MS 셰어포인트 해킹에 美 핵기관 뚫려…국내 위협은?

By곽중희

글로벌 확산된 MS 셰어포인트 해킹…국내도 위협 노출, KISA 보안 패치 권고

마이크로소프트(MS) 셰어포인트 서버의 제로데이 취약점을 악용한 해킹 공격이 미국 핵무기 연구기관까지 침입하며 전 세계적으로 확산되고 있다. 이번 공격은 중국 연계 해커조직의 소행으로 지목되며, 동일한 시스템을 사용하는 국내 기업·기관도 안심할 수 없다는 우려도 나온다.

23일 네덜란드 보안기업 아이시큐리티(Eye Security)가 발표한 조사 결과에 따르면, 공격자는 셰어포인트의 취약점을 통해 약 400개 조직의 네트워크 시스템에 접근했다. 7월 7일 공격이 시작된지 약 2주만에 공격 규모가 7배 이상 확산된 것이다. 8000개 서버를 대상으로 스캔을 실시한 결과 100여개의 실제 침해 사례가 확인됐고, 이에 아이시큐리티는 각국 보안기관에게 즉각 경고 알림을 발송했다.

美 핵심기관 침해…MS, 배후로 중국 해커그룹 지목

더욱 충격적인 것은 미국의 핵심 기관들이 공격을 받았다는 점이다. 미국 핵무기 개발과 관리를 총괄하는 국가핵안보국(NNSA)이 해킹 피해 목록에 포함되면서 국가 안보에 직접적인 위협이 제기됐다. NNSA는 핵무기 설계부터 생산·해체 등을 관할하는 핵안보 담당 핵심 정부기관이다.

국립보건원(NIH)도 침해당한 것으로 확인되면서 의료 분야의 민감 정보가 노출됐을 가능성도 제기됐다. 이외에도 교육부, 플로리다주 세무당국, 로드아일랜드 주의회 등 다양한 정부기관이 침해를 당했다.

또한, 공격은 미국을 넘어 전세계로 확산되고 있다. 모리셔스, 요르단, 남아프리카공화국, 네덜란드 등 국가에서도 크고 작은 피해 사례들이 계속 나오고 있는 상황이다.

MS는 이번 대규모 해킹의 배후로 중국과 연계된 사이버 공격 조직들을 지목했다. ▲‘리넨 타이푼(Linen Typhoon)’ ▲‘바이올렛 타이푼(Violet Typhoon)’ ▲‘스톰-2603(Storm-2603)’으로 알려진 이들 그룹은, 과거 인권단체, 언론기관, 국방 관련 기구 등을 대상으로 한 지능형 지속 위협(APT) 활동을 벌여왔다. 정보 탈취와 사이버 첩보전을 주된 목적으로 삼아왔으며, 이번에는 MS 셰어포인트의 제로데이 취약점을 악용해 공격을 감행한 것으로 분석됐다.

로이터 통신에 따르면, 중국 외교부는 이번 해킹 공격과 관련해 “중국은 관련 법규에 따라 해킹 행위를 엄격히 금지하고 있으며, 근거 없는 일방적인 비난을 규탄한다”고 반박했다.

MS는 7월 19일 자사 보안 블로그를 통해 셰어포인트 2016, 2019, 구독 에디션(Subscription Edition)에 대한 긴급 보안 업데이트를 배포했다. 이후 23일까지 추가로 탐지 기능과 방법을 업데이트하고 있으며, 로그 분석과 악성 행위 징후 확인을 위한 가이드도 함께 제공한 상태다.

다만, 일각에서는 취약점 패치가 대응의 끝은 아니라는 의견도 나온다. 보안 전문 매체 더 해커 뉴스(The Hacker News), CSO 온라인 등은 “이번 공격은 포스트 익스플로잇(Post-Exploit) 단계까지 포함된 복합 공격이며, 단순 패치로는 활동 차단이 어렵다”는 분석을 내놓았다.

국내 피해 가능성은?

이번 공격은 특정 국가만을 겨냥한 정밀 타격이 아니라 글로벌 규모로 무차별 확산되고 있다는 점에서, 국내 피해 가능성도 배제할 수 없다. 셰어포인트는 국내 공공기관과 대기업에서 전자결재·문서 협업 시스템 등으로 광범위하게 활용되고 있어, 온프레미스 기반 서버를 운영 중인 조직은 취약점에 그대로 노출됐을 가능성도 있다.

실제로 2021년 MS 익스체인지 제로데이 해킹과 2023년 아웃룩 계정 탈취 사건 당시, 국내 기관·기업들도 취약점에 노출돼 위협을 받은 바 있다. 당시, 한국인터넷진흥원(KISA)는 국내 익스체인지 서버의 다수가 취약점에 노출돼 있었다고 분석한 바 있으며, 이로 인해 수백 개 이상의 기관이 위험에 처했을 가능성이 있다는 우려가 제기됐었다.

한 보안기업 관계자는 ”공격에 대한 정확한 분석이 필요하겠지만, 정황을 봤을 때 국내도 MS 셰어포인트를 많이 사용하기에, 글로벌 위협이 국내 보안 위협으로 이어질 가능성이 있다”고 우려했다.

한국마이크로소프트 관계자는 국내 위협 가능성에 대해 “현재까지 국내 고객사에서 피해가 확인되지는 않았다”며 ”본사 차원에서 지원하고 있는 모든 버전에 대해 보안 업데이트를 제공했으며, 신속한 적용을 권장한다”고 설명했다.

한국인터넷진흥원(KISA)는 사태 발생한 후인 21일 보호나라를 통해 MS가 발표한 보안 패치를 적용할 것을 권고하는 공지를 게시했다. 공지에서 KISA는 ‘셰어포인트 서버 2016·2019·Subscription Edition‘ 사용자들은 각각 KB5002744, KB5002741, KB5002754, KB5002768 등 최신 보안 업데이트를 반드시 적용해야 한다고 강조했다.

KISA 관계자는 “공지를 통해 보안 업데이트를 당부한 상태“라며 “현재까지는 셰어포인트 해킹과 관련해 국내에 접수된 피해 사례는 아직까지 없다”고 말했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.