마이크로소프트(Microsoft Corp.)가 자사 기술의 사이버 보안 취약점과 관련한 사전 경보 프로그램(이하 MAPP) 접근 권한을 중국계 보안업체를 중심으로 제한했다.
2025년 8월 20일, 인베스팅닷컴의 보도에 따르면 마이크로소프트는 지난달부터 중국을 포함해 취약점을 정부에 의무 보고해야 하는 국가의 기업에 대해 선제적 정보 제공 범위를 축소했다. 회사 대변인 데이비드 커디(David Cuddy)는 “MAPP 참가사 중 일부가 내부 정보를 외부로 유출했을 가능성이 발견돼 프로그램 정책을 업데이트했다”고 밝혔다.
“이번 결정은 SharePoint 서버를 노린 일련의 해킹에 취약점 정보가 악용됐다는 내부 조사 결과에 따른 것”
— 마이크로소프트 대변인 데이비드 커디
■ MAPP 프로그램이란?
‘Microsoft Active Protections Program’은 세계 각국의 보안 솔루션 기업에 마이크로소프트 제품 내 숨겨진 결함을 최대 30일 정도 일찍 제공해, 엔드유저가 정식 패치를 받기 전에 방어책을 마련할 수 있게 하는 협력 모델이다. 그러나 중국의 경우 「사이버보안법」 등에 따라 취약점 발견 즉시 정부 보고 의무가 있어, 해당 정보가 국가 차원의 공격으로 활용될 위험이 꾸준히 제기돼 왔다.
마이크로소프트는 이번 조치로 400곳이 넘는 기관·기업이 피해를 본 지난 SharePoint 해킹 캠페인의 재발을 막겠다는 입장이다. 당시 공격자들은 미국 에너지부 산하 국가핵안보국(NNSA)을 포함한 정부 네트워크에 침입했으며, 마이크로소프트는 이를 중국 정부가 후원한 해커의 소행으로 판단했다.
■ 업계ㆍ시장 파장
전문가들은 “사전 정보가 끊긴 중국 보안업체는 패치 개발 속도가 늦어져 자국 내 기업·기관 보호 역량이 단기적으로 저하될 수 있다”고 분석한다. 반면 미국·유럽 보안업체는 “정보 격차가 경쟁 우위로 작용할 것”이라며 긍정적으로 평가했다.
■ 용어 설명
- SharePoint: 기업용 협업·문서 관리 플랫폼. 전 세계 20만 개 이상 조직이 사용.
- NNSA: National Nuclear Security Administration. 미국 핵무기 설계·유지·안전 관리 담당 기관.
■ 배경ㆍ전망
마이크로소프트는 향후 MAPP 참여 조건을 재정의하고, ‘정보 공유가 글로벌 보안에 기여한다’는 기존 원칙과 ‘정보 유출로 인한 위협’ 사이에서 균형점을 찾겠다고 밝혔다. 한편 중국 정부와 관련 기업들은 아직 공식 입장을 내놓지 않은 상태다.
이번 변화는 글로벌 보안 생태계가 지정학적 리스크에 따라 재편되고 있음을 단적으로 보여준다. 미국·중국 간 기술 안보 경쟁이 가속되는 가운데, 정보 비대칭이 초래할 사이버 위협과 국제 협력의 한계가 동시에 부각되고 있다.
■ 기사 작성 정보
본 기사는 AI 기술의 도움으로 작성됐으며, 편집자의 검수를 거쳤다.
