마이크로소프트가 최근 공개된 여러 제로데이 취약점과 관련해 강한 우려를 표명했다. Microsoft Security Response Center, MSRC는 2026년 5월 27일 공식 블로그를 통해 최근 몇 주 사이 공개된 일부 제로데이 취약점들이 사전에 마이크로소프트와 조율되지 않은 채 외부에 공개됐으며, 이로 인해 고객들이 불필요한 위험에 노출됐다고 밝혔다.
이번에 언급된 취약점은 RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma, MiniPlasma 등이다. MSRC는 이들 취약점이 ‘책임 있는 공개’ 절차를 따르지 않았다고 지적했다. 즉, 취약점 세부 정보가 패치나 완화 조치가 마련되기 전에 공개됐고, 이 과정에서 공격자가 악용할 수 있는 정보가 먼저 시장에 풀렸다는 의미다.
이번 사안은 단순히 특정 취약점 공개 방식을 둘러싼 기업과 연구자의 갈등이 아니다. 생성형 AI, 클라우드, 운영체제, 생산성 소프트웨어가 전 세계 기업과 개인의 디지털 인프라가 된 상황에서, 취약점 공개의 순서와 방식은 곧 사회적 안전망의 문제로 확대되고 있다. 보안 연구가 공익을 위한 활동이라면, 그 공익은 ‘알 권리’뿐 아니라 ‘보호받을 권리’까지 포함해야 한다는 점에서 이번 MSRC의 입장은 적지 않은 파장을 낳고 있다.
CVD란 무엇인가…취약점 공개에도 ‘순서’가 있다
마이크로소프트가 강조한 핵심 개념은 CVD, 즉 Coordinated Vulnerability Disclosure다. 한국어로는 보통 ‘조정된 취약점 공개’ 또는 ‘책임 있는 취약점 공개’로 번역된다. 이는 보안 연구자가 취약점을 발견했을 때 이를 곧바로 대중에게 공개하는 것이 아니라, 먼저 해당 제품이나 서비스를 운영하는 기업, 또는 CERT와 같은 조정 기관에 비공개로 전달하고, 기업이 영향 범위를 분석하고 패치를 준비할 시간을 확보한 뒤 공개하는 방식이다.
CVD는 단순한 예의나 관행이 아니다. 현대 사이버보안 생태계에서 사실상 산업 표준에 가까운 협력 모델이다. 취약점은 공개되는 순간부터 방어 정보이자 공격 정보가 된다. 사용자는 위험을 알 수 있지만, 동시에 공격자도 동일한 정보를 활용할 수 있다. 특히 패치가 존재하지 않는 제로데이 취약점의 경우, 공개 정보는 곧 공격 코드 개발의 출발점이 될 수 있다.
따라서 CVD의 목적은 취약점을 숨기는 데 있지 않다. 오히려 취약점 공개를 더 안전하고 효과적으로 만들기 위한 절차적 장치다. 연구자는 취약점을 발견하고, 기업은 이를 검증하고 수정하며, 사용자는 패치와 완화 조치가 마련된 상태에서 위험 정보를 전달받는다. 이 세 단계가 맞물릴 때 취약점 공개는 공익적 행위가 된다.
MSRC의 문제의식…“PoC가 공격자 손에 들어가는 순간”
MSRC가 이번 사안에서 가장 강하게 우려한 지점은 ‘비조율 공개’가 개념증명 코드, 즉 PoC를 악의적 공격자에게 제공할 수 있다는 점이다. PoC는 취약점이 실제로 작동한다는 것을 보여주는 기술적 증거다. 보안 연구와 검증에는 필요하지만, 패치 전 공개될 경우 공격 자동화의 재료가 될 수 있다.
마이크로소프트는 이번 취약점들이 사전에 공유되지 않아 보안팀이 영향을 파악하고 고객 보호 조치를 마련하는 데 즉각 대응해야 했다고 밝혔다. 회사는 보안팀이 “밤낮없이” 영향 범위를 분석하고, 고객 보호 및 보안 업데이트 개발을 진행하고 있다고 설명했다.
이 대목에서 중요한 것은 시간이다. 사이버보안에서 시간은 곧 방어력이다. 기업이 취약점을 인지하고 패치를 만들기까지의 시간, 고객이 업데이트를 적용하기까지의 시간, 공격자가 취약점을 무기화하기까지의 시간이 서로 경쟁한다. 비조율 공개는 이 균형을 공격자에게 유리하게 바꿀 수 있다.
연구자의 자유와 고객 보호 사이의 오래된 긴장
그렇다고 취약점 공개를 둘러싼 논쟁이 일방적으로 정리되는 것은 아니다. 보안 연구자들은 오랫동안 기업이 취약점을 은폐하거나 패치를 지연하는 문제를 비판해왔다. 일부 연구자들은 공개 압박이 없으면 기업이 책임 있게 대응하지 않을 수 있다고 주장한다. 실제로 ‘완전 공개’ 또는 ‘풀 디스클로저’는 기업의 보안 무책임을 견제하기 위한 역사적 흐름 속에서 등장했다.
