미국 공공 부문을 겨냥한 대규모 사이버 위협이 Microsoft SharePoint 서버의 제로데이(Zero-Day) 취약점을 통해 확인됐다. 비영리 단체인 인터넷 보안 센터(Center for Internet Security, CIS)는 ‘주ㆍ지방ㆍ부족(Tribal)ㆍ영토(Territorial)’ 정부 기관이 서로 협력해 사이버 위협 정보를 공유하도록 지원하는 조직으로, 해당 취약점을 노린 공격 시도가 90곳이 넘는 주·지방 정부 기관에서 탐지됐다고 밝혔다.
2025년 7월 30일, 인베스팅닷컴의 보도에 따르면 CIS는 ①공격 시도가 대규모로 이루어졌음에도 ②아직까지 실제 침해가 확인된 사례는 없다고 전했다. CIS 보안 운영·정보 담당 부사장인 랜디 로즈(Randy Rose)는 이메일 성명을 통해 “현재까지 확인된 보안 사고는 없다”고 강조했다.
“None have resulted in confirmed security incidents.” — Randy Rose, CIS 부사장
이번 SharePoint 취약점은 마이크로소프트 나스닥 종목코드: MSFT 서버 소프트웨어에서 발견됐으며, 네덜란드 사이버보안 기업 아이 시큐리티(Eye Security)는 적어도 400여 개 서버가 이미 침해됐다고 추산했다. 취약점 공개 이후 미 연방 정부 다수 기관도 피해 목록에 포함된 것으로 알려지면서, 공공 부문 전체에 긴장감이 고조되고 있다.
Fermilab 사례로 드러난 공공 기관 취약성
미 에너지부(Department of Energy, DOE) 산하 17개 국립 연구소 가운데 하나인 페르미 국립 가속기 연구소(Fermilab)도 공격 대상이 된 사실을 인정했다. 연구소 대변인은 “공격자가 Fermilab의 SharePoint 서버에 접근을 시도했으나 신속히 탐지되어 민감하거나 기밀 자료가 유출되지 않았다”고 설명했다. 해당 소식은 블룸버그가 최초 보도했다.
DOE는 현재까지 SharePoint 해킹으로 영향을 받은 시스템이 “극소수”라고 밝혔지만, 피해 규모는 계속 확산 중이다. 미국 사이버안보·인프라 보안국(CISA) 역시 취약 버전의 SharePoint를 사용하는 기관에 즉각적인 패치 적용과 네트워크 모니터링 강화를 촉구했다.
SharePoint 취약점이 중요한 이유
SharePoint는 조직 내부 문서 관리·협업 플랫폼으로, 정부 기관·대기업·교육기관의 인트라넷 핵심 시스템으로 널리 쓰인다. 공격자가 관리자 권한을 획득할 경우, 내부 데이터베이스와 연동된 기밀 보고서·인사 정보·프로젝트 문서까지 접근할 수 있다. 이번 취약점은 네트워크 경계방화벽(Boundary Firewall)만으로 차단이 어려운 형태로, 조직 내부로의 횡적 이동(Lateral Movement) 위험이 크다.
전문가들은 “공격자가 초기 진입 후 Ransomware(랜섬웨어) 유포나 정보 탈취용 백도어(backdoor)를 설치해 장기 잠복(Low-and-Slow Attack)할 가능성”을 우려한다. 특히 주·지방 정부는 IT 예산과 전문 인력이 제한적이어서 탐지와 대응이 지연될 수 있다는 점이 약점으로 지적된다.
전문가 시각: 피해 최소화를 위한 4대 권고
① 즉각적인 패치 적용: 마이크로소프트가 배포한 긴급 업데이트(Out-of-Band Patch)를 설치하고, 버전 업그레이드가 불가능할 경우 최소한 제한적 접근 리스트(ACL)로 서버 노출을 줄여야 한다.
② 다중 인증(MFA) 강화: SharePoint 관리 포털 및 원격 로그인(RDP·VPN)에 다중 인증을 도입해 공격자의 계정 탈취 위험을 낮춘다.
③ 로깅 및 모니터링: IIS 로그, Windows 이벤트 로그, EDR(Endpoint Detection & Response) 데이터를 실시간 분석하여 비정상 프로세스 실행이나 의심스러운 PowerShell 스크립트를 탐지한다.
④ 사이버 위협 인텔리전스(CTI) 공유: CIS뿐 아니라 MS-ISAC, InfraGard 등 협력 채널을 통해 IOC(Indicators of Compromise)를 신속히 교환하고, 국가 차원의 대응 체계를 강화한다.
제로데이·공급망 공격, 그리고 공공 부문의 과제
최근 연이은 제로데이 취약점 악용 사례는 공급망(Supply Chain) 공격이 공공 부문을 직접 노리는 양상이 강화되고 있음을 시사한다. 솔라윈즈(SolarWinds)·무브잇(MOVEit) 사건처럼 타사 소프트웨어에서 시작된 취약점이 연쇄적으로 연방→주→지방 기관으로 번지며, 정책 수립·예산 편성·교육 훈련 등 다층적 대응이 요구된다.
특히 전국 주지사협회(NGA)와 전미시장협회(USCM)는 “지방정부의 사이버 레질리언스(복원력)” 강화를 위해 연방 보조금 확대와 사이버 보험 체계 개선을 촉구하고 있다.
향후 전망
현재 CIS는 피해 기관 목록을 공개하지 않고 있으나, 포렌식 조사와 위협 헌팅(Threat Hunting) 결과에 따라 추가 정보가 순차적으로 공개될 가능성이 높다. 전문가들은 “공격이 수면 아래로 잠복해 있을 가능성”을 경고하며, 8월 초로 예상되는 마이크로소프트 정기 보안 패치를 예의 주시하고 있다.
결론적으로, 주·지방 정부의 SharePoint 의존도와 제한된 예산 환경을 고려할 때, 선제적·집단적 방어 전략이 없는 기관은 장기적으로 더 큰 경제적·정치적 피해에 직면할 수 있다. 이번 사태는 공공 부문 사이버 안보 투자와 훈련·교육 체계의 시급성을 드러낸 대표적 사례로 평가된다.
