마이크로소프트(Microsoft)가 자사 협업 소프트웨어 SharePoint에서 발견된 취약점을 노린 최근의 사이버 공격에 중국 연계 해킹 조직이 직접 관여했다고 발표했다.
2025년 7월 22일, CNBC 뉴스의 보도에 따르면, 마이크로소프트는 공식 블로그를 통해 중국 정부 지원을 받는 것으로 알려진 두 조직 Linen Typhoon과 Violet Typhoon, 그리고 중국 소재 행위자로 분류된 Storm-2603가 7월 7일 이전부터 해당 취약점을 활용해 왔다고 밝혔다.
이 취약점은 온프레미스(기업 내부 설치형) SharePoint 서버 세 가지 버전에 존재하며, 공격자는 인증되지 않은 상태에서도 악성 코드를 주입할 수 있는 것으로 분석됐다.*1
미국 사이버안보·인프라보안국(CISA)은 7월 21일 “취약점의 활성 악용을 인지했다”고 경고했고, 마이크로소프트는 이틀 연속 패치를 단계적으로 배포했다.
마이크로소프트는 21일 두 버전에 대한 보안 업데이트를, 22일 나머지 한 버전에 대한 추가 패치를 각각 배포하며 긴급 대응에 나섰다.패치는 홈페이지 및 자동 업데이트 채널을 통해 제공된다.
구글 클라우드 자회사 Mandiant의 기술 책임자인 찰스 카마칼(Charles Carmakal)은 22일 링크드인(LinkedIn) 게시글에서 “우리는 초기 공격에 관여한 행위자 중 최소 한 곳이 중국과 연계된 위협 조직이라고 평가한다”고 밝혔다.
배경과 의미
SharePoint는 조직 내부의 문서·파일을 공동으로 편집·보관할 수 있는 마이크로소프트 365 제품군의 핵심 플랫폼이다. 전 세계 수십만 개 기업과 정부 기관이 사용하는 만큼, 단 한 번의 취약점 악용만으로도 광범위한 정보 유출이 가능하다.
마이크로소프트 최고경영자 사티아 나델라(Satya Nadella)는 지난해 사이버보안을 ‘최우선 과제’로 선언한 바 있다. 이는 2024년 6월 미국 정부 보고서가 중국의 이메일 계정 침해 사건에서 회사의 대응을 질타한 데 따른 조치였다.
나델라 CEO는 올해 4월 본사 행사에서도 “AI 기술 강화와 동시에 보안 불확실성을 최소화하겠다”고 강조했다. 그러나 최근 SharePoint 사태는 보안 전략의 실효성 논란을 다시금 불러일으키고 있다.
한편, 마이크로소프트는 7월 18일 미 국방부(펜타곤) 클라우드 지원 인력을 중국 기반 엔지니어에서 미국 현지 인력으로 전면 교체하겠다고 발표했다. 이는 일부 언론이 “중국 엔지니어가 설계한 구조가 국방 시스템 공격의 발판이 될 수 있다”고 지적한 데 따른 결정이다.
과거 사례와 현재 상황 비교
2021년에는 중국 정부 배후로 추정된 Hafnium(하프니엄) 그룹이 마이크로소프트 Exchange Server를 공격해 공공·민간 부문의 이메일 시스템에 대규모 피해를 입힌 전력이 있다. 당시 사건은 세계적으로 ‘공급망 보안 위협’에 대한 경각심을 높였다.
이번 SharePoint 공격 역시 중국의 지속적인 사이버 작전 능력을 보여준 사례로 평가된다. 전문가들은 “협업 플랫폼으로까지 공격 범위가 확장된 만큼, 소프트웨어 업계 전반이 ‘쉬운 표적(Soft Target)’에서 벗어나야 한다”고 조언한다.
온프레미스(기업 자체 구축형) 서버를 사용 중인 조직은 클라우드 서비스 대비 패치 적용 주기가 길어 위험 노출 시간이 길어질 수 있다. 보안 연구원들은 “패치가 배포됐음에도 최신 버전을 적용하지 않는 기업이 전체의 30%에 달한다”고 지적한다.
전문가 시각
국내 정보보호 전문가 A 씨는 “중국은 장기간 잠입해 정보를 은밀히 수집하는 APT지능형 지속 위협 전략을 선호한다”며 “SharePoint 같은 협업 환경은 여러 사용자의 접근 권한이 복잡하게 얽혀 있어 탐지가 더욱 어렵다”고 설명했다.
그는 이어 “이번 패치 적용 여부는 단순 업데이트가 아니라 기업 지배구조와 내부 보안 문화의 문제”라며, 경영진이 직접 보안 성과를 평가 지표에 포함해야 한다고 제언했다.
또 다른 분석가 B 씨는 “공격 시점이 7월 7일로, 미국 독립기념일(7월 4일) 연휴 직후였다는 점에 주목해야 한다”며 “휴가 시즌에는 인력 공백으로 패치가 지연될 가능성이 높다”고 지적했다.
주요 용어 해설
SharePoint: 마이크로소프트에서 제공하는 협업·지식관리 플랫폼으로, 문서 공동 편집·버전 관리·검색 기능을 제공한다. 조직 내부 포털 및 워크플로 자동화 도구로도 활용된다.
Linen Typhoon·Violet Typhoon: 마이크로소프트가 자사 보안 분석 과정에서 붙인 코드명으로, 중국 정부와 연계된 사이버 공격 그룹을 지칭한다. 코드명은 실제 조직 명칭이 아니라 위협 행위자 식별용 가칭이다.
Storm-2603: 중국에서 활동하는 해커 집단으로 분류되며, 표적 시스템에 대한 초기 접근 권한(Initial Access)을 담당하는 것으로 알려져 있다.
Hafnium: 2021년 마이크로소프트 Exchange 서버 공격에 관여한 중국연계 APT 그룹의 코드명으로, 정부·연구기관·비영리단체 등을 집중 공격했다.
향후 전망
마이크로소프트는 이번 사건을 계기로 온프레미스 제품군의 지원 체계를 전면 재점검할 것으로 예상된다. 또한 중국을 비롯한 해외 개발 인력 의존도를 낮추고, 핵심 국방·공공 프로젝트에 대해 ‘지역 기반 인력 배치’ 원칙을 강화할 방침이다.
업계에서는 “AI·클라우드 경쟁 심화로 인해 엔지니어링 자원은 제한적”이라며, ‘보안 우선(secure-by-design)’ 원칙을 내재화하기 위한 신규 투자 수요가 한층 증가할 것이라는 분석이 나온다.
한편, 기업들은 제로 트러스트(Zero Trust) 구조와 다중 인증(MFA) 도입으로 내부망 방어력을 높여야 한다는 목소리가 커지고 있다. “사이버보안 예산만은 감축 대상에서 제외돼야 한다”는 CNBC 프로그램 Worldwide Exchange 출연자의 발언이 재조명되는 이유다.
*1 — 온프레미스(온사이트) 환경이란, 소프트웨어를 퍼블릭 클라우드가 아닌 조직 내부 서버에 직접 설치·운영하는 방식을 의미한다.
