마이크로소프트가 2022년 2월 비즈니스용 소프트웨어인 마이크로소프트 오피스 파일을 인터넷에서 다운로드했을 경우 VBA(Visual Basic for Applications)로 작성한 매크로를 기본 차단하는 사양으로 바꾼다고 발표했다. 이 결정은 사용자 보안을 보호하기 위해 이뤄졌지만 실제로 VBA 매크로가 기본 차단된 뒤 마이크로소프트가 사용자에게 알리지 않고 해당 사양을 철회하고 VBA 매크로가 활성화됐다는 게 밝혀졌다.
마이크로소프트가 개발, 판매하는 비즈니스용 소프트웨어 마이크로소프트 오피스에선 VBA라는 프로그래밍 언어로 작성한 매크로를 실행해 엑셀이나 액세스 같은 소프트웨어로 수행하는 다양한 작업을 자동화할 수 있다. 하지만 인터넷에서 다운로드한 오피스 파일에 악의적인 VBA 매크로가 포함되어 있으면 매크로 실행과 함께 단말에 멀웨어가 설치되는 보안 우려가 있다.
따라서 마이크로소프트는 지난 2월 액세스와 엑셀, 파워포인트, 비지오, 워드 등 5개 소프트웨어로 인터넷에서 다운로드한 오피스 파일에 포함된 VBA 매크로를 기본 차단한다고 발표했다. 이 같은 변경 사항은 4월 릴리스된 버전 2203부터 배포됐다. 이후에는 경고가 나오면 클릭(Enable Content)을 해야 매크로가 활성화되며 매크로 위험과 활성화 절차를 설명하는 페이지를 열어야 했다.
이는 사용자 보안을 높이는 것으로 보안 전문가로부터 높은 기대를 모았다. 그런데 지난 7월 6일 한 사용자가 기본 동작을 되돌린 것처럼 보인다고 공식 포럼에 글을 올렸다. 사용자는 마이크로소프트 디펜더 영향을 의심했지만 마이크로소프트 측은 피드백에 따라 롤백이 시작됐다며 변경 사항 업데이트가 진행되어 롤백을 시작해 불편을 끼쳤다며 사과했다. 결국 마이크로소프트 스스로 사양을 되돌리고 있다는 얘기다.
공지 없는 롤백에 대해선 마이크로소프트 측에 커뮤니케이션 부족에 대한 불만이 터졌고 자세한 정보 공유 요청이 제기됐다. 마이크로소프트는 7월 8일 업데이트에서 의견을 받아 해당 사양을 일시적으로 롤백하고 사용성을 높이기 위해 몇 가지 추가 변경을 수행했다며 임시 변경이며 모든 사용자에게 기본 변경을 하기 위해 최선을 다하고 있다고 밝혔다. 또 기본 설정 여부와 관계없이 그룹 정책 설정을 바꿔 매크로를 차단할 수 있다고 덧붙였다.
이번 롤백에 대해선 보안 전문가로부터 부정적 의견이 나온다. 한 보안 전문가는 아무래도 마이크로소프트는 보안을 약화시키는 롤백으로 보안 전문가 업무를 지켜주는 모양이라고 비꼬기도 했다. 관련 내용은 이곳에서 확인할 수 있다.