워싱턴발 로이터 통신에 따르면, 마이크로소프트는 자사 SharePoint 서버를 대상으로 진행된 사이버 스파이 활동에 관여해 온 해커들 가운데 일부가 랜섬웨어를 사용하기 시작했다고 밝혔다.
2025년 7월 24일, 인베스팅닷컴의 보도에 따르면, 이 같은 내용은 마이크로소프트가 수요일(현지시간) 늦게 공개한 블로그 게시물1에서 확인됐다. 회사 측은 “관찰된 위협 행위 가운데 새로운 단계로 보이는 랜섬웨어 배포 정황을 포착했다”고 명시하며, 사고의 심각성이 한층 고조되고 있음을 시사했다.
SharePoint는 전 세계 기업·기관이 문서 관리, 협업, 내부 포털 구축 등에 활용하는 마이크로소프트 365 생태계의 핵심 플랫폼이다. 최근 몇 달 동안 이 플랫폼을 겨냥한 지능형 지속 공격(Advanced Persistent Threat, APT)이 보고돼 왔는데, 이번에는 해커들이 정보 탈취 목적을 넘어 직접적인 금전 요구 수단인 랜섬웨어로 전략을 바꾼 것이다.
랜섬웨어란? 사용자의 파일을 암호화한 뒤 복호화 키를 제공하는 대가로 금전을 요구하는 악성 소프트웨어를 말한다. 최근에는 이중 갈취(double extortion) 방식이 등장해, 데이터를 암호화하는 동시에 유출을 협박하는 사례도 늘고 있다. 기업 입장에서는 생산 중단, 평판 손상, 법적 책임 등 3중·4중 피해로 이어질 위험이 크다.
마이크로소프트는 문제의 해커 그룹을 공식적으로 특정하지 않았으나, “기존 스파이 캠페인과 동일한 인프라, 동일한 악성 코드 조각이 식별됐다”고 설명했다. 이에 따라 정보보안 업계는 스파이 활동이 고도화 단계에 진입했으며, 랜섬웨어·데이터 탈취·정보 정찰이 혼재된 복합 위협 모델이 전개되고 있다고 분석한다.
마이크로소프트 블로그: “일부 공격자는 탐지 메커니즘을 우회하기 위해 파일리스(fileless) 기법을 사용하고 있으며, 구체적 랜섬 요구 사항이 확인됐다.”
기업·기관이 취해야 할 조치
1) 최신 보안 패치 적용: 특히 SharePoint Server 누적 업데이트(CU)와 보안 업데이트(SU)를 즉시 완료해야 한다.
2) 다단계 인증(MFA) 활성화: 계정 탈취를 통한 내부 확산을 방지한다.
3) 오프라인 백업 구축: 랜섬웨어 암호화·삭제 시 데이터 복원을 위한 최후 수단이 된다.
4) 침해 지표(IOC) 모니터링: 마이크로소프트가 제공한 IOC를 SIEM·EDR 시스템에 반영해 실시간 탐지 체계를 강화한다.
정보보호 전문가들은 랜섬웨어 확산이 곧바로 대규모 금전 요구를 의미한다며, 협상에 나서는 대신 초기 대응·백업·복구 프로세스를 사전에 준비해 두어야 한다고 조언한다. 미국 사이버안보·인프라보안국(CISA) 역시 “몸값 지급은 해커의 범죄 자금을 조달하고 추가 공격을 부추길 뿐”이라고 경고해 왔다.
특히 국내 기업도 예외가 아니다. 한국인터넷진흥원(KISA) 자료에 따르면, 작년 랜섬웨어 피해 신고 건수는 3,700여 건으로 전년 대비 18% 증가했다. 글로벌 공급망으로 얽혀 있는 만큼 해외발 침해 사고가 국내 시스템으로 수 시간 내 전이될 가능성이 높기 때문이다.
마이크로소프트는 블로그 말미에서 “조사 결과가 나오는 대로 추가 정보를 공유하겠다”며, 고객 및 파트너사에 지속 모니터링을 권고했다. 회사 주가는 NASDAQ 정규장에서 0.4% 상승 마감했으나, 애프터마켓에서 사이버 보안 이슈에 따른 변동성이 확대되는 양상이다.
전문가 전망2
이번 사건은 ‘정찰→탈취→암호화’로 이어지는 3단계 공격 수명주기의 대표적 사례로 평가된다. 향후 공격자가 클라우드 워크로드·엔드포인트·모바일 기기까지 확장할 경우, 글로벌 IT 환경 전반에 핵심 자산 보호 체계를 재점검해야 한다는 압력이 커질 전망이다. CISO(최고정보보호책임자)들은 제로 트러스트(Zero Trust) 아키텍처와 사이버 레질리언스 구축을 최우선 과제로 삼아야 할 것으로 보인다.
끝으로, 본 보도는 현재까지 공개된 최신 정보를 기반으로 작성되었으며, 향후 마이크로소프트·연방 수사 당국·보안 커뮤니티의 추가 발표에 따라 구체적 사실관계가 변경될 가능성이 있다. 독자들은 관련 기관의 공식 공지를 지속적으로 확인할 필요가 있다.
