미국 빅테크 기업 마이크로소프트(Microsoft)가 자사 협업 플랫폼 SharePoint의 치명적 취약점이 중국계 해킹 조직에 의해 실제로 악용됐다고 공식 확인했다.
2025년 7월 22일, CNBC 뉴스의 보도에 따르면 마이크로소프트는 블로그 공지를 통해 중국 정부와 연계된 것으로 추정되는 해커 그룹 Linen Typhoon과 Violet Typhoon, 그리고 중국 기반 공격자 Storm-2603가 7월 7일경부터 해당 취약점을 적극적으로 노린 정황을 포착했다고 밝혔다.
SharePoint는 마이크로소프트 Office 365 생태계에서 문서 저장·공유·검색을 담당하는 핵심 솔루션이다. 조직 내부 인트라넷과 프로젝트 포털 역할을 동시에 수행하는 만큼, 보안 결함이 발견될 경우 광범위한 내부 정보 유출로 이어질 가능성이 높다.
■ 공격 타임라인 및 보안 패치 현황
“미국 사이버안보·인프라보안국(CISA)은 7월 21일(현지시간) ‘취약점이 활발히 악용되고 있다’며 긴급 경보를 발령했다.”
이에 맞춰 마이크로소프트는 온프레미스(기업 자체 서버 설치형) SharePoint 두 버전에 대한 보안 패치를 21일, 나머지 한 버전에 대한 추가 업데이트를 22일 배포하며 대응에 나섰다.
보안 기업 Mandiant(구글 클라우드 자회사)의 최고기술책임자(CTO) 찰스 카마칼(Charles Carmakal)은 22일 링크드인 게시글에서 “초기 침투에 관여한 공격자 가운데 최소 1개 그룹은 중국 연계 위협 행위자로 평가된다”라고 분석했다.
해당 취약점은 인증 우회를 통해 관리자 권한을 탈취한 뒤, 쉘코드(shellcode) 삽입으로 서버 제어권을 확보하는 방식으로 악용됐다. 만약 패치를 적용하지 않은 서버가 내부망에 연결돼 있을 경우, 공격자는 기업·정부 기관의 기밀 자료를 외부로 전송하거나 랜섬웨어를 심어 2차 피해를 유발할 수 있다.
■ ‘타이푼’ 계열 해킹 조직이란?
마이크로소프트는 2023년부터 자사 위협 인텔리전스 분류 체계를 기상 용어로 개편했다. 국가 단위 행위자는 ‘Typhoon(태풍)’, 범죄 조직은 ‘Storm(폭풍)’ 등의 코드명을 부여한다.1
Linen Typhoon(구: Volt Typhoon)은 통신·에너지·방위 산업을 장기 침투하는 APT(지능형 지속 공격) 그룹이며, Violet Typhoon은 스피어피싱(표적 이메일)과 취약점 스캔을 병행하는 것으로 알려져 있다. Storm-2603은 공식적으로 세부 전력이 공개되지 않았지만, 중국 내 인포섹(정보 보안) 커뮤니티에서 활동하다 국가 의뢰를 받는 ‘계약형 해커’일 가능성이 제기된다.
유사 사례로 2021년 ‘Hafnium’으로 명명된 중국계 조직이 마이크로소프트 Exchange Server를 공격해 전 세계 3만여 곳의 메일 시스템이 타격을 입은 바 있다.
■ 마이크로소프트의 보안 전략 변화
사티아 나델라(Satya Nadella) CEO는 2024년 6월 “사이버보안을 핵심 성과지표(KPI)에 반영하겠다”라며 전사적 보안 투자를 공언했다. 실제로 마이크로소프트는 2025 회계연도에 200억 달러 규모의 보안 예산을 배정, 인공지능(AI) 기반 ‘Copilot for Security’를 기업 고객에게 제공할 예정이다.
최근 ‘펜타곤 클라우드’ 지원 인력을 중국 현지 엔지니어에서 미국·유럽 인력으로 전환한다고 밝힌 것도 같은 맥락이다. 이는 공급망 공격(supply-chain attack) 리스크를 최소화하려는 선제 조처로 풀이된다.
■ 국내 기업·기관에 주는 시사점
한국 역시 SharePoint 서버를 온프레미스로 운영하는 공공기관과 대기업이 많다. 전문가들은 “패치 적용 지연이 곧 침해 사고로 직결된다”라며 취약점 관리 프로세스를 재점검할 것을 권고한다. 또한, 제로 트러스트(Zero Trust) 아키텍처 도입을 통해 내부망 개념 자체를 무력화해야 한다고 조언한다.
이번 사건은 단순 기술 문제가 아닌 지정학적 사이버 전쟁의 연장선으로 해석된다. 국가 지원 해커가 인프라 깊숙이 자리 잡을 경우, 평시 정보 수집은 물론 유사시 물리적 공격까지 감행할 수 있기 때문이다.
■ 용어 풀이
1 APT(Advanced Persistent Threat) : 특정 목표를 장기간 정밀 타격하는 고도화된 사이버 공격.
쉘코드(shellcode) : 공격자가 원격 시스템에 삽입하는 악성 실행 코드.
제로 트러스트 : ‘신뢰하지 말고 항상 검증하라’는 원칙 아래, 내부·외부 구분 없이 모든 접속을 인증·인가하는 보안 모델.
■ 기자 분석
최근 글로벌 IT 기업들은 AI 경쟁과 동시에 사이버 레질리언스(복원력) 확보에 막대한 자원을 투입 중이다. 마이크로소프트 사례는 ‘디지털 전환 = 보안 강화’라는 등식을 다시 한 번 상기시킨다. 공격의 창은 빠르게 진화하는 반면, 방패는 업데이트를 미루는 순간 부서지기 쉽다. 특히 공공·국방 영역과 직결된 서비스라면, 국가·기업 간 신뢰 사슬 전반을 재설계해야 할 시점이다.
궁극적으로 이번 SharePoint 사태는 ‘클라우드 시대에도 온프레미스 보안은 여전히 중요하다’는 역설을 드러냈다. 한국 독자들 역시 서비스 편의성과 비용 절감을 위해 최신 SaaS로 빠르게 전환하더라도, 기존 레거시 시스템의 취약점 관리를 소홀히 하지 말아야 한다.
