보안 연구원이 마이크로소프트 제품의 패치되지 않은 버그(익스플로잇 코드 포함)를 공개하자, 회사는 이를 수정하는 대신 경찰에 신고하겠다고 위협했다. 마이크로소프트의 모호한 법적 위협은 보안 연구원이 스스로 소프트웨어를 패치할 생각조차 없는 조 단위 거대 기술 기업에 무엇을 빚졌는지에 대한 오랜 논쟁에 다시 불을 붙였다.
수요일, 마이크로소프트는 '나이트메어 이클립스'로 알려진 연구원이 BlueHammer, RedSun UnDefend, YellowKey 같은 이름의 일련의 버그를 공개적으로 공개한 것을 비판하는 블로그 게시물을 발표했다. 이 이름들은 보안 결함이라기보다는 거절당한 파워레인저 악당처럼 들린다. 이 결함들은 Windows 내장 안티바이러스 엔진 Defender와 디스크 암호화 도구 BitLocker를 포함한 제품에 영향을 미쳤다.
마이크로소프트의 핵심 불만은 연구원이 회사가 먼저 수정할 수 있도록 버그를 비공개로 보고하지 않았다는 것이다. 마이크로소프트에 따르면 그것이 '책임 있는' 행동이었을 것이다. 회사는 또한 패치가 제공되기 전에 익스플로잇 세부 정보를 공개하는 것이 악성 해커를 도왔을 수 있다고 주장한다. 실제로 마이크로소프트와 미국 사이버보안국 CISA에 따르면 일부 취약점은 이후 실제 공격에 사용되었다.
"저희 디지털 범죄 부서는 이러한 행위자와 그들의 범죄 활동을 조장하는 사람들에 대해 계속해서 소송을 제기할 것이며, 필요에 따라 전 세계 법 집행 기관과 협력할 것입니다."라고 마이크로소프트는 썼다. 디지털 범죄 부서의 임무는 웹사이트에 따르면 '민사 소송, 기술적 대응 조치, 형사 고발, 공공-민간 파트너십'을 포함한다. 즉, 기본적으로 누군가가 당신에게 못되게 굴었을 때 아빠를 부르는 기업 버전이다.
지난 몇 주 동안 게시된 일련의 블로그에서 나이트메어 이클립스는 마이크로소프트와 연락을 취했지만 부당한 대우를 받았다고 주장했다. 여기에는 마이크로소프트 보안 대응 센터 계정이 취소된 것도 포함된다. 그들은 취약점을 공개적으로 공개할 수밖에 없었으며, 사실상 이를 제로데이(공개 당시 영향을 받은 소프트웨어 제조사가 알지 못하는 보안 결함)로 만들었다고 암시했다.
연구원은 GitHub와 GitLab에 버그를 게시했으며, 두 플랫폼 모두에서 계정이 차단되었다. 나이트메어 이클립스와 마이크로소프트 모두 논평 요청에 응답하지 않았다.
이 공개적인 말다툼은 여전히 논란의 여지가 있는 논쟁을 다시 불러일으킨다. 독립 보안 연구원이 발견한 취약점이 수정되도록 해야 할 의무가 있는가? 그리고 취약한 제품을 만든 회사가 실제로 수정하도록 하기 위해 그들은 얼마나 노력해야 하는가?
이 논쟁의 한 부분은 해결되었다. 연구원은 보상을 받을 자격이 있다. 2009년 '더 이상 무료 버그는 없다' 캠페인에 부분적으로 담긴 수년간의 투쟁 끝에, 거의 20년 후 대부분의 회사는 비공개 공개에 대해 6자리 이상의 버그 바운티를 지급한다.
이번 논란에 대응하여 수많은 연구원이 마이크로소프트에 버그를 보고한 나쁜 경험을 공유했다. 사이버보안 커뮤니티는 공개적으로 불만을 표시하고 있다. 여기에는 Luta Security의 설립자 Katie Moussouris도 포함된다. 그녀는 2000년대 중후반 마이크로소프트에서 근무하면서 버그 바운티를 개척하고 회사가 '책임 있는 공개' 대신 '조정된 공개'를 채택하도록 설득했다.
"'책임 있는' 공개라는 용어를 사용한 것이 제 책에서 첫 번째 잘못이었습니다."라고 Moussouris는 TechCrunch에 말했다. "[디지털 범죄 부서]를 언급하며 기소 위협을 추가한 것은 지나쳤으며, 보안 연구원이 마이크로소프트를 신뢰하지 않게 만들 것입니다." 그녀는 연구원의 신뢰를 잃으면 위축 효과를 만들어 '우리 모두에게 덜 안전해질 수 있다'고 경고했다.
보안 연구원이자 전 마이크로소프트 직원인 Kevin Beaumont도 회사를 비판하며 그들의 입장을 '스스로 만든 쓰레기통 불'이라고 묘사했다. "제로데이에 대한 개념 증명 익스플로잇 생성 및 배포가 이제 '범죄 활동'인가요?"라고 Beaumont는 썼다. "책임 있는 공개는 이제..."