2025년 07월 30일

MS SharePoint 해킹, 정부기관도 피해

Tech

Share

by

마이크로소프트 보안 문제, 이번엔 SharePoint 해킹으로 미국 정부 기관까지 피해

또 다시 마이크로소프트 소프트웨어의 보안 취약점이 전 세계적인 대규모 공격의 중심에 섰습니다. 이번에는 기업 및 정부 기관 웹사이트 구축, 파일/문서 관리, 협업에 널리 사용되는 마이크로소프트의 협업 소프트웨어 SharePoint에서 보안 구멍이 발견되었습니다. 특히 SharePoint는 Outlook 이메일, Teams 협업 소프트웨어와도 연동되어 있어 해킹의 위험성이 더욱 커지고 있습니다. 클라우드 기반 SharePoint는 안전하며, 자체 서버에서 운영되는 SharePoint에만 취약점이 존재하는 것으로 확인되었습니다.

심각한 피해 규모

이번 해킹은 마이크로소프트의 오랜 보안 실패 역사에서 최악의 사례 중 하나로 기록될 만큼 심각합니다. 수만 대의 서버가 피해를 입었으며, 수많은 기업은 물론 미국 국립보건원(NIH), 국가핵안보국(NNSA) 등 중요한 정부 기관까지 공격 대상이 되었습니다. 워싱턴 포스트에 따르면 NNSA는 5,000개의 핵탄두를 안전하게 관리하고 방사능 누출을 방지하며 무기가 오작동하지 않도록 하는 중요한 역할을 수행합니다. 국토안보부(DHS)도 해킹 피해를 입었으며, 이는 사이버 보안 및 인프라 보안국(CISA), 교통안전청(TSA), 세관국경보호국(CBP), 연방재난관리청(FEMA) 등도 영향을 받았음을 의미합니다.

되풀이되는 보안 문제

과거의 해킹 사례와 마찬가지로 마이크로소프트의 미흡한 보안 관행이 또다시 도마 위에 올랐습니다. 보안 회사 Sophos에 따르면, 마이크로소프트는 패치를 배포했음에도 불구하고 해커들이 계속 침투할 수 있을 정도로 패치 작업을 제대로 수행하지 못했습니다. 심지어 또 다른 패치로 보안 구멍을 막은 후에도 해커들은 이미 기업 및 정부 네트워크에 침투해 파괴적인 활동을 이어갔을 가능성이 높습니다. 이러한 문제는 마이크로소프트가 수년 동안 보안 문제로 지적받아왔음에도 불구하고 발생했습니다.

과거의 보안 실패 사례

1년 전, DHS는 중국 스파이들이 지나 러몬도 상무장관, 니콜라스 번스 주중 미국 대사, 돈 베이컨 하원의원 등 미국-중국 관계를 담당하는 고위 정부 관리들의 계정을 해킹하도록 허용한 마이크로소프트의 보안 실패에 대한 혹독한 보고서를 발표했습니다. 해당 보고서는 "마이크로소프트의 피할 수 있는 오류들이 연쇄적으로 발생하여 침입이 성공했다"고 결론지으며 마이크로소프트의 보안이 "미흡하며 전면적인 개편이 필요하다"고 지적했습니다. 하지만 1년이 지난 지금, 상황은 크게 달라지지 않은 듯합니다.

해킹 과정과 마이크로소프트의 대응

연방 사이버 보안 및 인프라 보안국(CISA)에 따르면, 이번 해킹으로 공격자들은 SharePoint 서버에 침투하여 "ToolShell"이라는 백도어를 설치할 수 있었습니다. 이를 통해 기업 전체의 파일 및 시스템을 포함한 모든 SharePoint 콘텐츠에 대한 완전한 액세스 권한을 얻고, 원격으로 명령을 실행하여 SharePoint를 완전히 장악할 수 있게 되었습니다. Eye Security의 블로그 게시물에서는 공격자들이 SharePoint 서버의 ASP.NET machine keys를 훔쳐 "추후 공격을 용이하게 하는 데 사용할 수 있다"고 경고합니다. 따라서 단순히 취약점을 패치하는 것만으로는 충분하지 않으며, 기업과 정부 기관은 machine keys를 교체하고 모든 SharePoint 서버에서 IIS(Internet Information Services)를 다시 시작하는 등 추가적인 조치를 취해야 합니다.

배후 세력과 추가 피해

마이크로소프트는 중국 정부와 연계된 Linen Typhoon 및 Violet Typhoon 해커 그룹이 이번 해킹을 악용한 그룹 중 하나라고 밝혔습니다. 또한 또 다른 중국 그룹인 Storm-2603은 이번 해킹을 사용하여 기업에 랜섬웨어를 배포했습니다. 연구자들은 마이크로소프트가 보안 구멍을 신속하게 패치하고 SharePoint에 여전히 액세스 권한을 가진 해커들을 제거하는 데 도움을 주었다면 상당한 피해를 막을 수 있었을 것이라고 말합니다. 이번 해킹은 해커들이 SharePoint에 침투할 수 있게 해주는 보안 취약점과 SharePoint 서버 ASP.NET machine keys를 훔쳐 사용할 수 있게 해주는 보안 취약점, 두 가지를 결합했다는 점에서 특히 위험합니다. Beagle Security의 자문위원 Sunil Varkey는 마이크로소프트가 여러 보안 취약점이 서로 관련되어 있다는 사실을 간과하여 공격을 더욱 악화시켰다고 비판했습니다.

마이크로소프트의 미래는?

지난번 주요 마이크로소프트 사이버 보안 침해 당시, 중국 스파이들이 미국 고위 정부 관리들의 계정을 해킹했을 때 에릭 슈미트 상원의원과 론 와이든 상원의원은 국방부에 마이크로소프트 제품 사용을 늘리려는 계획을 철회할 것을 요구하는 서한을 보냈습니다. 하지만 당시에는 아무런 조치도 취해지지 않았습니다. 이번에는 의회에서 마이크로소프트를 위협하는 사람이 아무도 없습니다. 민주당 의원들이 트럼프 행정부와의 싸움에 너무 몰두해 다른 일에 집중할 여력이 없기 때문일 수도 있습니다. 공화당 의원들은 트럼프 대통령에게 너무 얽매여 그가 명시적으로 요구하지 않는 한 어떤 행동도 취하지 않을 것입니다. 하지만 트럼프 대통령은 언젠가 마이크로소프트에게 무언가를 원할 수도 있습니다. 만약 그렇다면 마이크로소프트의 보안 결함을 이유로 위협할 수도 있습니다. 따라서 마이크로소프트는 미래를 위해 보안 결함을 조속히 해결해야 합니다.

맺음말

마이크로소프트의 보안 문제는 어제오늘의 일이 아닙니다. 중요한 것은 과거의 실패를 되풀이하지 않도록 근본적인 해결책을 마련하는 것입니다. 정부와 기업은 마이크로소프트에 대한 의존도를 줄이고 보안 투자를 늘리는 등 다각적인 노력을 기울여야 할 것입니다.

이것도 좋아하실 수 있습니다...