마이크로소프트가 작년에 기술 거대 기업의 네트워크와 나중에는 미국 상무부 장관을 포함한 고위 미국 관리들의 이메일 계정을 침해할 수 있게 한 “피할 수 있었던 실수들의 연쇄”를 저질렀다는 것을 중국 해커들이 발견한 가혹한 미국 정부 지원 검토 결과가 나왔다.
화요일에 발표된 미국 사이버 안전 검토 위원회(CSRB)의 보고서에 따르면, 이 해킹은 “예방할 수 있었으며 절대 발생하지 말았어야 했다.” CSRB는 국토 안보부가 이끄는 정부 및 민간 사이버보안 전문가 그룹으로, 조 바이든 대통령이 2021년에 주요 해킹 사건의 근본 원인을 연구하기 위해 설립했다.
특히, 검토 위원회는 마이크로소프트(MSFT)가 해커들이 자격 증명을 위조하여 대상의 아웃룩 계정에 원격으로 로그인할 수 있게 하는 민감한 암호화 키를 적절히 보호하지 못한 것을 지적했다.
보고서는 “마이크로소프트의 보안 문화는 불충분하며, 기술 생태계에서의 중심성을 감안할 때 전면적인 개편이 필요하다”고 결론지었다.
이 해킹은 워싱턴을 동요시켰으며, 중국 운영자들이 지난 6월 안토니 블링컨 국무장관의 중국 방문 전야에 중국 주재 미국 대사 니콜라스 번스를 포함한 미국 고위 외교관들의 비밀이 아닌 이메일 계정에 접근할 수 있게 했다고 CNN이 보도했다.
해커들은 국무부에서만 약 60,000통의 이메일을 다운로드했다고 국무부 대변인 매튜 밀러가 말했다.
또한, 해커들은 지난 8월 중국으로의 여행을 앞두고 상무부 장관 지나 레이몬도의 이메일 계정을 침해했으며, 레이몬도가 이를 확인했다.
중국은 해킹 혐의를 부인했다.
마이크로소프트는 11월, 소프트웨어 개발 및 사용자 보호를 위한 보안 관행을 강화할 것이라고 발표했다. 이는 추정되는 중국 해킹 사건과 미국 의회의 보안 관행에 대한 검토를 따른 것이다.
