전 세계 각국의 수많은 소비자와 정부가 이용하는 마이크로소프트의 클라우드 서비스가 부실한 사이버보안, 느슨한 회사 분위기, 고의적인 투명성 부족으로 취약하다는 비판이 제기됐다고 워싱턴포스트(WP)가 2일 보도했다.
미 정부가 구성했으나 독립적으로 운영되는 사이버보안 점검위원회가 이날 지나 레이몬도 상무 장관 등 미 정부 당국자들의 이메일이 지난해 중국에 해킹된 것이 마이크로소프트의 보안 취약성 때문이라고 지적했다.
2년 전 정부 및 업계 전문가로 구성된 사이버보안 점검위원회는 로버트 실버스 국토안보부 정책차관이 위원장이다.
보고서는 22개 기관과 500여 명의 마이크로소프트 익스체인지 온라인 이메일함 해킹이 “예방 가능했으며 결코 재발해선 안 된다”고 강조했다.
보고서는 특히 마이크로소프트가 중국의 해킹이 어떻게 이뤄졌는지를 아직도 파악하지 못하고 있다고 밝혔다. 미 정부는 매년 수십 억 달러를 지불하면서 마이크로소프트의 소프트웨어와 클라우드 서비스를 이용하고 있다.
위원회는 마이크로소프트가 시스템 충돌 때 발생하는 잔여 데이터가 해킹됐다는 잘못된 입장을 몇 달 동안이나 유지했지만 실제로는 이것이 해킹으로 이어졌는지를 확인하지 못하고 있다고 밝혔다.
미 정보 당국은 지난해 6월 중국 정보기관인 국가보안부(MSS)가 해킹을 주도했으며 국가보안부 휘하의 해커들이 마이크로소프트 인증서를 위조해 레이몬도 상무장관, 니컬러스 번스 주중 미 대사 등 고위 미 당국자들의 이메일을 입수했다고 밝혔었다.
이와 관련 마이크로소프트가 지난해 7월 중국 해커들이 모종의 수단으로 “접속” 키를 확보해 이용자 인증서를 위조하고 아웃룩 이메일을 훔쳤다고 발표했었다.
마이크로소프트는 이어 지난해 9월 해커들이 시스템 충돌로 발생하는 잔여 데이터(크래시 덤프; crash dump)를 우연히 발견하고 키를 확보한 것을 회사 보안 시스템이 적발하지 못했다고 밝혔다.
마이크로소프트는 그러나 2개월 뒤 9월의 발표가 정확하지 않음을 위원회에 시인했으며 몇 주 전 마이크로소프트 보안 대응센터가 “탈취된 키가 포함된 크래시 덤프를 찾아내지 못했다”고 공개했다.
마이크로소프트는 여러 차례 대규모 해킹 피해를 입은 바 있다. 지난 2021년 초 중국 정부 휘하 해커들이 마이크로소프트 익스체인지 이메일 서버에 침투해 최소 3만개의 미국 이메일 계정과 최소 20만 개의 전 세계 이메일 계정이 위험에 처한 적이 있다.
지난 1월 마이크로소프트는 러시아 대외정보국(SVR)에 의해 회사 이메일이 해킹됐다고 밝혔다. 당시 마이크로소프트는 고객사인 휴렛패커드 엔터프라이즈가 해킹된 것을 통보했으며 그밖에도 마이크로소프트 판매 대행 회사 등 여러 곳이 피해를 봤다고 미 정부 당국자들이 밝혔다.
미 국무부는 지난해 6월 중국에 의해 해킹된 것을 발견해 마이크로소프트에 알렸다. 국무부는 로그인 기록을 점검하는 과정에서 해킹으로 6만 여 건의 이메일이 탈취됐음을 확인했다.
위원회는 보고서에서 그밖에도 수많은 해킹 사례를 적시하면서 마이크로소프트가 기본적인 보안 조치를 게을리 했다고 비판했다.
위원회는 마이크로소프트, 아마존, 구글 등 대형 클라우드 서비스 회사들이 엄청난 공격을 받고 있다면서 보안 조치를 강화해야 한다고 촉구했다.
