워싱턴발 — 마이크로소프트(Microsoft)가 중국 기업 일부에 제공하던 사이버 취약점 조기경보 시스템(Microsoft Active Protections Program·MAPP)의 접근 범위를 대폭 축소했다고 20일(현지시간) 밝혔다. 이번 조치는 자사 협업 플랫폼 ‘쉐어포인트(SharePoint)’ 서버를 겨냥한 대규모 해킹 시도 이후 내려진 것으로, 해당 공격의 배후에 중국 정부가 연루됐다는 의혹이 제기되면서 파장이 커지고 있다.
2025년 8월 20일, 인베스팅닷컴의 보도에 따르면, 마이크로소프트는 중국 보안업체들에 더 이상 ‘개념 증명 코드(Proof of Concept·PoC)’를 제공하지 않기로 결정했다. PoC 코드는 실제 악성코드와 동일한 동작을 최소화된 형태로 모방해 보안 담당자가 방어 체계를 신속히 강화할 수 있도록 돕지만, 동시에 해커에게는 공격을 손쉽게 재현하는 ‘설계도’가 될 수도 있다는 점에서 양날의 검으로 평가받는다.
“우리는 파트너사들이 제공받은 정보를 악용할 수 있다는 위험성을 잘 알고 있으며, 이를 방지하기 위해 다양한 공개·비공개 절차를 시행한다. 계약 위반 사실이 확인되면 즉시 프로그램 참여를 중단·제한할 것”1 — 마이크로소프트 대변인 발표문 중
지난 7월 7일 마이크로소프트가 첫 번째 쉐어포인트 취약점 실제 악용 사례를 포착한 이후 불과 며칠 만에 해킹 시도가 전 세계적으로 폭증했다. 이 같은 ‘동시다발적 공격’은 MAPP 참여 기업 가운데 내부 정보가 유출됐을 가능성을 시사했으며, 사이버 보안 전문가들은 “가장 개연성 높은 시나리오는 프로그램 내부자의 악의적 사용”이라는 의견을 내놓았다.
용어 해설
MAPP은 보안 벤더가 마이크로소프트로부터 일반 공개 전에 취약점 세부 정보를 받아 자사 솔루션을 선제적으로 업데이트할 수 있도록 설계된 정보 공유 체계다. PoC 코드는 ‘이 취약점을 이렇게 이용할 수 있다’는 시연 형태의 프로그램으로, 보안 패치를 재빨리 만들고 테스트하기 위해 쓰인다. 그러나 해당 코드를 악성 행위자가 입수할 경우 실제 공격에 즉시 활용될 수 있어, 정보 유출에 따른 피해 범위가 기하급수적으로 확대되는 위험 요소로 꼽힌다.
중국 정부는 이번 쉐어포인트 해킹 의혹에 대해 강력히 부인했다. 하지만 로이터(Reuters)가 입수한 내부 통신 기록에 따르면, 마이크로소프트는 지난 6월 24일·7월 3일·7월 7일 세 차례에 걸쳐 MAPP 파트너들에게 관련 취약 정보를 전달했으며, 이 일정이 실제 공격 시점과 거의 겹친다는 점이 의혹을 부채질하고 있다.
마이크로소프트는 “조사 중인 사안”이라며 구체적으로 어떤 중국 기업이 제한 대상인지, 또는 내부 검열 절차가 어떻게 진행 중인지에 대해서는 일절 공개하지 않았다. 다만 주요 보안 파트너사 목록에는 치후360(Qihoo 360), 텐센트 시큐리티(Tencent Security) 등 중국 내 유수의 보안 벤더가 포함돼 있는 것으로 알려졌다.
전문가 시각
다수의 사이버 보안 전문가는 “미·중 간 기술 패권 경쟁이 가열되는 상황에서, 글로벌 플랫폼 사업자가 특정 국가 기업의 접근권을 제한한 것은 매우 이례적”이라고 평가한다. 또한, PoC 코드를 차단하면 보안 패치 준비 속도가 저하될 수 있어 기업·공공기관의 방어력 공백이 우려된다는 반론도 제기된다.
일각에서는 이번 조치가 정보 제공의 ‘선별적 차단’을 넘어, 향후 글로벌 보안 협력 체계 재편으로 이어질 수 있다는 전망이 나온다. 즉, ‘신뢰할 수 있는 파트너’만을 중심으로 한 폐쇄적 정보 공유 네트워크가 자리 잡게 되면, 사이버 위협 대응 속도가 약화될 것이라는 지적이다.
업계 영향 및 전망
마이크로소프트의 클라우드·협업 솔루션을 사용하는 전 세계 기업들은 당분간 쉐어포인트 취약점 패치 적용 여부와 불법 접근 차단 로그를 면밀히 모니터링해야 한다. 특히 중국 내 다국적 기업 지사들은 본사와의 데이터 교류가 더욱 복잡해질 가능성에 대비해, 방화벽 정책 및 접근 제어를 재정비할 필요가 있다.
마이크로소프트의 이번 발표는 ‘신뢰할 수 있는 공급망’을 둘러싼 글로벌 논쟁에도 불을 지피고 있다. 미국 정부가 추진하는 ‘사이버 보안 실행령’ 및 유럽연합(EU)의 NIS2 지침 등이 본격 발효되는 시점과 맞물려, 각국 규제 당국이 소프트웨어 공급망 투명성 확보를 더욱 강화할 공산이 크다.
결국 이번 사태는 정보 공유와 보안 리스크 간 균형점을 찾는 글로벌 IT 업계의 숙제가 재부상했음을 보여준다. 향후 MAPP의 참여 조건과 감사 절차가 강화될 가능성이 높으며, 마이크로소프트 역시 “파트너 신뢰성 검증을 최우선 과제로 삼겠다”는 입장을 재확인했다.
1 마이크로소프트 공식 블로그, 2025년 8월 20일 게시.
