워싱턴발 ― 마이크로소프트(Microsoft)가 정부 기관과 민간 기업 내부에서 문서를 공유하기 위해 사용되는 서버 소프트웨어 ‘셰어포인트(SharePoint)’를 겨냥한 실시간(active) 사이버 공격이 진행 중이라며 긴급 경보를 발령했다.
2025년 7월 21일, 인베스팅닷컴의 보도에 따르면 마이크로소프트는 고객사들에게 “즉각적인 보안 업데이트“를 적용하라고 권고했으며, 미국 연방수사국(FBI) 또한 해당 공격 사실을 인지하고 연방 및 민간 파트너들과 공조 중이라고 밝혔다.
“이번 취약점은 내부 구축형 셰어포인트 서버에만 해당되며, 클라우드 기반 Microsoft 365의 SharePoint Online은 영향을 받지 않는다”
고 마이크로소프트는 설명했다. FBI는 추가 세부 내용을 공개하지 않았으나, 공격이 현재진행형임을 인정했다.
공격의 배경과 규모
The Washington Post는 익명의 보안 전문가들을 인용해, “미확인 행위자들이 수십만 대의 서버를 위험에 빠뜨릴 수 있는 미발견 취약점을 지난 며칠간 악용했다”고 전했다. 해당 공격은 취약점이 공개·패치되기 전 먼저 악용됐다는 점에서 ‘제로데이(0-day) 공격’으로 분류된다.
제로데이 공격이란, 개발사나 사용자 측이 결함을 인지하기 전에 해커가 먼저 이를 이용해 침투하는 기법을 의미한다. 패치가 존재하지 않기 때문에 피해 범위가 기하급수적으로 확대될 가능성이 높다.
취약점 상세: ‘스푸핑(Spoofing)’ 가능성
마이크로소프트의 공식 경고문에 따르면, 이 취약점은 ‘인증된 공격자(authorised attacker)’가 네트워크를 통해 스푸핑 공격을 수행할 수 있게 한다. 스푸핑은 공격자가 신뢰받는 사용자·기관·웹사이트로 가장해 정보를 탈취하거나, 잘못된 명령을 실행하게 만드는 행위다. 금융 시장 조작·정부 기관 혼란 유발 등 파급력이 크기 때문에 국제적 보안 규제에서도 고위험군으로 분류된다.
이번 사례에서 공격자는 관리 권한이 있는 계정을 탈취하거나 위조해, 내부 네트워크에서 정상 사용자로 위장한 후 악성 코드를 배포할 수 있는 것으로 분석된다. 특히 셰어포인트는 조직별 문서·프로젝트 파일을 중앙 관리하는 특성상, 2차 확산이 빠르다.
마이크로소프트의 대응 및 권고 사항
7월 21일(현지 시각), 마이크로소프트는 SharePoint Subscription Edition 전용 보안 업데이트를 즉시 배포했다. 또한 2016·2019 버전용 패치는 현재 개발 중이라고 밝혔다. 업체는 “권장 악성코드 방어 정책을 활성화할 수 없는 환경이라면, 패치가 나올 때까지 해당 서버를 인터넷과 물리적으로 분리하라”고 조언했다.
구체적 조치로는 1) 최신 누적 업데이트 적용, 2) 네트워크 레벨 인증 강화, 3) 다단계 인증(MFA) 의무화, 4) 의심 IP·계정 실시간 모니터링, 5) 주기적 백업 및 침해 사고 대응 훈련 등이 제시됐다.
셰어포인트란 무엇인가?
셰어포인트는 마이크로소프트의 협업·문서 관리 플랫폼으로, 사내 포털·프로젝트 관리·지식 공유 허브로 폭넓게 쓰인다. 클라우드형(Microsoft 365)과 온프레미스형(내부 서버 설치)으로 나뉘며, 이번에 공격 받은 것은 후자다. 온프레미스 서버는 기업이 직접 물리 서버를 관리하기 때문에 패치 적용·보안 설정의 즉시성이 클라우드 대비 떨어질 수 있다.
시장조사기관 가트너(Gartner)에 따르면 전 세계 포춘 500대 기업 중 80% 이상이 셰어포인트를 내부 지식 관리에 활용하고 있다. 즉, 이번 취약점은 공공·민간 전반에서 대규모 파급 가능성을 내포한다.
산업계 영향 및 전문가 진단
사이버 보안 전문가들은 “최근 러시아·중국계 해커조직의 공급망 공격이 증가하는 흐름 속에서, 이번 사건은 정부 기관 보안 체계가 얼마나 취약할 수 있는지 방증한다”고 지적했다. 또한 클라우드 전환을 늦추던 제조·공공 부문에서는 이번 사태를 계기로 ‘온프레미스 위험’을 재평가할 것으로 전망된다.
반면 일부 금융·법률 기업은 데이터 주권·규제를 이유로 온프레미스 구조를 유지한다. 이들은 “클라우드로의 성급한 이동보다, 세분화된 네트워크 분리·암호화·제로 트러스트 아키텍처를 도입해 위험을 완화할 수 있다”고 밝혔다.
용어 추가 설명
1 제로데이(0-day) 공격 : 소프트웨어 결함이 공개된 첫날(0일)에 이미 악용되는 공격. 방어책이 준비되지 않아 위협도가 매우 높다.
2 스푸핑(Spoofing) : 공격자가 신뢰받는 주체로 위장하여 네트워크 트래픽, 이메일, IP 주소 등을 조작하는 행위. 주식·외환 시장에서 허위 정보를 심어 가격 변동을 유도하기도 한다.
향후 관전 포인트
마이크로소프트는 2016·2019 버전 패치를 “조속 공개”를 약속했으나, 패치 배포 전까지 최대 수십만 대의 서버가 여전히 노출돼 있는 상태다. FBI의 수사 결과에 따라 공격 배후 세력이 특정 국가 혹은 해커 단체로 지목될 경우 미국 정부의 사이버 제재·외교 갈등으로 확산될 가능성도 배제할 수 없다.
전문가들은 “공급망 네트워크를 포괄하는 거버넌스 체계를 재정립하지 않는 한, 제로데이 위협은 반복될 것”이라면서, 조직 내부뿐 아니라 협력사·외주사까지 아우르는 통합 보안이 필요하다고 강조했다.
독자 주의: 패치 적용 지연은 금전·평판 피해로 이어질 수 있다. IT 관리자·CISO는 마이크로소프트 보안 공지를 확인하고, 적용 여부를 즉시 검증해야 한다.
