MS '셰어포인트' 해킹 여파…"美 정부·에너지·대학 줄줄이 뚫렸다"
마이크로소프트의 협업 소프트웨어(SW)가 사이버 공격을 받은 것으로 전해졌다. 21일 워싱턴포스트(WP) 등 외신에 따르면 해커가 마이크로소프트의 '셰어포인트' 온프레미스 서버에 존재하는 제로데이 취약점을 악용해 미국 정부와 기업, 대학을 공격한 정황이 포착됐다. 피해 범위는 북미뿐 아니라 유럽, 아시아 전역인 것으로 알려졌다. 구체적으로는 미국 연방 및 주 정부 기관, 에너지 기업, 대학, 통신사 등이다. 다만 클라우드 서비스는 제외된 것으로 전해졌다. 현재 미국 국토안보부 산하 사이버보안 인프라보호국(CISA)과 캐나다·호주 정부가 공동 조사에 나선 상태다. 마이크로소프트는 한 버전에 대해서만 긴급 패치를 배포했다. 나머지 버전은 여전히 취약한 상태인 것으로 알려졌다. 이번 해킹은 셰어포인트를 자체 서버로 운용하는 기관만을 노린 것이 특징이다. 해커들은 서버에 침투한 뒤 암호화 키를 탈취했고, 이를 통해 향후에도 재접근이 가능한 상태를 만든 것으로 분석됐다. 공격 경로는 아웃룩, 팀즈 등 핵심 서비스와 연동된 내부 셰어포인트 서버로 이어진 것으로 확인됐다. 외부 이메일 탈취와 비밀번호 수집 가능성도 제기됐다. 삭제까지 이뤄진 사례는 드물지만 보안 키 탈취는 추가 침투 가능성도 있는 상태다. 이번 사건은 마이크로소프트가 이달 초 패치를 배포한 직후 발생했다. 해커들이 유사한 취약점을 분석해 새로운 공격 방식을 개발한 것이다. 현재 구글 위협 인텔리전스 그룹은 해당 취약점을 악용해 악성 스크립트 파일인 웹셸을 설치하고, 피해 서버에서 암호화된 기밀을 유출하는 위협 행위자를 확인했다. 이를 통해 인증되지 않은 액세스가 지속돼 피해 조직에 심각한 위험을 초래할 수 있다고 경고했다. 찰스 카르마칼 구글클라우드 맨디언트 컨설팅 최고기술책임자(CTO)는 "단순히 패치 적용으로 대응을 끝내선 안 된다"며 "모든 기업과 기관은 감염 여부를 확인하고 조치를 취해야 한다"고 당부했다.
