[보안 긴급] 마이크로소프트(Microsoft Corp.)가 자사 SharePoint 서비스를 겨냥한 대규모 해킹 캠페인이 랜섬웨어 단계로까지 격상됐다고 공식 확인했다.
2025년 7월 24일, 인베스팅닷컴의 보도에 따르면 마이크로소프트는 자사 보안 블로그를 통해 중국계로 추정되는 해킹조직 ‘Storm-2603’가 새롭게 ‘Warlock’ 랜섬웨어를 배포한 사실을 포착했다고 밝혔다. 해당 조직은 앞서 두 개의 다른 중국발 해킹 그룹과 함께 SharePoint 서버를 공격해온 주체로 지목돼 왔다.
랜섬웨어는 피해자의 시스템 접근 권한을 차단한 뒤, 암호화폐 형태의 금전을 요구하는 악성코드다. 대개 비트코인·모네로 등 추적이 어려운 가상자산을 요구하며, 공격자는 해독 키를 제공하겠다는 조건으로 몸값(Ransom)을 협상한다.
“이번 사건은 단순 정보 유출을 넘어 서비스 마비 및 금전 갈취로까지 전환됐다는 점에서 심각성이 크다.” — 마이크로소프트 보안 대응팀(MSTIC)*
마이크로소프트는 “제로데이(Zero-day) 취약점”을 이용한 연쇄 공격이 SharePoint를 사용하는 금융·정부기관·대기업 등 광범위한 네트워크를 잠재적으로 훼손했다고 설명했다. 제로데이란 소프트웨어 제작사조차 인지하지 못한 미공개 보안 결함을 뜻한다. 패치가 배포되기 전까지 사실상 무방비 상태이기 때문에, 공격자가 손쉽게 시스템에 침투할 수 있다.
이번 침해 범위는 여전히 조사 중이지만, 블룸버그 통신은 이번 주 초 미국 원자력안전국(National Nuclear Security Administration·NNSA)이 같은 공격 시나리오로 뚫렸다고 보도했다. NNSA는 미국 핵무기 비축·유지 관리를 담당하는 핵심 기관으로, 이 사실만으로도 침해 수준의 심각성을 방증한다.
용어 해설 및 독자 가이드
• 제로데이(Zero-day) 취약점: 공급업체가 보안 결함을 알기 전 ‘0일’ 동안 공격자에게 노출된 상태를 의미한다. 패치가 전무해 즉각적 대응이 어려워 ‘최악의 보안 위협’으로 꼽힌다.
• 랜섬웨어(Ransomware): 시스템·데이터를 암호화하고 해독키를 대가로 돈을 요구하는 프로그램. 2020년 이후 지능형 지속 위협(APT) 조직들이 즐겨 사용하는 공격 방식이다.
전문가 시각 및 전망
현재까지 공개된 정보만으로도 Storm-2603이 진행 중인 침해가 국가 기반시설 보호 체계에 직격탄을 가했을 가능성이 제기된다. SharePoint는 클라우드 협업 포털 성격 때문에 조직 내부 문서·애플리케이션 접근 관문으로 활용되며, 일단 뚫리면 전사(全社) 권한 상승으로 이어질 위험이 높다. 실제로 이번 사건은 단순 정보탈취에서 서비스 거부(DOS)·금전 갈취로 공격 벡터를 확장한 첫 사례로 평가된다.
향후 유사 공격은 ①보건·에너지·교육 등 다른 산업군으로 빠르게 번질 가능성이 있으며, ②무차별적 데이터 암호화로 공급망 충격을 가중할 수 있다. 한편, 각국 규제 당국은 사이버 레질리언스 강화를 위해 제로데이 대응 지침·의무적 침해 통보 제도를 잇달아 검토 중이다.
독자들은 보안 패치 최신화, 다단계 인증(MFA) 적용, 이상징후 상시 모니터링 같은 기본 수칙을 준수해야 한다. 특히 SharePoint 관리자라면 ▲서버 접근 로그 정밀 분석 ▲의심스러운 DLL·스크립트 즉시 격리 ▲백업 무결성 점검 같은 절차를 통해 위험을 최소화할 필요가 있다.
※ MSTIC(Microsoft Threat Intelligence Center)주: 마이크로소프트 내부 위협 인텔리전스 조직으로, 글로벌 공격 추세를 실시간 분석·공개한다.
