MS 고발한 미 의원, “기본 설정이 해커 돕는다” 주장

마이크로소프트가 연방거래위원회(FTC)의 조사를 받을 지도 모르는 상황이다. 민주당 의원 론 와이든(Ron Wyden)이 “MS의 기본 설정이 고객들을 취약하게 만들고 있다”고 주장했기 때문이다. 이는 MS가 사실상 설정을 통해 랜섬웨어나 각종 해킹 공격에 길을 터주고 있다는 것으로, FTC가 조사를 결정하지도 않았는데 찬반이 갈려 논란이 일고 있다. 

와이든의 주장
‘MS가 공격자들을 돕고 있다’는 것과 다를 바 없는 이 주장은 어떻게 나오게 된 걸까? 2024년 어센션(Ascension) 병원 사태로 거슬러 올라간다. 어센션이라는 대형 병원이 랜섬웨어에 감염돼 560만 명이 넘는 환자들의 개인정보와 의료 데이터, 결제 정보, 보험 정보 등이 해커들의 손에 넘어간 사건이다. 이후 와이든은 어센션과 MS 직원들을 면담했고, 그 결과 MS의 정책 자체에 허술함이 잔뜩 있다는 결론을 내렸다. 왜?

한 어센션 직원은 와이든과의 면담에서 “회사에서 지급해준 노트북을 업무에 썼다”고 했으며, “그 컴퓨터는 빙과 엣지 브라우저를 쓰도록 설정돼 있었다”고 말했다. 이는 윈도 컴퓨터의 기본 설정 내용이기도 하다. 이 직원은 피싱 링크를 클릭했고, 이 링크는 엣지 브라우저를 통해 열렸다. 동시에 악성 요소들이 시스템으로 쏟아져 내렸다. 이 악성 요소들은 컴퓨터를 타고 네트워크 전체로 퍼졌다. 그러면서 공격자들은 액티브 디렉토리(AD)에도 접근해 관리자 권한을 획득했고, 이를 통해 수천 대 컴퓨터에 랜섬웨어를 심는 데 성공했다.

여기서 와이든이 특히 문제라고 본 건 액티브 디렉토리다. “해커들은 어센션의 액티브 디렉토리 서버에서 높은 권한을 가진 계정들에 접근하기 위해 케르베로스팅(Kerberoasting)이라는 기법을 썼습니다. 수십 년 동안 취약한 채 방치돼 있던 암호화 프로토콜을 악용하는 기술입니다. MS가 액티브 디렉토리를 조정해 오래된 암호화 기술을 지원하지 않았다면 통하지 않았을 수법이었죠. 어센션 사건이 터지고서 1년 후, 이란의 해커들이 같은 방법으로 미국 기업들을 공략하고 있다는 보고도 나왔습니다. 흥미로운 건 MS도 이미 10년 전부터 오래된 암호화 기술의 위험성에 대해 경고해 왔다는 겁니다. 스스로도 위험하다는 걸 알았지만 조치를 취하지는 않은 것이죠.”

와이든은 “왜 MS는 스스로가 위험하다고 설파해 온 행위를 근절시키지 못한 것인지가 의문”이라며 “자기 말만 잘 지켰어도 수많은 MS 고객들이 랜섬웨어 피해를 입지 않았을 것”이라고 비판했다. “이미 우리에게는 훨씬 강력한 암호화 기술들이 존재합니다. MS도 이에 대해 충분히 알았을 것입니다. 왜 약한 걸 알고도 보완하지 않았는지 해명해야 할 것입니다.”

MS의 또 다른 모순
와이든은 MS의 다른 모순도 지적했다. “MS는 14자 이상으로 구성된 비밀번호를 설정하면 많은 위협을 막을 수 있다고 사용자들에게 말합니다. 실제 MS 환경에서 계정 설정을 할 때 비밀번호는 14자 이상으로 지정해야 하는 경우가 많습니다. 하지만 정작 가장 중요한 ‘권한 높은 계정’에는 이 정책이 적용되어 있지 않습니다. 가장 단단히 지켜야 하는 걸 오히려 가장 느슨하게 보호하고 있었던 것입니다. 이 역시 MS의 현 문제점을 보여줍니다.”

