LONDON/뉴욕 로이터 통신에 따르면, 전 세계 수천 개 정부 기관과 기업이 내부 문서 공유를 위해 사용하는 마이크로소프트(Microsoft) 서버용 소프트웨어 ‘쉐어포인트(SharePoint)’가 동시다발적 사이버 공격에 노출됐으며, 이번 공격은 단일 공격자의 소행일 가능성이 높다고 영국 사이버보안 연구진이 21일(현지시간) 밝혔다.
2025년 7월 21일, 인베스팅닷컴 보도에 따르면 이번 공격은 19일(토)부터 관측됐으며, 마이크로소프트는 같은 날 ‘활성화된 공격(active attacks)’ 경보를 발령했다. 회사 측은 “클라우드형 ‘Microsoft 365’의 SharePoint Online은 피해를 받지 않았다”고 명시했다. ※ SharePoint Online은 별도 서버가 아닌 MS 클라우드 환경에서 구동된다
“관측된 모든 공격에서 동일한 무기화된 코드 조각(payload)이 발견됐다. 이는 한 명(혹은 하나)의 공격자가 일괄적으로 조작했음을 시사한다. 다만, 추후 공격 주체가 바뀔 가능성도 배제할 수 없다.” – 레이프 필링(Rafe Pilling), 소포스(Sophos) 위협 인텔리전스 디렉터
필링 디렉터는 ‘트레이드크래프트(tradecraft)’라 불리는 공격 방식이 모든 표적에서 일관된 패턴을 보였다고 분석했다. 구체적으로는 동일한 디지털 페이로드를 다수 서버에 동시 투입하는 방식으로, 이미 자동화된 스크립트가 사용됐을 가능성이 높다는 설명이다.
마이크로소프트 대변인은 전자우편 성명을 통해 “보안 업데이트를 제공했으며, 고객에게 즉시 설치를 권고한다”고 밝혔다. 그러나 업데이트 적용만으로 완전한 복구가 담보되지는 않는다는 지적도 나온다.
이번 해킹의 배후는 아직 밝혀지지 않았다. 미 연방수사국(FBI)은 20일 “공격을 인지하고 있으며, 연방 및 민간 파트너와 공조 중”이라고만 언급했다. 영국 국가사이버안보센터(NCSC)는 논평 요청에 즉각 응답하지 않았다.
미국 워싱턴포스트는 이틀 전부터 정체불명의 행위자들이 취약점을 악용해 미국 및 국제 기관·기업을 겨냥했다고 보도했다. 사이버 자산 검색엔진 쇼단(Shodan) 자료에 따르면, 인터넷에 노출된 8,000여 대 이상의 SharePoint 서버가 이미 침해됐을 가능성이 있는 것으로 추산된다.
침해 가능 서버에는 대형 제조사, 은행, 감사법인, 헬스케어 업체, 미국 주(州) 정부기관 및 해외 정부 조직 등이 포함된다. 이는 단순한 정보 유출을 넘어 연쇄적 공급망(Supply Chain) 공격으로 확산될 수 있다는 우려를 키운다.
“이번 SharePoint 사고는 전 세계 서버에 광범위한 침해 수준을 남겼다. ‘이미 뚫렸다고 가정(Assumed Breach)’하는 접근법이 필요하다. 패치만 적용한다고 끝이 아니다.” – 대니얼 카드(Daniel Card), 영국 보안 컨설팅업체 PwnDefend
[용어 해설]
제로데이(Zero Day)란 보안 업계에 공식 보고되거나 패치가 배포되기 전에 이미 악용된 취약점을 뜻한다. 공격자는 사실상 ‘방어 대비 시간이 0일(Zero Day)’임을 노린다.
페이로드(Payload)는 시스템을 장악하거나 악성 코드를 설치하기 위해 전송되는 실질적 공격 코드를 의미한다.
[전문가 시사점] 현재까지 드러난 사실은 ‘단일 공격자’ 가능성을 시사하지만, 공개된 취약점 정보가 빠르게 확산될 경우 모방 공격(copycat)이 급증할 전망이다. 이에 따라 취약 서버 운영 기업·기관은 패치 적용 이후에도 로그 검수, 계정 재설정, 내부망 분리 등 다층적 대응이 요구된다. 조직 내 사이버 위기관련 예산 및 인력 확보가 시급하다는 지적도 재차 부각되고 있다.
