GitHub, Windows 제로데이 공개 보안 연구자 계정 차단 — Microsoft 보복 논란

핵심 요약

Windows 제로데이 취약점을 공개한 보안 연구자 Nightmare-Eclipse의 GitHub 계정이 차단됐다. 연구자는 Microsoft가 신고를 무시하자 공개 공시를 택했으나 GitHub(Microsoft 소유)이 계정을 차단해 보복했다고 주장하고 있다. 취약점 공개 정책과 빅테크 오픈소스 플랫폼 중립성 논란을 촉발했다.

배경

Microsoft는 2018년 GitHub을 인수했으며 GitHub은 전 세계 최대 코드 호스팅 플랫폼이다. 보안 연구자들은 공급업체가 취약점 신고를 무시할 경우 책임 공시(responsible disclosure) 관행에 따라 공개적으로 발표한다. 이번 사건의 발단은 BlueHammer라는 Windows 제로데이 취약점이다.

원인

Nightmare-Eclipse는 4월 초 Microsoft에 BlueHammer 제로데이를 신고했으나 Microsoft가 신고와 보상 요청을 무시했다고 주장했다. 이에 공개 공시를 선택했고 이후 GitHub 계정이 차단됐다. GitHub은 차단 사유를 명확히 밝히지 않아 보복 논란이 더 커졌다.

경과

2026년 4월 초 BlueHammer 제로데이 공개 후 갈등이 본격화됐다. Nightmare-Eclipse의 GitHub 계정이 차단됐고, 연구자는 작업 공간을 GitLab으로 이전하며 Microsoft의 보복이라고 공개 선언했다. 보안 커뮤니티는 GitHub이 Microsoft 이익을 위해 보안 연구자를 검열할 수 있다는 우려를 강하게 제기하고 있다.

현재 상태

GitHub/Microsoft는 구체적 차단 사유를 공개하지 않고 있으며 보안 커뮤니티의 비판이 거세지고 있다. 보안 연구자들 사이에서 GitLab, Codeberg 등 대안 플랫폼 이전 논의가 활발해졌다.

주요 영향

• 경제: Microsoft/GitHub 플랫폼 신뢰도 하락 우려. 오픈소스 생태계에서 중립적 대안 플랫폼 필요성 부각.
• 시장: 보안 연구 커뮤니티의 GitHub 이탈 가능성이 GitHub 개발자 생태계 장악력에 장기 영향. GitLab 등 수혜.
• 지정학: 빅테크의 보안 취약점 공시 생태계 통제 시도에 대한 국제 보안 커뮤니티 반발 확대.