로이터통신은 마이크로소프트(나스닥: MSFT)가 지난달 배포한 보안 패치가 자사의 SharePoint 서버 소프트웨어에 존재하는 치명적 결함을 완전히 해결하지 못했다고 22일(현지시간) 보도했다. 이로 인해 전 세계적으로 약 100개 기관을 겨냥한 사이버 스파이 작전이 진행되고 있는 것으로 알려졌다.
2025년 7월 22일, 인베스팅닷컴의 보도에 따르면 해당 취약점은 올해 5월 베를린에서 열린 트렌드마이크로(OTC: TMICY) 주최 해킹 대회에서 처음 공개됐다. 당시 연구자들은 숨겨진 보안 구멍을 찾아내는 이른바 ‘제로데이(0-day)’ 익스플로잇 부문에서 10만 달러(약 1억3,600만 원)의 상금을 걸고 경쟁했다.
대회에 참가한 베트남 군 통신사 비텔(Viettel) 산하 보안 연구원은 결함을 발견하고 이를 ‘ToolShell’이라고 명명해 실제 공격 시연까지 마쳤다. 그는 즉시 10만 달러 상금을 받았으며, 트렌드마이크로의 ‘Zero Day Initiative’ X(구 트위터) 계정에도 해당 사실이 공지됐다.
마이크로소프트는 이후 7월 8일 보안 공지를 통해 해당 버그를 ‘크리티컬’ 등급으로 분류하고 «패치 완료»를 선언했다. 그러나 불과 열흘 남짓 지나 영국 사이버보안 기업 소포스(Sophos) 등은 패치를 우회하는 악성 트래픽이 급증했다고 경고했다. 소포스는 21일 블로그 게시글에서 “공격자들이 패치를 우회하는 익스플로잇을 개발한 것으로 보인다”고 밝혔다.
“Threat actors subsequently developed exploits that appear to bypass these patches.” — Sophos 블로그(7월 21일)
이번 작전의 배후 세력은 아직 공식 확인되지 않았으나, 알파벳(나스닥: GOOGL) 산하 구글은 자사 보안 모니터링을 통해 “중국 연계 위협 그룹” 일부가 관여했다고 분석했다. 워싱턴 주재 중국대사관은 로이터의 논평 요청에 응하지 않았다. 중국 정부는 해킹 관여 의혹을 받을 때마다 관여 사실을 부인해 왔다.
● ‘제로데이’란 무엇인가
1 제로데이(0-day) 취약점은 소프트웨어 개발사조차 모르고 있던 맹점을 말한다. 공개 또는 패치가 전혀 이뤄지지 않았기 때문에 공격자에게 ‘D-Day’가 0일이라는 의미에서 붙은 용어다. 시장에서는 정보 거래가 활발하며, 심각도에 따라 수만 달러에서 수백만 달러까지 거래가 성사된다.
● 잠재적 피해 규모
인터넷 연결 장비를 검색하는 쇼단(Shodan) 데이터에 따르면 취약점 노출 가능성이 있는 SharePoint 서버는 8,000대 이상이다. 섀도서버재단(Shadowserver Foundation)은 자체 스캔 결과 최소 9,000대를 확인했다. 이들 중에는 대형 제조업체, 은행, 회계법인, 헬스케어 기업, 미국 주정부 및 국제 기구의 서버도 포함된다.
전문가들은 “정부·공기업뿐 아니라 중소기업도 내부 문서 관리에 SharePoint를 널리 사용한다”며 “공격자가 시스템 권한을 탈취할 경우 기밀 문서 유출뿐 아니라 랜섬웨어 공격으로까지 이어질 수 있다”고 경고했다.
● 마이크로소프트의 대응과 과제
로이터가 22일 질의했으나 마이크로소프트는 패치 완전성 및 추가 대책에 대해 즉각적인 답변을 내놓지 못했다. 업계에서는 “디펜스 인뎁스(Defense-in-Depth) 원칙에 따라 다층 방어와 신속 패치 검증이 필수”라고 지적한다.※ 디펜스 인 뎁스: 서로 다른 보안 도구·정책을 겹겹이 적용해 단일 장애점(SPOF)을 제거하는 전략
특히 「클라우드+온프레미스 하이브리드 인프라」를 운영하는 기업이 많아지면서 패치 적용이 지연되거나 누락되는 사례가 빈번하다. 이에 대해 국내외 보안 컨설턴트들은 “재택근무 확산과 문서 협업 증가가 SharePoint 의존도를 높였다”며 “공격 표면이 넓어진 만큼 취약점 관리 프로세스를 전면 재점검해야 한다”고 조언한다.
● SharePoint란?
SharePoint는 마이크로소프트가 2001년 출시한 기업 문서·콘텐츠 관리 플랫폼이다. 사내 인트라넷, 프로젝트 공동작업, 워크플로 자동화, 검색 기능 등을 통합 제공한다. 글로벌 시장조사업체 가트너에 따르면 2024년 기준 전 세계 25만 개 이상 기업이 도입했다. 한국에서도 금융·제조·공공기관이 두루 쓰고 있으나, 복잡한 권한 구조 탓에 보안 설정 실수가 잦다는 지적을 받아 왔다.
● 전문가 시각 및 전망
취약점 공개 후 불과 두 달 만에 현실 공격이 발생했다는 점에서 ‘보안 생명주기 단축’이 뚜렷하다는 평가가 나온다. 국내 A 보안업체 연구원은 “AI 기반 자동 공격 코드가 확산되면서 제로데이→공격 코드 공개→대규모 침투까지 걸리는 시간이 과거 6~12개월에서 수 주(週) 단위로 줄었다”고 분석했다.
향후 예상되는 시나리오는 세 가지다. 첫째, 마이크로소프트가 ‘재패치’를 내놓아 일시적 진화에 성공할 가능성. 둘째, 공격자가 이미 확보한 초기 침투 지점을 발판 삼아 장기 거점을 유지하는 ‘지능형 지속 위협(Advanced Persistent Threat, APT)’으로 전환하는 가능성. 셋째, 다른 플랫폼으로 익스플로잇 체인을 확장해 다단계 공급망 공격이 벌어질 위험이다.
결국 기업·기관은 로그 모니터링과 취약점 스캔 자동화를 병행하고, 최소 권한 원칙(Least Privilege)을 엄격히 적용해 중요 문서 접근 경로를 세분화해야 한다. 또한 ‘패치가 발표됐다고 끝’이 아니라, 실제 침해 지표(IOC) 기반 상태 점검을 계속해야 한다는 지적이 힘을 얻고 있다.
