마이크로소프트(MS)가 자사 SharePoint 서버 소프트웨어의 치명적 취약점을 인지하고도 첫 번째 보안 업데이트에서 완전한 해결에 실패한 사실이 드러났다. 이로 인해 전 세계적으로 약 100여 개 조직이 동시다발적 해킹 공격에 노출됐으며, 추가 공격자가 대열에 합류할 경우 피해 규모가 확대될 가능성이 제기된다.
2025년 7월 23일, 인베스팅닷컴 보도에 따르면 MS는 7월 8일(현지시간) 공개한 패치로는 문제를 완전히 차단하지 못했다고 인정했고, 7월 중순 추가 패치를 배포해 결함을 뒤늦게 봉합했다고 밝혔다. 그러나 이미 공격 코드는 온라인에 확산돼 있어 완전한 긴급 대응이 요구되는 상황이다.
문제가 된 취약점은 5월 독일 베를린에서 사이버보안 기업 트렌드마이크로(Trend Micro)가 주최한 해킹 경연대회(Pwn2Own)에서 처음 공개됐다. 베트남 군 통신사 비에텔(Viettel) 산하 연구원이 ‘ToolShell’로 명명한 이 제로데이(zero-day) 공격 기술을 선보이며 10만 달러의 상금을 수상했다.
“참가 업체는 신속하고 효과적으로 취약점을 패치할 의무가 있다. 다만 패치가 간혹 실패할 수 있다.” — 트렌드마이크로 ‘Zero Day Initiative’
MS는 해당 결함을 ‘중대(Critical)’ 등급으로 분류했지만, 초기 보안 업데이트가 우회(Bypass)에 취약한 것으로 나타났다. 영국 보안업체 소포스(Sophos)는 7월 22일 블로그에서 “위협 행위자들이 패치를 우회하는 자체 익스플로잇을 개발했다”고 경고했다.
중국 연계 해커 조직 의심
MS와 알파벳(구글)은 첫 공격 물결이 중국과 연계된 해커들의 소행일 가능성이 높다고 평가했다. MS는 블로그에서 ‘Linen Typhoon’과 ‘Violet Typhoon’ 등 중국 기반 해커 두 개 그룹, 그리고 이름이 공개되지 않은 세 번째 중국 조직이 적극 활용 중이라고 밝혔다. 반면 워싱턴 주재 중국 대사관은 전통적 입장을 고수하며 “증거 없는 음해”라고 부인했다.
이번 공격으로 미 에너지부 산하 국가핵안보국(NNSA)까지 침해됐다고 블룸버그통신은 익명의 소식통을 인용해 보도했다. 다만 기밀 자료는 유출되지 않은 것으로 알려졌다. 미국 에너지부, 미국 사이버안보·인프라보안국(CISA), MS 모두 관련 문의에 즉각 답변하지 않았다.
잠재적 공격 표면 9,000대 이상
인터넷 연결 기기 검색엔진 Shodan은 이미 최대 8,000대 이상의 SharePoint 서버가 위험에 노출됐을 수 있다고 분석했다. 비영리 보안단체 Shadowserver Foundation의 스캔 결과는 최소 9,000대에 달한다. 주요 표적은 미국·독일 서버가 다수를 차지하며, 회계법인·은행·헬스케어·공공기관 등 산업 전반으로 퍼져 있다.
독일 연방정보보안청(BSI)은 “일부 정부 네트워크 내 SharePoint 서버도 취약하긴 했으나 침해 징후는 발견하지 못했다”고 밝혔다.
용어 해설 및 실무적 함의
제로데이(Zero-day)란 공급업체가 인지하지 못한 상태에서 악용되는 새로운 소프트웨어 결함을 뜻한다. 패치(bug fix)가 발표되기 전 공격자가 취약점을 이용해 시스템 권한을 탈취할 수 있어, 조직 내부 보안 담당자는 ‘가시성 확보’와 ‘다단계 방어’를 병행해야 한다.
SharePoint는 문서 관리·협업 플랫폼으로, 대기업·공공기관의 핵심 업무 프로세스와 연동돼 있다. 서버당 방대한 인트라넷·파일이 집중돼 있어 1건 침해만으로도 기밀 문서가 대규모로 유출될 수 있다.
전문가 시사점
보안 분석가들은 “패치가 한 번으로 끝난다는 전제 자체가 위험“이라며, MS처럼 다수 고객사를 보유한 벤더는 ‘다중 검증 체계’를 구축해야 한다고 조언한다. 기업 및 기관은 1패치 적용 후에도 침투 테스트를 수행하고, 2취약점 노출 흔적(IOC)을 모니터링하며, 3네트워크 분할·최소 권한 원칙을 강화해야 한다.
이번 사건은 ‘공급망 보안’의 중요성을 다시 상기시킨다. 단일 애플리케이션의 결함이 핵심 인프라 전체로 번질 수 있기 때문이다. 해외 정부기관이 해킹 목록에 오른 만큼, 향후 국가 간 외교·경제 마찰로까지 파장이 확산될지 주목된다.
향후 일정 및 체크포인트
MS는 추가 보안 공지 및 CVE 번호 업데이트를 예고했다. 고객사는 최신 누적 업데이트 적용 여부를 즉시 확인하고, 로그 분석을 통해 의심 행위를 탐지해야 한다. 또한 CISA·BSI 등 각국 보안 당국의 권고 사항을 상시 모니터링하며, 해킹 그룹이 사용하는 지속적 위협(APT) 전술에 대비할 필요가 있다.
