작성자: 제이크 블라이버그, 제인 랜히 리, 라이언 갤러거
작성일: 2025년 7월 21일 오후 12:06 (한국 시간)
업데이트: 2025년 7월 22일 오전 6:52 (한국 시간)
정부 관계자 및 사이버 보안 연구원들에 따르면, 해커들이 마이크로소프트(MS) 소프트웨어의 보안 취약점을 악용해 전 세계 정부, 기업 및 기타 기관에 침투하여 민감한 정보를 탈취한 것으로 드러났습니다.
MS는 주말 동안 문서 관리 소프트웨어인 셰어포인트(SharePoint) 서버의 취약점에 대한 패치를 배포했습니다. 해커들이 셰어포인트 클라이언트를 표적으로 삼아 파일 시스템에 침투하고 코드를 실행하고 있다는 경고가 나온 후, 회사는 다른 해결책을 마련하기 위해 여전히 노력 중이라고 밝혔습니다.
사이버 보안 업체인 크라우드스트라이크 홀딩스(CrowdStrike Holdings, Inc.)와 구글의 맨디언트 컨설팅(Mandiant Consulting) 관계자에 따르면, 여러 다른 해커 그룹이 이번 MS 취약점을 통해 공격을 감행하고 있습니다.
이 문제에 정통한 한 소식통에 따르면, 해커들은 이미 해당 취약점을 이용해 유럽과 중동의 국가 정부 시스템에 침입했습니다. 미국에서는 교육부, 플로리다주 국세청, 로드아일랜드주 의회 등의 정부 시스템에 접근했다고 이 소식통은 밝혔습니다. 그는 민감한 정보에 대한 논의임을 이유로 익명을 요청했습니다.
미 교육부와 로드아일랜드 의회 관계자들은 월요일 논평 요청 전화와 이메일에 응답하지 않았습니다. 베서니 웨스터 쿠틸로 플로리다주 국세청 대변인은 이메일을 통해 "셰어포인트 취약점은 여러 정부 차원에서 조사가 진행 중"이라며, 주 정부 기관은 "운영에 사용하는 소프트웨어에 대해 공개적으로 언급하지 않는다"고 말했습니다.
블룸버그 뉴스가 검토한 한 사이버 보안 업체의 보고서에 따르면, 해커들은 미국에 본사를 둔 한 의료 서비스 제공업체의 시스템에도 침입했으며 동남아시아의 한 공립 대학교를 표적으로 삼기도 했습니다. 이 보고서는 두 기관의 이름을 밝히지는 않았지만, 해커들이 브라질, 캐나다, 인도네시아, 스페인, 남아프리카공화국, 스위스, 영국, 미국 등지에서 셰어포인트 서버 침입을 시도했다고 밝혔습니다. 해당 업체는 정보의 민감성을 이유로 익명을 요청했습니다.
이 문제에 정통한 또 다른 소식통에 따르면, 해커들은 침입한 일부 시스템에서 사용자 이름, 비밀번호, 해시 코드, 토큰을 포함한 로그인 정보를 훔쳤습니다. 이 소식통 역시 민감한 사안임을 이유로 익명을 요구했습니다.
팰로앨토 네트웍스(Palo Alto Networks Inc.)의 최고기술책임자(CTO)이자 Unit 42 위협 인텔리전스 책임자인 마이클 시코르스키는 "이는 심각도가 높고 긴급한 위협"이라고 말했습니다.
그는 "특히 우려스러운 점은 셰어포인트가 오피스, 팀즈, 원드라이브, 아웃룩 등 공격자에게 가치 있는 모든 정보를 담고 있는 MS의 서비스들과 깊숙이 통합되어 있다는 것"이라며 "한 번의 침입은 그곳에만 머무는 것이 아니라 전체 네트워크로 통하는 문을 열어준다"고 설명했습니다.
