세계 최대 인터넷 기업 구글과 세계최대 소프트웨어 기업 마이크로소프트(MS) 사이에 자존심을 건 신경전이 뜨거워지고 있다.

구글이 MS의 최신 운영체제 ‘윈도 8.1’의 보안 취약점을 찾아내 MS 측에 통보하고 90일의 여유를 줬는데도 MS가 이에 대한 패치를 시한 내에 내놓지 못하는 일이 2주 간격을 두고 연속으로 벌어졌다.

구글은 지난 11일 ‘구글 보안 연구’ 게시판을 통해 MS 윈도 8.1의 32/64비트 버전에서 발견된 ‘이슈 123: 사용자 프로파일 서비스에서 윈도 권한 상승’이라는 보안 취약점을 공개했다.

구글은 지난해 10월 13일 이 취약점을 발견해 MS에 알렸으며, 통보 후 비공개 상태를 유지하는 기간인 90일이 경과함에 따라 이를 공개로 전환했다.

문제는 MS가 아직 패치를 내놓지 못한 상태에서 구글이 해당 취약점을 공개해 버렸다는 점이었다.

구글은 타사 소프트웨어의 보안 취약점을 발견하면 해커가 이를 악용하기 전에 소프트웨어 제작업체가 문제를 바로잡을 수 있도록 일단 이를 비공개로 통보하고 90일간 기다린 후, 그때까지도 조치가 없으면 더 큰 보안 문제를 미연에 방지하기 위해 이를 공개하는 정책을 펴 왔다.

MS는 구글이 문제의 취약점을 일반에 공개한 이달 11일 구글의 공개 조치를 비판하는 게시물을 올렸다.

MS 연구소의 ‘신뢰성 있는 컴퓨팅 분야’ 책임자인 크리스 베츠 시니어 디렉터는 “우리가 1월 13일 화요일에 패치를 내놓을 예정이니 고객들을 보호하기 위해 세부 내용 공개를 미뤄 달라고 구글에 요청했으나 구글은 이를 받아들이지 않았다”고 말했다.

베츠는 “구글이 이처럼 공개를 강행한 것은 공개적으로 천명한 일정에 따른 것이기는 하지만 원칙이라기보다는 ‘잘 걸렸다’는 것처럼 느껴진다”며 구글에 노골적으로 불만을 나타냈다.

그는 “구글에게 옳은 것이 늘 고객에게도 옳은 것은 아니다”라며 13일까지 기다려 달라는 MS의 요청을 거부한 구글을 비판했다.

이에 앞서 지난해 말에도 비슷한 일이 있었다.

구글 보안연구팀은 MS 윈도 8.1에서 권한이 낮은 사용자가 관리자 권한을 부당하게 획득할 수 있는 보안 취약점을 작년 9월 30일 발견해 통보했으나, MS는 90일이 넘도록 이에 대한 패치를 내놓지 않았다.

이에 따라 구글은 작년 12월 29일 이 취약점에 관한 정보를 공개로 전환했다.

당시 구글은 “최근 13년간 보안 연구자들이 이런 절차를 거쳐 보안 취약점을 통보하고 공개해 왔다”며 자사의 조치를 옹호했다.

연합뉴스