MS, 중국 등 특정국가 기업에 사전 PoC 코드나 상세 보안취약점 정보 제공 금지 조치

마이크로소프트는 취약점 사전 공유 과정에서 발생한 잠재적 유출을 차단하기 위해 중국 등 특정 국가 기업에 대한 PoC 제공을 중단키로 했다. 전문가들은 이 조치를 환영하면서도, 패치 검증 강화와 지속적인 보안 모니터링이 함께 이루어져야 한다고 경고한다.

마이크로소프트가 보안 패치 이전 취약점 세부 정보와 개념증명(Proof-of-Concept, PoC) 익스플로잇 코드에 대한 조기 접근 권한을 제한하기 시작했다. 이제부터는 일부 국가에서 활동하는 기업들이 더 이상 PoC 코드나 상세한 사전 기술 자료를 받지 못하고, 공식 패치가 발표되는 시점에 제공되는 일반적인 설명만 전달받게 된다. 이 조치는 최근 쉐어포인트(SharePoint) 제로데이 취약점 악용 사례와 사전 정보 유출 의혹 이후 내려진 것이다.

마이크로소프트는 오랫동안 ‘마이크로소프트 액티브 프로텍션 프로그램(Microsoft Active Protections Program, MAPP)’을 통해 보안 패치가 발표되기 약 2주 전에 주요 보안 벤더들에게 취약점 정보를 제공해왔다. 참여 기업들은 비밀유지계약(NDA)에 서명하고 그 대가로 조기 정보와 PoC 코드를 받아 방어 체계를 미리 구축할 수 있었다. 그러나 최근 정책 변경으로, 정부에 취약점을 의무적으로 보고해야 하는 국가의 기업들, 특히 중국의 보안 기업들은 더 이상 PoC 코드에 접근할 수 없게 됐다.

MAPP은 과거에도 유출 문제가 발생한 바 있다. 2012년 마이크로소프트는 NDA 위반을 이유로 중국 항저우의 한 보안 기업을 프로그램에서 퇴출시킨 바 있으며, 이후 통제 절차를 강화하겠다고 밝혔다. 이번 조치 역시 같은 맥락에서 이해된다.

문제가 불거진 계기는 지난 7월 발생한 쉐어포인트 제로데이 공격이었다. 공격자들은 인증 우회(CVE-2025-53771)와 원격 코드 실행(CVE-2025-53770) 취약점을 연계해 온프레미스 쉐어포인트 서버를 장악했으며, 이 공격 체인은 ‘ToolShell’로 불리고 있다. 마이크로소프트는 7월 19일 긴급 보안 지침을 내리고 패치를 발표했으며, 미국 사이버안보국(CISA)은 해당 취약점을 ‘이미 악용된 취약점 목록’에 추가했다. 보안업계 보고에 따르면 공격은 7월 중순부터 시작돼 미국 에너지부 산하 원자력안보청을 포함해 400여 개 이상의 조직이 피해를 입은 것으로 알려졌다.

당초 마이크로소프트는 7월 8일 발표한 패치가 취약점을 해결했다고 했지만, 공격자들은 이를 우회하는 방법을 빠르게 찾아냈다. 마이크로소프트는 결국 7월 21일 보완 패치를 다시 내놓았지만 이미 수많은 시스템이 공격을 받은 후였다.

보안 전문가들은 공격자들이 취약점 세부 정보를 너무 빨리 확보했다는 점에 주목했다. 트렌드마이크로 제로데이 이니셔티브(ZDI)의 더스틴 차일즈는 “어딘가에서 유출이 발생했다”고 지적하며, 마이크로소프트가 첫 패치를 내놓은 직후 곧바로 우회 공격이 등장한 사실을 문제 삼았다. 그는 MAPP을 통한 사전 정보가 고도화된 공격자들에게 전달됐을 가능성을 배제할 수 없다고 말했다.

중국은 2021년부터 보안취약점 보고 제도를 강화해 기업과 연구자가 발견한 취약점을 정부 기관에 의무적으로 제출하도록 규정하고 있다. 대부분 48시간 내 보고가 요구되며, PoC 코드 공개도 엄격히 제한된다. 이러한 제도로 인해 조기 취약점 정보가 정부에 집중되는 구조가 만들어졌고, 이는 국가 주도의 사이버 작전과 연결될 수 있다는 우려가 제기되어 왔다. 이번 마이크로소프트의 결정은 자사 사전 정보가 중국 정부로 흘러들어가는 것을 차단하려는 의도로 해석된다.

마이크로소프트는 고객들에게 최신 쉐어포인트 버전으로 업그레이드하고, 7월 패치와 이후 긴급 업데이트를 모두 적용할 것을 권고했다. 또한 머신 키 교체, 지속적 침입 여부 점검, 의심스러운 파워쉘 실행이나 웹셸 설치 흔적 탐지 등도 강조했다. CISA 역시 관련 악성코드 분석 자료와 탐지 규칙을 배포해 보안 담당자들이 추가 위협을 조기에 식별할 수 있도록 지원했다.

보안 전문가들은 마이크로소프트의 조치를 “늦었지만 긍정적인 변화”라고 평가했다. 그들은 유출 가능성이 큰 국가 기업에 대한 조기 접근을 제한하는 것이 전체 보안 생태계에는 도움이 될 것이라고 강조했다. 그러나 동시에 “정책 변화만으로 문제를 해결할 수는 없다”며, 패치 개발 과정에서 더 강력한 검증 절차와 다계층 방어가 병행되어야 한다고 지적했다.

또한 기업 고객들에게는 단순히 “패치를 한 번 적용했으니 안전하다”는 생각을 버리고, 패치 이후에도 보완 업데이트가 나왔는지 반드시 확인해야 한다고 조언했다. 아울러 공급망 내 관리 서비스 제공업체(MSSP)가 조기 정보에 의존하던 경우, 그들의 보안 대응 능력이 약화되지 않았는지도 점검할 필요가 있다고 덧붙였다.

[KCSCON 2025 개최] 하반기 최대 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]

(제13회 KCSCON 2025 / 구 PASCON)

※ Korea Cyber Security Conference 2025

-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-

공공∙기업 정보보안 책임자/실무자 1,200여명 참석!

-2025년 하반기 최대 정보보호 컨퍼런스&전시회-

△주최: 데일리시큐

△후원: 과학기술정보통신부, 한국인터넷진흥원, 한국정보보호산업협회

△일시: 2025년 9월 16일 화요일(오전9시~오후5시)

△장소: 세종대 컨벤션센터 전관

△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업

개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명