"전세계 100개 기관 타격"…MS 셰어포인트에 '제로데이' 공격

美 정부기관 표적…MS "긴급 패치 배포, 즉시 설치 권고"

마이크로소프트 시큐리티 ⓒ AFP=뉴스1

(서울=뉴스1) 김민석 기자 = 마이크로소프트(MS)는 기업 내부 협업 도구인 셰어포인트(SharePoint)를 겨냥한 해킹 공격이 발생했다며 긴급 보안 업데이트를 권고했다.

셰어포인트는 미국 정부 기관·기업들이 내부 문서 공유에 사용하는 MS의 서버 소프트웨어다.

22일 IT 업계와 외신에 따르면 MS는 19일(현지시간) 셰어포인트 자체 호스팅 버전 서버가 공격받았다며 보안 패치를 배포했다.

MS는 △미국 사이버·인프라보안국(CISA) △미국 국방부(DOD) △사이버방어사령부 △글로벌 파트너들과 긴밀히 협력하고 있다고 말했다.

이어 직접 운영하는 클라우드 기반 셰어포인트와 MS 365 등 클라우드 서버는 공격을 받지 않았다고 전했다.

전문가들은 이번 공격이 'CVE-2025-53770'과 'CVE-2025-53771'로 명명된 제로데이 취약점을 이용한 것으로 분석했다.

공격자들은 '툴셸'(ToolShell)이라는 공격 체인을 통해 인증 없이 셰어포인트 서버에 침투한 후 악성 웹셸을 설치하고 암호화 키를 탈취했다. 이들은 'spinstall0.aspx'라는 악성 파일을 업로드해 서버의 기계키(MachineKey) 구성을 추출한 것으로 전해졌다.

미 보안업체 팰로앨토네트워크는 "보안 패치가 나오기 전 세계적으로 수천 대의 셰어포인트 서버를 겨냥한 시도가 관측됐다"며 "이미 다수의 조직이 피해를 봤다"고 우려했다.

바이샤 버나드 아이시큐리티(네덜란드 보안업체) 수석 해커는 "약 100개 피해 조직을 확인했다"며 "공격 사실이 알려지기 전 수치로 이후 다른 해커들이 백도어를 심었을 가능성도 배제할 수 없다"고 경고했다.

워싱턴포스트에 따르면 최소 2개 미 연방정부 기관과 주정부 기관, 대학, 에너지 회사, 아시아의 한 통신사가 피해를 입었다.

찰스 카르마칼 구글 클라우드 맨디언트 컨설팅 최고기술책임자(CTO)는 "인터넷에 노출된 온프레미스 마이크로소프트 쉐어포인트를 사용하는 조직은 즉각적인 조처를 해야 한다"며 "패치만 적용하면 끝나는 상황이 아닌 만큼 조직은 즉시 감염 여부를 확인하고 패치 적용을 포함한 완화 조치를 취해야 한다"고 말했다.

ideaed@news1.kr

<용어설명>

■ 제로데이 취약점
제로데이 취약점(Zero-Day Vulnerability)은 소프트웨어·하드웨어·네트워크 장비 등에서 발견되었지만 해당 제품 개발자나 일반 대중에게 아직 알려지지 않은 보안상의 결함을 의미한다. 이 취약점은 공식적으로 공개되거나 패치가 제공되기 전 단계로 방어책이 마련되지 않은 보안 위협 요소다.

■ 툴셸
툴셸(ToolShell)은 2025년 7월 마이크로소프트 셰어포인트 서버에서 발견된 심각한 보안 취약점으로 공격자들이 인증 과정 없이 원격에서 악의적인 코드를 실행할 수 있는 공격 체인을 의미한다.