마이크로소프트(MS)는 자사 소프트웨어 보안 결함 정보를 중국 기업에 사전 제공하지 않기로 했다고 블룸버그 통신이 20일(현지시간) 보도했다.
MS 대변인 데이비드 커디는 “7월부터 새로운 제도를 시행해 정부 보고 의무가 있는 국가의 기업에 보안 취약점 정보를 제한한다”며 중국이 이에 포함된다고 밝혔다.
MS는 기존의 적극적 보호 프로그램(MAPP)을 통해 전 세계 보안 기업들에 보안 패치 공개 전 취약점 정보를 제공해 왔으나, 이제 중국 등 특정 국가 기업에는 일반 설명만 제공하고, 패치 배포 시점에 코드만 발송한다.
이번 조치는 MS의 셰어포인트 소프트웨어가 지난 7월 중국 정부 지원 해커 조직 리넨 타이푼, 바이올렛 타이푼, 스톰-2603에 의해 대규모 해킹을 당한 후 나왔다.
이 공격으로 미국 국가핵안보국(NNSA, National Nuclear Security Administration)을 포함한 400여 개 정부 기관과 기업이 피해를 입었다.
MS는 해킹 직후 MAPP 파트너로 포함된 12개 이상의 중국 기술·보안 기업이 취약점 정보를 유출했을 가능성을 조사했다.
MS는 2021년 익스체인지 서버 취약점 정보가 중국 MAPP 파트너사에 의해 유출된 사례를 계기로 유사한 위험을 경계해 왔다.
블룸버그는 중국의 사이버보안법이 기업과 연구자에게 보안 결함 발견 시 48시간 내 당국 보고를 의무화한 점이 정보 유출 우려를 키웠다고 분석했다.
미국 사이버보안 기업 센티넬원의 컨설턴트 다코타 캐리는 “중국 기업은 정부 요구에 응할 수밖에 없으므로 MS의 정보 제한 결정은 적절하다”고 평가했다.
MS는 이번 조치로 고객 보호와 국가 안보를 강화하며, MAPP 제도를 재정비해 신뢰도를 높일 계획이다.