마이크로소프트(Microsoft)가 주말 사이 자사의 기업용 협업 소프트웨어 쉐어포인트(SharePoint) 서버를 겨냥한 “활성화된 공격(active attacks)”을 공식 경고했다. 이번 공격은 미국 및 국제 정부·공공 기관을 표적으로 삼은 것으로 파악돼 사이버 보안 업계에 비상이 걸렸다.
2025년 7월 21일, 인베스팅닷컴의 보도에 따르면 마이크로소프트는 토요일(현지시간) 쉐어포인트 온프레미스 서버에서 발견된 취약점을 공지하면서 관련 패치를 배포했고, 이어 일요일에는 일부 버전을 보호하기 위한 추가 업데이트를 공개했다.
쉐어포인트는 기업 내부 임직원들이 문서를 저장·공유하고 프로젝트를 공동으로 진행할 수 있도록 설계된 엔터프라이즈 협업 플랫폼이다. 기업은 이 서비스를 자체 서버(온프레미스)에 직접 설치하거나, 마이크로소프트 클라우드(Microsoft 365) 환경에서 쉐어포인트 온라인(SharePoint Online) 형태로 이용할 수 있다.
마이크로소프트는 “악의적 행위자(Bad actors)가 이번 취약점을 악용할 경우, 기밀 데이터를 무단으로 열람할 뿐 아니라 내부 네트워크에 임의 코드를 배포해 추가 공격 경로를 확보할 수 있다”라고 경고했다. 이는 곧 조직의 업무 연속성, 데이터 무결성, 그리고 나아가 국가 안보까지 위협할 가능성이 있음을 시사한다.
“이번 취약점은 조직 내부에서 운영되는 쉐어포인트 서버(온프레미스)에 한정된다”라고 회사 측은 명시했다. “마이크로소프트 365 구독자가 사용하는 쉐어포인트 온라인은 영향을 받지 않는다.”
마이크로소프트(NASDAQ:MSFT)는 동시에 “최신 보안 패치를 신속히 적용해 줄 것”을 권고했다.
미국 일간지 워싱턴포스트(The Washington Post)는 이번 해킹 수법이 현재까지 신원이 확인되지 않은 공격자들에 의해 미국 및 해외 정부 기관을 대상으로 사용되고 있다고 전했다. 다만, 피해 범위·구체적 기관명 등 세부 사항은 아직 공개되지 않았다.
쉐어포인트 온프레미스와 쉐어포인트 온라인의 차이를 명확히 이해하는 것이 중요하다. 온프레미스는 조직 내 데이터센터에 설치·운영되기 때문에 서버 유지보수·패치 적용 책임이 전적으로 조직에 귀속된다. 반면 클라우드 기반인 쉐어포인트 온라인은 마이크로소프트가 인프라를 관리하며, 이용자는 사용자 계정·데이터만 관리하면 된다1.
전문가들은 “패치 지연이야말로 사이버 공격 성공률을 급격히 높이는 핵심 요인”이라고 강조한다. 실제로 기업 환경에서 IT 운영팀이 검증 절차를 이유로 패치를 미루는 사례가 빈번하다. 그러나 이번 사안처럼 공격이 이미 진행 중인(active) 상태라면, ‘검증 후 적용’보다 ‘즉시 적용 후 세부 검토’ 방식으로 전환해야 피해를 최소화할 수 있다.
아울러 다계층 방어 전략이 요구된다. △네트워크 침입 탐지(IDS) △행위 기반 위협 탐지(UEBA) △제로 트러스트(Zero Trust) 아키텍처 등으로 방어망을 다각화하면, 설령 단일 취약점이 뚫리더라도 연쇄 침해를 막을 수 있다. 한국 기업·공공기관 역시 이번 사례를 자사 보안 체계 전반을 점검하는 계기로 삼아야 한다.
마이크로소프트는 추가 공지에서 “CVE 번호가 곧 할당될 예정이며, 경영진과 보안 담당자는 해당 번호를 기반으로 보안 게시판을 주시해 달라”라고 밝혔다. 이는 패치 적용 여부를 자동화 도구로 검증할 때 중요한 기준점이 된다.
끝으로, 클라우드로 전환하지 못한 조직이 여전히 많다는 점이 이번 사태를 통해 드러났다. 온프레미스 환경에 남아 있는 한, 주기적 보안 점검과 신속한 업데이트는 ‘선택’이 아닌 ‘필수’라는 사실을 재확인하는 사건이다.
