내부 협업 SW '쉐어포인트' 서버 제로데이 취약점 노려美·EU 정부부터 연구기관, 통신사까지 광범위하게 공격MS, 보안 업데이트 배포-즉시 설치 권고…클라우드 영향은 없어
  • ▲ 마이크로소프트. 200623 ⓒ뉴데일리
    ▲ 마이크로소프트. 200623 ⓒ뉴데일리
    미국의 IT기업 마이크로소프트(MS)가 미국 정부기관과 기업들이 내부 문서공유에 사용하는 서버 소프트웨어(SW)에 대해 공격이 발생했다면서 긴급 보안 업데이트를 권고했다.

    이번 공격은 미국 매체인 워싱턴포스트(WP)가 최초로 보도했으며 익명의 해커들이 최근 며칠새 보안 시스템상 결함을 이용해 미국 및 국제기관과 기업들을 대상으로 공격을 감행한 것으로 전해졌다.

    20일(현지시각) 월스트리트저널(WSJ), 로이터통신 등에 따르면 미국 연방수사국(FBI)은 공격 사실을 인지하고 있으며 연방기관과 민간부문 파트너들과 긴밀히 협력 중이라고 밝혔다. 다만 추가적인 세부 내용은 제공하지 않았다.

    MS도 사이버·인프라보안국(CISA), 미국 국방부(DOD) 사이버방어사령부 그리고 글로벌 사이버안보 파트너들과 긴밀히 협력 중이라고 했다. 그리고 이미 보안 패치를 배포했다면서 고객들에 즉시 사용할 것을 촉구했다.

    MS는 해당 공격이 아웃룩, 팀즈 등 핵심 서비스와 연동된 조직 내부에서 사용하는 온프레미스형 셰어포인트(SharePoint) 서버에 국한되며 클라우드 기반인 마이크로소프트 365(Microsoft 365)의 셰어포인트온라인은 영향을 받지 않았다고 밝혔다.

    다만 외부 이메일 탈취와 비밀번호 수집 가능성도 제기됐다. 삭제까지 이뤄진 사례는 드물지만 보안 키 탈취는 추가 침투 가능성도 있는 상태다.

    이번 공격의 주체와 목적은 아직 밝혀지지 않았다. WP에 따르면 미국 연방과 주 정부기관, 유럽연합(EU) 소속 정부기관, 연구기관, 대학, 통신사, 에너지기업, 브라질과 스페인 정부기관 등 50건 이상의 침입 사례가 확인됐다.

    중국을 포함해 아시아 국가에 있는 서버도 공격을 받았으며 이 중에는 아시아 통신사 1곳도 포함된 것으로 알려졌다. WP는 적어도 두 곳의 미국 연방기관, 주 정부도 해킹 피해를 입었다고도 보도했다.

    전문가들은 해당 해킹이 '제로데이 공격'으로 분류된다고 설명했다. 제로데이 공격은 개발자가 인지하지 못한 보안 취약점이 공격당한 것을 의미한다. 이번 사태로 수만대의 서버가 위험에 처한 것으로 파악되고 있다.

    미국 동부 한 주 정부 관계자는 WSJ에 "정부 운영방식에 대한 정보를 시민들에게 제공하기 위해 구축한 공공문서 저장소를 해커에 장악당했다"며 "현재 해당 문서에 대한 접근은 불가능해 문서 삭제 여부도 알 수 없는 상태"라고 말했다.

    MS는 보안 경고에서 해당 취약점 때문에 '허가된 공격자가 네트워크에 스푸핑(Spoofing)을 수행할 수 있었다'고 밝혔다. 스푸핑 공격은 공격자가 신뢰받는 인물이나 기관처럼 가장해 정보를 속이고 시스템에 접근하는 수법이다.

    한편 MS는 현재 셰어포인트 2016 및 2019 버전에 대한 보안 업데이트를 개발 중이라며 권장된 악성코드 방어 설정을 적용할 수 없는 고객은 보안 패치가 제공될 때까지 서버를 인터넷에서 분리해 두라고 당부했다.