MS ‘소스 공유 이니셔티브’에서 윈도우 10 소스 코드 일부 유출돼
실유출량 1.2GB로 핵심 코드 알 방법 없고 적법한 방법으로 볼 수 있어

[보안뉴스 오다인 기자] 마이크로소프트(MS) 윈도우 10의 소스 코드 일부가 온라인에 유출됐다. 해당 소스 코드는 MS의 OEM(Original Equipment Manufacturer) 계약업체나 파트너사만 접근할 수 있었던 것으로, 유출의 배후에 대해서는 아직까지 밝혀진 바 없다.


유출된 윈도우 10 소스 코드는 베타아카이브(Beta Archive)라는 윈도우 팬 사이트에 공개됐다. MS 대변인은 ‘더 버지(The Verge)’와의 인터뷰를 통해 “(베타아카이브에 공개된 파일을) 검토한 결과, MS의 ‘소스 공유 이니셔티브(Shared Source Initiative)’에서 유출된 소스 코드 일부분이 맞다”고 확인했다.

유출된 소스 코드는 베타아카이브의 FTP 폴더에 ‘소스 공유 킷(Shared Source Kit)’이라는 이름으로 저장돼 있었으며, 민감한 정보가 있을 수 있다는 판단을 내린 베타아카이브 측이 빠르게 삭제한 것으로 알려졌다. 삭제 조치가 있었던 데는 수십 테라바이트에 달하는 윈도우 10 내부 빌드와 소스 코드가 온라인에 유출됐을지 모른다는 ‘더 레지스터(The Register)’의 보도가 주목을 받은 영향도 있었던 것으로 보인다.

그러나 이번 유출이 윈도우 10에 얼마나 큰 영향을 미칠지는 미지수다. 베타아카이브 관리자 앤드루 와이먼(Andrew Whyman)에 따르면, 더 레지스터가 32테라바이트라고 보도한 것과 달리 실제로 유출된 양은 12개 파일 각각 100메가바이트 밖에 되지 않는 것으로 드러났다. 해당 폴더의 크기가 총 1.2기가바이트 정도에 불과한 것이다. 와이먼은 이 정도 크기의 유출로는 핵심적인 소스 코드를 전혀 알 방법이 없다고 지적했다.

유출된 소스 코드가 소스 공유 이니셔티브의 일부로서, MS의 OEM 계약업체나 파트너사 등이 라이선스만 있으면 이미 볼 수 있었던 코드라는 점도 사건의 충격을 감소시키는 부분이다. 일반에 공개되지 않았을 뿐이지 적법한 절차를 밟은 개인이나 조직은 이미 해당 소스 코드를 공유하고 있었다는 뜻이다. 더 버지는 이번 유출이 일전의 유출 사고들에 비해 상대적으로 사소한 것이라고 짚었다.

한편, 영국의 20대 남성 두 명이 지난 1월부터 3월까지 MS 네트워크를 해킹 시도하다 체포된 지 하루 만에 이번 유출이 발생했다는 점도 여러 의혹을 낳고 있다. 두 남성의 신원이나 체포와 관련한 구체적인 사실에 대해 아직 밝혀진 바 없으나, 이 두 사람이 윈도우 10 빌드의 기밀정보를 수집한 뒤 베타아카이브에 제공했을 것이라는 의혹도 제기되고 있다.

MS는 자체적으로 시행 중인 내부 테스트 프로그램을 통해 윈도우 10 빌드의 유출을 막는 방법을 고안해왔으나 윈도우 추종자들에 의해 자사 네트워크가 침해됐을지 모른다는 우려를 하는 것으로 알려졌다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>