전 세계적으로 수만, 많게는 수십만에 이르는 기업과 기관들이 문서를 저장하고 공동 작업을 하는 데 어떤 형태로든 셰어포인트(SharePoint)를 사용하고 있습니다. MS는 공격자들이 MS가 호스팅하고 관리하는 클라우드 방식이 아닌, 자체 서버 네트워크(온프레미스)에서 셰어포인트 서버를 실행하는 고객을 구체적으로 노리고 있다고 밝혔습니다. 이는 피해가 일부 고객에게 국한될 수 있음을 시사합니다.
MS 대변인은 이전 성명 외에 추가적인 논평을 거부했습니다.
미시간에 본사를 둔 사이버 보안 업체 센시스(Censys)의 연구원 사일러스 커틀러는 "랜섬웨어 운영자들에게는 꿈같은 상황"이라고 말했습니다. 그는 1만 개 이상의 셰어포인트 서버를 보유한 기업이 위험에 처해 있다고 추정했습니다. 이러한 기업은 미국에 가장 많았고, 네덜란드, 영국, 캐나다가 그 뒤를 이었습니다.
잇따른 대형 보안 사고 이후 사이버 보안을 강화하려던 마이크로소프트의 노력은 이번 해킹 사태로 인해 다시 도마 위에 오르게 되었습니다. 회사는 미국 정부 등에서 임원들을 영입하고, 소프트웨어 복원력을 높이기 위해 고위 임원들과 주간 회의를 열고 있습니다. MS의 기술은 최근 몇 년간 여러 차례 광범위하고 파괴적인 해킹의 대상이 되었으며, 2024년 미국 정부 보고서는 회사의 보안 문화에 시급한 개혁이 필요하다고 지적했습니다.
미국의 주 및 지방 정부를 위한 사이버 보안 정보 공유 시스템을 운영하는 인터넷 보안 센터(CIS)는 셰어포인트 취약점으로 인해 위험에 처한 서버를 1,100개 이상 발견했다고 랜디 로즈 보안 운영 및 정보 담당 부사장이 밝혔습니다. 로즈는 이 중 100개 이상이 해킹당했을 가능성이 높다고 말했습니다.
워싱턴 포스트는 주 정부 관계자들과 민간 연구원들을 인용하여 이번 해킹이 미국 연방 및 주 정부 기관, 대학, 에너지 회사, 아시아의 한 통신 회사에 영향을 미쳤다고 보도했습니다.
아이 시큐리티(Eye Security)의 공동 소유주이자 수석 해커인 바이샤 버나드는 금요일부터 시작된 사이버 공격의 물결 속에서 공격자들이 이 취약점을 적극적으로 악용하고 있다는 사실을 처음으로 확인한 곳이 자사라고 말했습니다.
아이 시큐리티는 "이 취약점을 이용하면 해커가 셰어포인트 서버에 접근해, 서버가 패치된 이후에도 사용자나 서비스를 사칭할 수 있는 '키(key)'를 훔칠 수 있다"고 밝혔습니다. 또한 "해커들은 시스템 업데이트나 재부팅 후에도 사라지지 않는 '백도어(backdoor)'나 변조된 구성 요소를 통해 (시스템에 대한) 접근 권한을 계속 유지할 수 있다"고 덧붙였습니다.
'툴쉘(ToolShell)'로 알려진 이 셰어포인트 취약점은 지난 5월 베를린의 한 사이버 보안 컨퍼런스에서 연구원들에 의해 처음 발견되었습니다. 7월 초 MS는 보안 허점을 해결하기 위해 패치를 발표했지만, 해커들은 또 다른 침입 경로를 찾아냈습니다.
버나드는 "패치를 우회할 방법이 있었다"며, 이로 인해 해커들이 유사한 취약점을 이용해 셰어포인트 서버에 침입할 수 있었다고 설명했습니다. 그는 이번 침입이 특정 대상을 노린 것이 아니라 가능한 한 많은 피해자를 만들어내는 것을 목표로 했다고 말했습니다. 약 8,000개의 셰어포인트 서버를 스캔한 결과, 그는 지금까지 최소 50개가 성공적으로 침해된 것을 확인했다고 밝혔습니다.
