마이크로소프트가 중국과 연관된 해킹 그룹들이 SharePoint 서버의 제로데이 취약점을 악용해 전 세계 정부기관과 기업을 대상으로 대규모 사이버 공격을 감행했다고 공식 발표했다. 이번 공격은 7월 7일부터 시작되어 현재까지 지속되고 있으며, 수천 개 조직이 피해를 입은 것으로 파악되고 있다.
취약점의 심각성과 영향 범위
이번에 발견된 SharePoint 취약점은 CVE-2025-53770과 CVE-2025-53771로 분류되며, 온프레미스 SharePoint 서버에만 영향을 미친다. 다만, Microsoft 365의 SharePoint Online은 이번 공격에 영향을 받지 않는 것으로 확인됐다.
네덜란드 사이버보안 업체 Eye Security는 이미 최소 54개 조직이 침해당했다고 보고했으며, 이 중에는 다국적 기업과 국가 정부 기관들이 포함되어 있다. 보안 전문가들은 공격자들이 SharePoint 서버에 침입한 후 민감한 개인키를 탈취하고 원격으로 악성코드를 설치할 수 있다고 경고했다.
미국 사이버보안 및 인프라 보안청(CISA)은 이번 취약점이 시스템에 대한 무단 접근을 허용하고 SharePoint 콘텐츠에 대한 완전한 접근 권한을 부여한다며, 공격의 규모와 결과가 여전히 평가 중이지만 조직들에게 위험을 초래한다고 발표했다.
마이크로소프트는 이번 공격에 세 개의 중국 연계 해킹 그룹이 관여했다고 밝혔다. Linen Typhoon은 주로 지적재산권 절도에 집중하는 그룹으로, 2012년부터 활동해온 것으로 알려져 있다. 이들은 국방, 정부, 인권 및 전략기획 분야 조직들을 주요 타겟으로 삼아왔다.
Violet Typhoon은 첩보 활동 목적으로 개인 데이터를 획득하는 데 특화된 그룹이다. 이 조직은 10년간 활동하며 미국, 유럽, 동아시아의 전직 군인 및 정부 관계자, NGO, 대학, 미디어 회사, 싱크탱크, 금융회사 등을 표적으로 삼아왔다.
Storm-2603은 마이크로소프트가 상대적으로 정보가 적다고 밝힌 세 번째 그룹으로, 과거 랜섬웨어 사건과 연관성이 있는 것으로 파악됐다.
체크포인트 리서치는 7월 7일부터 첫 번째 공격 징후를 발견했으며, 공격자들이 북미와 서유럽의 정부, 통신, 소프트웨어 분야 수십 개 기관을 표적으로 삼았다고 보고했다. 특히 7월 18일과 19일에 공격이 집중되었으며, 이는 여러 보안업체들이 공통으로 확인한 사실이다.
공격 수법과 기술적 세부사항
이번 공격은 “ToolShell“이라고 명명된 제로데이 익스플로잇 체인을 사용했다. 공격자들은 인터넷에 노출된 SharePoint 서버를 대상으로 삼았으며, 성공적으로 침입한 후에는 SharePoint 서버 ASP.NET 머신 키를 탈취하여 지속적인 접근 권한을 확보했다.
보안 전문가들은 SharePoint가 Outlook, Teams, OneDrive와 같은 핵심 서비스와 연결되어 있어, 한 번의 침해가 빠르게 데이터 절도, 비밀번호 수집, 네트워크 전반으로의 측면 이동으로 이어질 수 있다고 경고했다.
마이크로소프트의 대응
마이크로소프트는 7월 19일 긴급 대역 외 보안 업데이트를 발표했다. 토요일에 처음 “활성 공격”을 인지했다고 발표한 후, 일요일에 SharePoint Server 2019와 SharePoint Server Subscription Edition에 대한 수정 지침을 업데이트했다.
마이크로소프트는 고객들에게 다음과 같은 즉각적인 대응책을 권고했다.
- 지원되는 온프레미스 SharePoint Server 버전 사용
- 최신 보안 업데이트 즉시 적용
- Microsoft Defender for Endpoint 또는 동등한 위협 솔루션 배포
- 적절한 안티바이러스 솔루션과 함께 안티맬웨어 스캔 인터페이스(AMSI) 활성화 및 올바른 구성
- SharePoint Server ASP.NET 머신 키 교체
로이터 통신의 보도에 따르면, 이번 취약점은 5월 베를린에서 열린 Pwn2Own 해킹 대회에서 처음 시연되었으나, 마이크로소프트가 7월에 릴리스한 보안 패치가 결함을 완전히 수정하지 못했다는 점이 드러났다.
이는 마이크로소프트가 취약점의 존재를 알고 있었음에도 불구하고 효과적인 패치를 제공하지 못했다는 비판을 받고 있는 부분이다. 해당 대회에서는 이전에 공개되지 않은 디지털 약점을 활용하는 “제로데이” 익스플로잇에 대해 10만 달러의 상금을 제공했다.
보안 전문가들은 이번 사건이 단순히 하나의 취약점 악용을 넘어서 국가 간 사이버 전쟁의 새로운 양상을 보여준다고 분석하고 있다. 특히 중국 연계 해킹 그룹들이 체계적이고 장기간에 걸쳐 공격을 준비하고 실행했다는 점에서 우려를 표하고 있다.