MS ‘셰어포인트’ 제로데이 공격에 세계 100여곳 피해

온프레미스 버전에만 존재한 취약점 노려
전 세계 9000개 이상 서버가 잠재적 표적
구글 “일부는 중국 배후 조직 소행 추정”

아이클릭아트 자료 이미지

마이크로소프트(MS)의 협업 소프트웨어(SW)를 겨냥한 대규모 사이버공격으로 미국을 비롯한 전 세계 100여개 조직의 시스템이 침해를 당했다고 로이터통신이 21일(이하 현지시간) 보도했다.

전날 MS는 기업·기관 내 문서공유 등에 쓰이는 ‘셰어포인트’(SharePoint) 솔루션 대상으로 진행 중인 사이버공격에 대한 공지를 띄웠다. 조직 내 서버로 호스팅되는 구축형(온프레미스) 버전에만 있는 제로데이 취약점이 악용됐다. 한국인터넷진흥원(KISA)에 따르면 △MS 셰어포인트 서버 서브스크립션 에디션 △MS 셰어포인트 서버 2019 △MS 셰어포인트 엔터프라이즈 서버 2016 등이 해당된다. MS 클라우드상 셰어포인트 인스턴스엔 침해가 발생하지 않았다.

제로데이 공격은 기존에 알려지지 않았던 보안취약점을 노리는 것이라 빠른 탐지·대응이 어렵다. MS는 공격자가 이번에 발견된 원격 코드 실행 취약점을 악용한 스푸핑으로 피해 조직의 시스템에 백도어를 심을 수 있다고 공지를 통해 경고했다. 또한, 보안 업데이트를 발표하며 해당 고객들이 빠르게 적용할 것을 촉구했다.

네덜란드 보안기업 아이시큐리티(Eye Security)의 바이샤 버나드 수석해커는 지난 18일 섀도우서버(Shadowserver)재단과 실시한 인터넷 스캔을 통해 약 100곳의 해킹 피해를 확인했다고 로이터에 밝혔다. 그는 취약점이 세간에 알려지기 전에 얻은 결과라며 “이후 다른 공격자들도 백도어를 심으려고 또 어떤 짓을 벌였을지 알 수 없다”고 말했다. 나아가 섀도우서버재단은 세계적으로 9000개 이상 셰어포인트 서버가 잠재적 표적이 될 수 있다고도 경고했다.

구글은 이번 공격 중 최소 일부가 중국 배후 해커조직의 소행인 것으로 파악하고 있다. 앞서 구글 위협인텔리전스(TI) 그룹은 해당 취약점을 악용해 웹셸을 설치하고 서버에서 암호화된 기밀을 유출하는 위협 행위자를 확인했다고 발표했다. 이를 통해 인증되지 않은 액세스가 지속됨으로써 피해 조직에 심각한 위험을 초래할 수 있다고 지적했다.

찰스 카르마칼 구글클라우드 맨디언트 컨설팅 최고기술책임자(CTO)는 이날 “MS의 취약점을 초기 악용한 위협 행위자 중 적어도 하나는 중국과 연계돼있을 것으로 추정된다. 중요한 점은 현재 다수의 공격자들이 이 취약점을 적극적으로 악용하고 있다는 것”이라며 “다양한 동기를 가진 다른 위협 행위자들도 이 취약점을 악용할 거라 이런 공격 추세는 계속될 것으로 예상된다”고 전했다.

한편 전날 미 연방수사국(FBI)은 이번 공격에 대해 인지하고 있으며 민간 파트너들과 협력하고 있다고 밝혔지만 세부사항은 공유하지 않았다. MS도 미 국토안보부 산하 사이버안보·인프라보호청(CISA), 미 국방부 사이버방버사령부 및 주요 보안 파트너들과 협력하고 있다고 알렸다. 또 영국 국가사이버보안센터(NCSC)는 영국 내 일부 조직이 표적이 된 것을 파악했다고 발표했다.

팽동현 기자 dhp@dt.co.kr