글로벌다이렉트뉴스(GDN) = 종합보도
미국 국가핵안보국(NNSA)을 포함한 전 세계 수백 개 기관이 중국 정부 연계 해커들의 마이크로소프트 SharePoint 제로데이 취약점 공격으로 침해당했다고 22일(현지시간) 확인됐다. 이번 사건은 핵심 국가 인프라의 사이버 보안 취약성을 다시 한번 드러낸 심각한 보안 사고로 평가된다.
사건 개요와 공격 현황
이번 공격은 7월 7일부터 시작된 것으로 확인됐다. 마이크로소프트에 따르면, 중국 국가지원 해킹 그룹인 'Linen Typhoon'과 'Violet Typhoon', 그리고 중국 기반 위협 행위자 'Storm-2603'이 7월 7일부터 SharePoint 취약점을 악용한 공격을 시도했다고 밝혔다.
7월 18일 금요일, 에너지부 대변인은 "마이크로소프트 SharePoint 제로데이 취약점 악용이 에너지부에 영향을 미치기 시작했다"고 발표했다. 미국의 핵무기 캐시를 유지·설계하는 책임을 지는 기관인 국가핵안보국(NNSA)이 마이크로소프트 SharePoint 문서 관리 소프트웨어 해킹으로 침해당한 기관 중 하나라고 확인됐다.
사안에 정통한 소식통은 블룸버그에 "민감하거나 기밀 정보가 유출된 것으로 알려지지 않았다"고 전했다.
공격 방식과 보안 허점
이번 공격에 사용된 보안 허점은 'ToolShell'이라고 불리며, 보안 전문가들이 매기는 위험도 점수에서 10점 만점에 9.8점을 받을 정도로 매우 심각한 수준이다. 보안업체 체크포인트에 따르면 7월 7일부터 이 허점을 이용한 공격이 시작됐으며, 북미와 서유럽의 정부기관, 통신회사, 소프트웨어 회사들에서 수십 건의 침입 시도가 확인됐다.
문제는 마이크로소프트가 지난 7월 정기 보안 업데이트에서 비슷한 허점을 수정했다고 발표했지만, 실제로는 완전히 막지 못했다는 점이다. 해커들은 마이크로소프트가 놓친 새로운 통로를 발견해 여전히 시스템에 침입할 수 있었다.
해커들의 공격 방식은 다음과 같다. 먼저 SharePoint 시스템의 특정 페이지에 가짜 요청을 보내 마치 정당한 사용자인 것처럼 속인다. 그 다음 시스템이 처리하는 데이터에 악성 코드를 숨겨 넣어 서버 내부에 '백도어'라고 불리는 몰래 출입구를 만든다. 이를 통해 언제든지 다시 침입할 수 있게 되는 것이다.
국제적 대응과 복구 현황
7월 20일 일요일, 미국 사이버보안·인프라보안청(CISA)이 CVE-2025-53770을 알려진 악용 취약점(KEV) 목록에 추가했다. CISA는 모든 미국 연방 민간 행정부(FCEB) 기관에 잠재적으로 영향받는 시스템을 식별하고 7월 21일까지 완화 조치를 적용하도록 지시했다.
마이크로소프트는 CVE-2025-53770과 CVE-2025-53771에 영향받는 모든 지원되는 SharePoint 버전의 고객을 완전히 보호하는 보안 업데이트를 출시했다고 발표했다. 이러한 취약점은 온프레미스 SharePoint 서버에만 적용되며, Microsoft 365의 SharePoint Online은 영향받지 않는다고 강조했다.
공격 그룹 특성과 배경
마이크로소프트에 따르면, 2012년부터 활동해온 Linen Typhoon은 정부, 국방, 전략 계획, 인권 관련 조직을 주요 대상으로 지적 재산권 탈취에 집중하고 있다. 2015년부터 활동한 Violet Typhoon은 전직 정부·군사 인력, NGO, 싱크탱크, 고등교육, 미디어, 금융, 보건 분야를 대상으로 한 간첩 활동에 전념하고 있다.
워싱턴포스트는 미국, 캐나다, 호주 정부가 SharePoint 서버 침해를 조사하고 있다고 보도했으며, 수만 개의 서버가 위험에 처해 있다고 전했다.
전문가 분석과 향후 전망
보안업체 Eye Security는 50건 이상의 침해를 추적했으며, 여기에는 대형 주의 에너지 회사와 여러 유럽 정부 기관이 포함됐다고 밝혔다. Eye Security는 이 취약점이 해커들에게 "꿈같은" 존재라고 평가하며, 랜섬웨어 공격자들을 포함한 해커들이 SharePoint 서버에 접근해 사용자나 서비스를 가장할 수 있는 키를 탈취할 수 있다고 경고했다.
GDN VIEWPOINT
이번 사건은 국가 핵심 인프라의 디지털 취약성이 현실적 위협으로 구현될 수 있음을 명확히 보여준다. 특히 온프레미스 기반의 레거시 시스템을 운영하는 핵심 기관들의 보안 체계가 얼마나 취약한지를 드러냈다. 단순한 보복 위협보다는 방어 우위 확보를 통한 안정성 기반의 억지 전략이 더욱 중요해졌다.
권고사항과 대응 방향
전문가들은 온프레미스 SharePoint를 운영하는 조직들에게 즉시 다음과 같은 조치를 취할 것을 권고하고 있다:
- 긴급 패치 적용: 마이크로소프트가 제공한 최신 보안 업데이트 즉시 적용
- 침해 평가 실시: 특히 외부에 노출된 SharePoint 시스템에 대한 전면적 침해 조사
- 제로트러스트 전환: 레거시 시스템의 위험을 줄이고 클라우드 기반 솔루션으로의 전환 가속화
- 위협 인텔리전스 공유: 국제적 차원에서의 사이버 위협 정보 공유 체계 강화
이번 사건은 국가 안보와 직결된 핵심 인프라가 사이버 공격에 얼마나 취약한지를 다시 한번 경고하는 동시에, 체계적이고 선제적인 사이버 보안 전략의 필요성을 부각시켰다.
){kind=small}
){kind=small}
){kind=small}
){kind=small}