그의 요청은tron사건 관리 시스템에 대한 대규모 해킹 사건 이후에 나왔으며, 이는 5년 만에 두 번째 주요 보안 침해 사건이었다.
올해 6월에 발생한 가장 최근의 데이터 유출 사건을 계기로 법원은 마침내 다중 인증(multifactor authentication)을 시행한다고 발표했는데, 이는 2015년부터 행정부 기관에서 표준으로 시행되어 온 기본적인 보안 조치입니다.
와이든 의원의 입장에서 볼 때, 법원의 사이버 보안 소홀은 국가 안보에 심각한 위험을 초래하며, 진행 중인 수사 및 연방 증인과 관련된 민감한 정보가 외국 적대 세력에 의해 악용될 수 있다는 우려를 낳고 있습니다.
사건 관리 시스템에 보관된 비공개 법원 문서에는 국가 안보 정보 출처 및 방법, 주요 연방 증인의 이름, 진행 중인 수사에 대한 세부 정보 등 매우 민감한 정보가 포함되는 경우가 많습니다.
외국 적대 세력이나 범죄 조직의 손에 이러한 정보가 들어가면 미국인들의 안보에 심각한 피해를 줄 수 있습니다. 뉴욕 타임스가 최근 해킹의 목표물이 "해외와 연관된 범죄 활동 관련 문서"였다고 보도한 것은 상황을 더욱 악화시키고 있습니다.
