MS, 클라우드 취약점 보상 확대…제3자 소프트웨어도 포함

[AI리포터]

마이크로소프트(MS) [사진: 셔터스톡]

[디지털투데이 AI리포터] 마이크로소프트(MS)가 클라우드 취약점 보상 정책을 개편한다.

15일(현지시간) 대만매체 아이티홈에 따르면, MS는 '인 스코프 바이 디폴트'(In Scope by Default)라는 새로운 원칙을 도입해, MS 클라우드 서비스에 영향을 미치는 취약점이라면 개발사와 관계없이 보상하겠다고 밝혔다. 기존에는 MS 코드에 직접 포함된 취약점만 보상했지만, 이제는 제3자 소프트웨어나 오픈소스 라이브러리에서 발견된 취약점도 MS 서비스에 영향을 미친다면 보상이 가능하다.

마이크로소프트 보안 대응 센터(MSRC)는 "실제 공격 환경에서 취약점은 특정 코드나 제품에 국한되지 않는다"며 "새로운 정책은 클라우드 인프라의 복잡성을 반영한 것"이라고 설명했다. 보상 여부는 취약점이 MS 온라인 서비스에 직접적이고 검증 가능한 영향을 미치는지를 기준으로 판단된다. 개발사가 MS가 아니더라도 영향을 미친다면 보상이 이뤄지며, MS는 관련 패치를 위해 협력사와 조율할 계획이다.

이와 관련해 MS 측은 "책임 있는 공개 원칙을 준수하는 한, 제3자 취약점도 보상한다"며 "이번 조치가 보안 연구자들의 활발한 참여를 유도할 것"이라고 밝혔다. 셰럿 드그리포(Sherrod DeGrippo) MSRC 위협 인텔리전스 책임자는 "이번 정책 변경은 보안 연구자와 업계 협력을 강화하는 중요한 진전"이라고 강조했다.

<저작권자 Copyright ⓒ 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지>