그는 공격 대상이 된 기관의 신원을 밝히기를 거부했지만, 여기에는 "대형 다국적 기업"을 포함한 정부 기관과 민간 기업이 포함되어 있다고 말했습니다. 피해자들은 북미와 남미, 유럽연합(EU), 남아프리카공화국, 호주 등지에 위치해 있었습니다.
=====
MS 셰어포인트 보안 취약점 관련 기사 요약
1. 사건 개요: 셰어포인트 취약점 악용 해킹 발생
• 핵심 문제: 해커들이 마이크로소프트(MS)의 문서 관리 소프트웨어 '셰어포인트(SharePoint)'의 보안 취약점을 악용하여 전 세계 정부 기관, 기업 등의 시스템에 침투해 민감 정보를 탈취하고 있습니다.
• 공격 방식: 해커들은 해당 취약점을 통해 파일 시스템에 접근하고 원격으로 코드를 실행하는 방식을 사용합니다. 크라우드스트라이크, 맨디언트 등 복수의 보안 업체들은 여러 해커 그룹이 동시다발적으로 공격을 감행하고 있다고 확인했습니다.
2. 피해 범위 및 대상
• 광범위한 피해: 미국, 유럽, 중동 등 전 세계적으로 피해가 발생하고 있습니다.
• 주요 피해 기관:
• 미국: 교육부, 플로리다주 국세청, 로드아일랜드주 의회 등 정부 기관
• 기타: 미국 내 의료 서비스 제공업체, 동남아시아의 공립 대학교 등
• 탈취 정보: 해커들은 시스템 침투 후 사용자 이름, 비밀번호, 해시 코드, 토큰 등 시스템 접근에 필요한 핵심 로그인 정보를 훔치고 있습니다.
3. 위협의 심각성 (전문가 분석)
• 팰로앨토 네트웍스: "심각도가 높고 긴급한 위협"으로 규정했습니다. 셰어포인트가 오피스, 팀즈 등 MS의 핵심 서비스들과 깊이 연동되어 있어, 한 번의 침해로 전체 네트워크가 장악될 수 있는 '관문' 역할을 하기 때문입니다.
• 센시스(Censys): "랜섬웨어 운영자들에게는 꿈같은 상황"이라고 표현하며, 1만 개 이상의 기업 서버가 위험에 노출되어 있다고 추정했습니다.
4. 취약점의 기술적 배경 및 MS의 대응
• 취약점 명칭: '툴쉘(ToolShell)'로 알려진 이 취약점은 지난 5월 처음 발견되었습니다.
• 패치 우회: MS는 7월 초 보안 패치를 배포했으나, 해커들은 이 패치를 우회하는 새로운 방법을 찾아내 공격을 지속하고 있습니다.
• 공격 특징: 특정 대상을 노린 표적 공격이 아닌, 최대한 많은 피해자를 만들기 위한 무차별적인 공격의 성격을 띠고 있습니다.
• MS의 대응: MS는 주말 동안 긴급 패치를 추가 배포했으며, 다른 해결책을 강구 중이라고 밝혔습니다. 그러나 이번 사태로 인해 MS의 보안 문화 전반에 대한 비판이 다시 거세지고 있습니다.
5. 결론: 광범위한 피해와 지속적인 위협
이번 셰어포인트 취약점 사태는 단순한 기술적 결함을 넘어, MS의 핵심 비즈니스 소프트웨어를 사용하는 전 세계 수많은 기관의 보안을 위협하는 심각한 사건입니다. MS가 패치를 배포했음에도 불구하고 해커들이 이를 우회하는 등 공격이 지속되고 있어, 당분간 피해는 계속 확산될 가능성이 높습니다.