문제는 오늘날의 디지털 환경이 과거보다 훨씬 복잡해졌다는 점이다. 하나의 취약점은 더 이상 단일 소프트웨어에만 머물지 않는다. 클라우드 서비스, 기업용 계정, 공급망, 인증 체계, API, AI 서비스와 연결되며 연쇄적인 피해를 낳을 수 있다. 특히 마이크로소프트 제품군처럼 기업, 정부, 교육기관, 개인이 광범위하게 사용하는 플랫폼에서는 취약점 공개의 파급력이 훨씬 크다.
따라서 핵심 쟁점은 “공개할 것인가, 말 것인가”가 아니다. “언제, 누구에게, 어떤 수준으로, 어떤 보호 조치와 함께 공개할 것인가”다. 이 질문이 바로 CVD의 존재 이유다.
마이크로소프트의 대응…보상, 인정, 그리고 법적 대응 가능성
마이크로소프트는 매년 수백 명의 보안 연구자와 CVD 절차를 통해 협력하고 있다고 밝혔다. 연구자가 취약점을 책임 있게 제보하면, 회사는 이를 분석하고 보안 업데이트를 준비하며, 필요한 경우 연구자에게 보상과 공개적 인정을 제공한다. 이는 버그 바운티 프로그램과도 연결된다.
MSRC는 이번 입장문에서 책임 있는 연구자 커뮤니티를 계속 지원하겠다고 강조했다. 과거의 상호작용이나 평판과 무관하게 누구든 공개 연구자 포털을 통해 취약점을 제출할 수 있다는 점도 밝혔다. 이는 연구자와 기업 사이의 문을 닫지 않겠다는 메시지다.
동시에 회사는 고객과 디지털 생태계를 해칠 수 있는 비조율 공개에는 반대한다는 입장을 분명히 했다. 특히 범죄적 공격을 가능하게 하는 행위자와 이를 조력하는 이들에 대해서는 Digital Crimes Unit을 통해 법 집행 기관과 협력할 수 있다고 밝혔다. 이는 단순한 기술 대응을 넘어 법적·제도적 대응까지 고려하겠다는 신호로 읽힌다.
이번 사건이 던지는 산업적 메시지
이번 MSRC의 입장문은 보안업계에 세 가지 메시지를 던진다.
첫째, 제로데이 취약점 공개는 더 이상 연구자 개인의 판단만으로 결정될 수 없는 고위험 행위가 됐다. 취약점 하나가 글로벌 서비스와 연결된 수많은 고객에게 영향을 미칠 수 있기 때문이다.
둘째, 기업 역시 CVD 체계의 신뢰를 유지해야 한다. 연구자가 제보했을 때 명확한 접수 채널, 투명한 처리 절차, 합리적인 보상, 적절한 공개 일정이 보장되지 않으면 비조율 공개의 유인이 커질 수 있다. 책임 있는 공개는 연구자에게만 요구되는 윤리가 아니라 기업에도 요구되는 운영 책임이다.
셋째, 보안 연구의 공익성은 ‘폭로’가 아니라 ‘피해 최소화’에서 완성된다. 취약점을 발견하는 행위는 중요하지만, 그 정보를 어떻게 다루느냐가 더 중요해졌다. 공개는 필요하지만, 공개의 방식이 보호를 무너뜨려서는 안 된다.
AI 시대의 취약점 공개, 더 어려워질 윤리적 선택
향후 이 문제는 더 복잡해질 가능성이 높다. 생성형 AI와 자동화 도구의 확산으로 취약점 분석과 공격 코드 생성의 장벽이 낮아지고 있기 때문이다. 과거에는 고급 공격자만 이해할 수 있었던 취약점 정보도, 이제는 AI 도구를 통해 더 빠르게 악용 가능한 형태로 전환될 수 있다.
이는 CVD의 중요성을 오히려 키운다. 취약점 공개 이후 공격 코드가 확산되는 속도가 빨라질수록, 패치 전 공개의 위험은 더 커진다. 연구자, 기업, 정부, 보안 커뮤니티가 함께 조율하는 절차가 없다면, 취약점 공개는 공익적 경고가 아니라 공격 생태계의 연료가 될 수 있다.
결론…취약점 공개의 목적은 ‘이기는 것’이 아니라 ‘지키는 것’
마이크로소프트의 이번 입장문은 보안 연구자 커뮤니티와의 갈등 선언이라기보다, 취약점 공개 원칙을 둘러싼 경계선 재확인에 가깝다. 회사는 책임 있는 연구를 환영한다고 밝혔다. 그러나 패치되지 않은 취약점 세부 정보가 조율 없이 공개돼 고객을 위험에 빠뜨리는 행위는 정당화될 수 없다고 선을 그었다.
사이버보안은 누구 하나의 책임으로 완성되지 않는다. 연구자는 발견하고, 기업은 고치며, 사용자는 업데이트하고, 정부와 법 집행 기관은 범죄적 악용을 억제해야 한다. 이 연결망이 무너지면 가장 먼저 피해를 보는 것은 최종 사용자다.
취약점 공개의 본질은 누가 먼저 알렸는가가 아니다. 누가 더 많은 사람을 보호했는가다. CVD는 바로 그 질문에 답하기 위한 최소한의 사회적 약속이다.
