전 세계 동시다발적으로 윈도 운영체제를 파고든 랜섬웨어 공격 이후 마이크로소프트(MS)의 책임 여부를 놓고 논란이 벌어지고 있다.
15일(현지시간) 미국 일간 뉴욕타임스(NYT)는 ‘랜섬웨어 공격에서 MS의 책임소재는?’이라는 제목의 기사를 통해 MS가 이번 랜섬웨어 공격의 배경으로 소비자와 정보 당국의 잘못을 지적하며 자사만의 책임이 아니라고 강조했다고 전했다.
랜섬웨어는 컴퓨터 사용자의 파일을 인질로 금전을 요구하는 악성 프로그램으로 몸값을 뜻하는 랜섬(Ransom)과 소프트웨어(Software)의 합성어다. 이번 랜섬웨어 공격은 이메일을 통한 통상적인 방식이 아닌 윈도 운영체제의 취약점을 파고든 ‘네트워크 웜’ 방식이다. 이 때문에 해킹 피해가 확산되면서 MS로 비난의 화살이 돌아오고 있다.
이에 MS는 이례적으로 공식 지원하지 않는 옛 윈도 버전용 보안 패치까지 배포하는 충분한 조처를 취했으며, 되레 고객과 정보 당국의 잘못도 있다고 반박했다. 브래드 스미스 MS 사장 겸 최고법무책임자(CLO)는 전날 블로그 게시물을 통해 MS가 벌인 노력을 강조하며 “(이번 공격은) 사이버 안보가 IT 기업과 고객이 책임을 함께 나누어야 하는 문제가 됐음을 보여주는 것”이라고 밝혔다. 그는 또한 미국 국가안보국(NSA)에서 도난당한 코드가 이번 사이버 공격에 사용됐다며, 정보 당국의 문제점도 지적했다.
스미스 사장은 “CIA가 취약점을 보관한 것이 위키리크스에 올라왔고 이제 NSA에서 훔친 취약점이 전 세계의 고객에게 영향을 미쳤다”며 정보 당국이 디지털 무기를 보관한 방식을 비판했다.
MS는 지난 13일 공식 보안 지원을 중단했던 윈도 XP, 윈도 8, 윈도 서버 2003등 옛 윈도 버전용 보안 패치를 이례적으로 배포했다. MS는 지난 15년간 악성 소프트웨어 문제가 불거질 때마다 악성 코드를 배포한 단체 다음으로 최고의 악당으로 꼽혔지만, 이번만큼은 자신들만의 문제가 아니라고 항변하고 있다고 NYT는 설명했다.
MS가 랜섬웨어 공격과 관련한 책임 논쟁에서 완전히 벗어날 수 있을지를 두고는 전문가들의 의견이 분분하다.
노스캐롤라이나대 제이네프 투페치 교수는 “MS 같은 기업이라면 오래된 소프트웨어를 쓰는 고객은 버려도 된다는 생각을 버려야 한다”고 지적했다. 보안업체 F-시큐어의 미코 히포넨 최고연구책임자(CRO)는 반면 오래된 소프트웨어 제품을 영원히 업데이트해주는 것은 오히려 새로운 소프트웨어로 업데이트할 유인을 낮춰 컴퓨터의 보안을 갉아먹는다고 주장했다. 그는 “이번에 왜 MS가 윈도 XP를 위한 긴급 패치를 배포했는지는 이해한다”면서도 “통상적으로는 XP가 죽도록 내버려둬야 한다”고 덧붙였다.
/성윤지인턴기자 yoonjis@sedaily.com