MS는 와이든의 이러한 비판을 받고 외국 언론을 통해 “RC4가 오래된 암호화 기술이라는 것을 알고 있으며, 자사 소프트웨어 설계와 고객 문서에 절대 사용하지 않는다”고 주장했다. 극히 일부에만 제한적으로 사용될 뿐이라는 건데, “MS 전체 트래픽에서 RC4와 관련된 건 0.1% 미만”이라고 MS 측은 밝혔다. 

왜 그 0.1%를 완전히 제거할 수 없는 걸까? “여전히 많은 MS 사용자들이 RC4에 의존하고 있기 때문입니다. 저희가 갑자기 RC4 지원을 중단시키면, 이런 사용자들의 시스템과 네트워크에 적잖은 장애가 발생할 공산이 큽니다. 이 때문에 한 번에 조치를 취할 수는 없어, 점진적으로 사용자를 줄여가는 쪽으로 움직이고 있습니다. 지금도 RC4 사용자의 수는 꾸준히 줄어들고 있습니다.”

MS는 2026년 1분기부터는 “액티브 디렉토리 설치 시 RC4가 기본적으로 비활성화 될 것”이라고 밝혔다. 굳이 RC4가 필요하다면 옵션 조정을 해야만 하는 것이다. 이전까지는 RC4 지원이 ‘기본’이었다. 그러면서 “RC4의 점진적 비활성화에도 속도를 가하겠다”고도 약속했다. 다만 구체적인 일정은 아직 잡혀 있지 않은 것으로 보인다.

FTC는 아직 침묵을 지키고 있다. 하지만 MS의 기본 설정이 사용자들을 위험하게 만든다고 판단할 경우 살벌한 공청회를 여는 것도 가능하다. FTC는 2000년대 초부터 비교적 최근까지 MS를 조사해 왔었다. 불공정 거래, 온라인 어린이 개인정보 보호, 특정 서비스의 허술한 보안 체계 등이 문제가 되곤 했었다.

Related Materials

• FTC Urged To Investigate Microsoft On Outdated RC4, Kerberoasting Flaws After Wyden Accuses MS Of Cyber Negligence - The Cyber Express, 2025년
• Wyden calls on FTC to investigate Microsoft for 'gross cybersecurity negligence' - CyberScoop, 2025년
• US Senator: Microsoft guilty of negligence in ransomware attacks, says Wyden - Techzine, 2025년
• US Senator Wyden pushes FTC to investigate Microsoft for cybersecurity lapses - Reuters, 2025년

자녀 모니터링 위한 감시 앱, 뒤에서 정보 줄줄 흘려

💡Editor’s Pick - 안드로이드 생태계에 나타난 새 감시앱, Catwatchful - 노골적인 ‘스토커웨어’ 기능 광고로 보안 업계 관심 쏠려 - 분석해 보니 구멍 술술 난 데이터베이스에 민감 정보를 평문으로 저장 ‘감시’를 주요 기능으로 내세운 소프트웨어들이 심심찮게 보안 문제거리로 화제가 되는 가운데, 최근 에릭 데이글(Eric Daigle)이라는 보안 전문가가 캣워치풀(

The Tech Edge문가용 기자

두 개의 사이버 태풍 겪은 미국, 수사 방법 자체가 변했다

💡Editor’s Pick - 설트타이푼과 볼트타이푼에 호되게 당한 미국 - 이제 ‘공격자가 이미 들어와 있다’고 가정하고 수사 - APT 조직들의 은폐 능력, 상상초월 중국 해킹 조직들 때문에 FBI의 사이버 보안 접근법 자체가 변했다고, FBI가 직접 밝혔다. 여기서 말하는 중국 해킹 조직이란 작년 미국 전체를 들썩이게 했던 설트타이푼(Salt Typhoon)과 볼트타이푼(

The Tech Edge문가용 기자