미국 민주당 소속 론 와이든(Ron Wyden) 상원의원이 마이크로소프트(Microsoft)의 잇따른 대형 사이버 사고 책임을 물어 연방거래위원회(FTC)에 조사를 공식 요청했다. 그는 서한에서 “마이크로소프트의 총체적 사이버보안 태만(gross cybersecurity negligence)이 미국 국가안보를 위협하고 있다”고 주장했다.
2025년 9월 10일, 로이터 통신(Reuters) 보도에 따르면, 와이든 의원은 같은 날 FTC 앤드루 퍼거슨(Andrew Ferguson) 위원장 앞으로 보낸 서한에서 “마이크로소프트는 방화범이면서 동시에 소방 서비스를 판매하는 기업과 같다”고 비판했다. 그는 공공·민간 조직이 기업용 IT 시장에서 사실상 마이크로소프트 제품에 의존할 수밖에 없는 ‘준독점적 지위’를 지적하며, FTC가 강력한 시정 조치를 내릴 필요가 있다고 강조했다.
“정부 기관과 기업들은 마이크로소프트 제품을 선택의 여지 없이 사용하고 있다. 그 결과, 마이크로소프트가 설정한 ‘기본값(default configuration)’ 한 가지가 전체 국가 기반시설을 위험에 빠뜨리고 있다.” — 론 와이든 상원의원
대표 사례로는 2024년 5월 발생한 병원 운영사 어센션(Ascension)의 랜섬웨어 공격이 지목됐다. 회사 측 발표에 따르면, 이번 사고로 5백60만 명에 달하는 환자들의 의료·보험 정보가 노출됐다. 와이든 의원은 어센션 측으로부터 “회사 노트북을 사용하던 한 외주 직원이 마이크로소프트 검색엔진 ‘빙(Bing)’에서 제시된 악성 링크를 클릭했고, 이로 인해 해커가 회사 네트워크와 마이크로소프트 액티브 디렉터리(Active Directory) 서버에 침투했다”는 보고를 받았다고 전했다.
기술적 쟁점 — 구식 암호화 ‘RC4’와 기본 설정
와이든 의원은 사건 원인으로 RC4 암호화 알고리즘 지원과 마이크로소프트가 제공한 기본 보안 설정을 지목했다. ① RC4는 1987년 개발된 낡은 스트림 암호화 방식으로, 이미 주요 브라우저와 웹 표준에서 사용이 중단된 기술이다. ② 액티브 디렉터리는 조직 내 사용자·권한 관리를 총괄하는 윈도 기반 서버 기능이다. 따라서 이 둘이 조합돼 공격당할 경우, 직원·환자·파트너사의 모든 접근 권한이 순식간에 노출될 여지가 있다.
마이크로소프트 대변인은 “RC4는 전체 트래픽의 0.1% 미만으로, 회사는 이미 고객에게 사용 중단을 권고하고 있다”며 “다만 전면 차단 시 고객 시스템 상당수가 멈출 수 있어 2026년 1분기부터 단계적 비활성화를 추진하고 있다”고 해명했다. 그는 또 “추가 완화 조치(additional mitigations)”를 제공할 계획이라고 덧붙였다.
FTC·의회 압박… 규제 리스크 확대
FTC 대변인은 서한 수신 사실을 인정했으나, “조사 여부는 확인해 줄 수 없다”고만 말했다. 그러나 와이든 의원은 2023년 7월 중국 연계 해커가 미 정부 고위 관료 이메일 수천 통을 탈취한 사건 이후 줄곧 마이크로소프트의 사이버 대응 체계를 문제 삼아 왔다. 이번 서한은 “더 이상 지켜볼 수 없다”는 의회 차원의 초강경 메시지로 해석된다.
전문가 시각 및 잠재 영향
① 규제 불확실성 — FTC가 ‘부당·기만적 관행’ 혐의로 정식 조사에 착수하면, GDPR 수준의 과징금이 부과될 가능성이 제기된다.
② 주가 변동성 — 투자자들은 단기적으로 리스크 프리미엄을 요구할 수 있어, 소프트웨어 섹터 전반에 걸쳐 밸류에이션 조정 압력이 확대될 수 있다.
③ 공급망·고객사 비용 증가 — 기업·병원·교육기관 등은 보안 설정 재점검과 대체 솔루션 도입에 따른 추가 비용을 부담해야 한다.
보안 모범 사례 안내
- RC4 및 기타 구식 알고리즘 완전 비활성화
- 액티브 디렉터리 접근 제어 목록(ACL) 재검토
- 다중인증(MFA) 전면 도입 및 정책 강제
- 내·외부 피싱 캠페인 모니터링 강화
※ 위 사항은 일반 보안 가이드라인으로, 각 조직은 환경에 맞춰 추가 조치를 취해야 한다.
향후 일정 및 전망
와이든 의원의 서한 발송 이후 FTC가 실제 ‘조사 착수’ 발표를 하기까지는 통상 수 주에서 수 개월이 걸린다. 향후 청문회 개최 여부, 마이크로소프트 경영진 소환, 이용자 피해 구제 방안 논의 등이 이어질 가능성이 크다. 동시에 의회는 ‘사이버 보안 기본 설정 안전법’(가칭)과 같은 입법 절차로 기업 책임 강화를 시도할 수 있다.
마이크로소프트는 자사 클라우드·AI 사업 확장을 위해 대규모 고객 데이터를 계속 수집·가공하고 있다. 따라서 FTC 조사 결과는 클라우드 보안 인증, 데이터 거버넌스, 인공지능(AI) 윤리 분야까지 연쇄적으로 영향을 미칠 전망이다. 업계 관계자는 “단순 패치나 대응책 차원에 머무르지 않고, ‘보안 중심 설계(Security by Design)’로 체질 개선을 이뤄야 글로벌 신뢰를 회복할 수 있다”고 평가했다.
