MS, 제로데이 연구자 고소 위협 철회… 보안 커뮤니티 '총공세'에 굴복

연구자는 MS의 취약점 대응 방식에 불만을 품고 이 같은 공개를 감행했다고 주장했다. 나이트메어 이클립스는 과거에 공식 채널을 통해 제출한 보고서들이 무시당하거나 잘못 처리되었으며, Hyper-V 익스플로잇에 대해 최대 25만 달러(약 3억 2천만 원)에 달하는 버그 바운티(취약점 신고 포상금) 지급도 거부당했다고 주장했다 . 이에 대해 MS는 연구자가 공개 이전에 공식 채널을 통해 취약점을 보고한 적이 없다고 반박했다 .

MS의 강경 대응과 커뮤니티의 분노

상황은 5월 마지막 주에 급격히 악화되었다. 5월 23일경, 나이트메어 이클립스의 깃허브(GitHub) 계정이 정지되었고, 이어 5월 26~27일에는 깃랩(GitLab)에서도 계정이 차단되었다 . 개인 블로그를 통해서만 활동을 이어가던 연구자는 2026년 7월 14일(다음 정기 업데이트 화요일)에 추가 익스플로잇을 대규모로 공개하겠다고 위협했다 .

이에 5월 27일, MS 보안 대응 센터는 공식 블로그에 '공동의 책임: 조정된 취약점 공개를 통한 고객 보호'라는 제목의 글을 게시했다 . 이 글은 무분별한 공개를 강하게 비판하며, "패치되지 않은 취약점에 대한 개념 증명 코드를 악의적인 행위자의 손에 쥐여주는 조정되지 않은 공개는 결코 정당화될 수 없으며 실제로 심각한 결과를 초래한다"라고 못 박았다 .

하지만 보안 업계 전체를 발칵 뒤집은 것은 다른 대목이었다. MS 측은 해당 글에서 "우리의 디지털 범죄 대응팀(DCU)은 이러한 행위자들과 그들의 범죄 행위를 조장하는 자들에 대한 사건 수사를 계속할 것이며, 필요시 전 세계 법 집행 기관과 협력할 것"이라고 언급한 것이다 . 비록 나이트메어 이클립스를 직접 지목하지는 않았지만, 현재 진행 중인 제로데이 공개 캠페인에 대한 직접적인 반응으로 게시된 글이었기에 많은 보안 연구자들은 이를 연구자 개인에 대한 명백한 법적 위협이자 신고 협박으로 해석했다 .

전 세계 보안 업계의 '집단 반발'

이에 대한 업계의 반응은 즉각적이고 격렬했다. 보안 연구자들과 주요 기술 매체들은 앞다퉈 MS의 행태가 정당한 보안 연구를 위축시킬 수 있는 위협 행위라고 비판했다 .

여러 매체에서 하루가 멀다 하고 비판 기사가 쏟아졌다. 테크크런치는 "마이크로소프트, 보안 연구자를 범죄 수사 위협으로 압박해 논란"이라는 제목의 기사를 내보냈다 . 윈도우 센트럴은 "그들은 내 인생을 망칠 것이다"라는 연구자의 두려움을 전면에 내세워 보도했다 . 더 레지스터, 시큐리티 어페어스, CSO 온라인 등 유력 보안 매체들도 비판 대열에 동참했으며, 타임스 오브 인디아 등 해외 매체들도 "분노"와 "대규모 반발"을 언급하며 사건을 조명했다 .

비판의 핵심은 MS의 이러한 법적 압박이 조정된 취약점 공개 절차 자체의 신뢰를 떨어뜨린다는 점에 있었다. 연구자들이 법적 보복을 두려워하게 되면 공식 채널을 통한 신고 자체를 꺼리게 될 것이라는 우려였다 . 여러 전문가들은 공개된 6개의 제로데이 중 3개가 아직 패치되지도 않은 상태에서 MS가 연구자에게 소송을 걸겠다고 협박하는 것은 우선순위가 잘못됐다고 지적했다 .

저명한 보안 연구자 케빈 보몬트는 MS의 상황 대처 방식을 공개적으로 지적하며, 회사의 대응이 지나치다는 점을 꼬집었다 . 업계의 중론은 MS가 연구자의 초기 보고서를 잘못 다루면서 갈등을 자초했고, 이를 법적 위협으로 덮으려다 사태를 더 악화시켰다는 것이다 .

6월 2일의 백기… 그리고 남은 의문들

2026년 6월 2일, 결국 MS는 한발 물러섰다. 소셜 미디어 X(구 트위터)와 여러 매체를 통해 발표된 성명에서 MS는 다음과 같이 밝혔다. "법적 문제에 대한 우리의 접근 방식을 명확히 하고자 합니다. 우리는 보안 연구를 수행하거나 이를 발표하는 개인을 상대로 법적 조치를 취할 생각이 전혀 없습니다" .

이 발언은 불과 며칠 전 블로그에서 DCU를 동원하겠다던 위협과는 정면으로 배치되는 것이었다. MS는 이전의 발언이 특정 연구자를 겨냥한 것이 아니라 조정된 공개 원칙에 대한 일반적인 입장을 밝힌 것이라고 해명하려 애썼다 .

독일의 기술 블로그 본시티는 MS의 이러한 태도 변화를 "보안 연구자들이 촉발한 엄청난 비판 여론 때문에 뒷걸음질 친 것"이라고 표현했다 . 호주의 IT 매체 iTnews 또한 "보안 연구자들의 강력한 반발 이후 나온 조치"라고 보도했다 .

이러한 입장 철회는 정책 변화라기보다 사태 수습을 위한 전술적 후퇴로 해석하는 것이 옳다. MS는 취약점 공개에 대한 기존의 기대치를 변경하겠다고 약속하지 않았으며, 연구자가 제기한 보고서 처리 오류나 미지급 포상금에 대한 문제 제기에도 침묵했다. 회사는 단지 법적 위협만을 거둬들였을 뿐, 조정되지 않은 공개가 무책임하다는 기본 입장은 여전히 유지하고 있다 .

보안 연구자 커뮤니티의 반응은 회의적이었다. 많은 이들이 이번 입장 번복을 연구자 권리 보호에 대한 진정한 약속이 아니라 대중의 압박에 굴복한 '임시방편'으로 받아들였다 . 6월 초까지도 옐로우키, 그린플라즈마, 미니플라즈마가 패치되지 않은 채 남아 있다는 사실은 MS의 우선순위가 잘못되어 있다는 비판에 계속해서 불을 지폈다 .

이번 사건은 취약점 공개 규범에 깊이 자리한 긴장 관계를 적나라하게 드러냈다. 신뢰를 기반으로 한 조정된 취약점 공개 시스템은 연구자가 비공개로 버그를 신고하고, 벤더가 합리적인 기간 내에 패치할 때 유지된다. 신고가 무시되거나, 포상금이 지급되지 않거나, 법적 위협이 가해지는 등 어느 한 쪽이라도 이 신뢰가 깨졌다고 인식하는 순간, 전체 시스템은 취약해진다.