마이크로소프트의 보안 관행이 또다시 도마에 올랐다. 최근 발생한 쉐어포인트 해킹 사건은 그간 반복된 보안 실패의 연장선에 있는 사례로, 마이크로소프트 역사상 최악의 사고로 평가되고 있다.

이번 공격은 미국 연방정부 주요 기관과 전 세계 기업을 대상으로 한 대규모 사이버 공격으로, 보안 취약점이 존재했던 대상은 온프레미스 쉐어포인트 서버였다. 클라우드 기반 쉐어포인트는 영향을 받지 않았다. 쉐어포인트는 조직의 웹사이트 구축, 파일 및 문서 관리, 협업을 위한 플랫폼으로 널리 사용되고 있으며, 아웃룩 이메일과 팀즈와도 연동된다. 그만큼 이번 공격의 파급력은 막대하다.

보안 기업 소포스에 따르면, 마이크로소프트는 해당 결함에 대한 패치를 배포했지만, 해커는 패치 이후에도 침투에 성공했으며, 추가 패치가 나왔을 때는 이미 수많은 조직의 내부망에 잠입한 상태였다고 전했다.

피해 규모는 수만 대의 서버에 달하며, 민간 기업뿐 아니라 국립보건원(NIH), 국가핵안보국(NNSA) 등 핵심 정부 기관도 포함됐다. 워싱턴포스트에 따르면, NNSA는 5,000기 핵탄두의 보안 유지, 방사능 유출 감시, 우발적 폭발 방지 등을 담당하는 핵심 기관이다. 이외에도 국토안보부(DHS) 산하 사이버안보·인프라보안국(CISA), 교통안보청(TSA), 세관국경보호국(CBP), 연방재난관리청(FEMA) 등도 해킹 피해를 입었다.

이러한 사태는 어제오늘 일이 아니다. 2024년, 국토안보부는 마이크로소프트의 보안 실패를 신랄하게 비판하는 보고서를 공개한 바 있다. 보고서는 마이크로소프트의 일련의 회피 가능한 실수가 중국 해커의 미국 고위 관리 계정 침입을 허용했다고 지적하며, 마이크로소프트의 보안이 “불충분하며 전면 개편이 필요하다”라고 결론지었다. 그럼에도 불구하고 1년이 지난 지금까지 변화는 없었다.

이번 공격에서 사용된 방식은 다음과 같다. CISA에 따르면, 해커는 쉐어포인트 서버에 백도어인 ‘툴셸(ToolShell)’을 설치해 콘텐츠에 전면 접근하고, 원격 명령 실행까지 가능하도록 만들었다. 유럽 사이버보안 업체 아이시큐리티(Eye Security)의 공식 블로그에 따르면, 해커는 ASP.NET 머신 키도 탈취했으며, 이는 이후 추가 공격에 재활용될 수 있다. 단순한 취약점 패치만으로는 충분하지 않으며, 모든 서버에서 머신 키를 교체하고 인터넷 정보 서비스(IIS)를 재시작해야 한다.

마이크로소프트는 이번 공격이 중국 정부와 연계된 해커 조직인 리넨 타이푼, 바이올렛 타이푼, 스톰-2603의 소행이라고 밝혔다. 이 중 스톰-2603은 이번 취약점을 이용해 랜섬웨어를 배포한 것으로 전해졌다.

보안 업계는 마이크로소프트가 해당 취약점을 신속히 패치하고, 해커의 접근 흔적 제거까지 철저히 도왔더라면 피해를 줄일 수 있었다고 평가했다. 이번 공격은 단일 취약점이 아닌, 두 가지 취약점이 결합돼 있었다는 점에서 특히 위험성이 높다. 하나는 쉐어포인트 침투용이고, 다른 하나는 머신 키를 탈취해 이후에도 악용할 수 있는 길을 열어준다.

비글 시큐리티의 수닐 바르키 자문위원은 “사이버보안에서는 단 하나의 취약점도 치명적일 수 있지만, 이처럼 여러 취약점이 결합되면 재앙 수준의 결과로 이어진다”며, “이는 단순한 기술적 실수가 아닌, 개별 요소의 결합 효과를 인식하지 못한 전략적 실패”라고 지적했다.

향후 마이크로소프트의 대응은?

중국 스파이의 고위 미국 정부 인사 계정 침투 사건 이후, 상원의원 에릭 슈미트와 론 와이든은 미국 국방부에 마이크로소프트 의존도를 줄이라고 촉구하는 서한을 보낸 바 있다. 하지만 미 국방부는 별다른 조치를 취하지 않았다. 이번 사태에 대해서는 아직 의회 차원의 위협조차 나오지 않았다. 일부에서는 민주당이 정치적 갈등으로 인해 집중하지 못하고 있고, 공화당은 트럼프의 의중에만 따라 움직이는 상황이라고 분석한다.

하지만 트럼프가 향후 마이크로소프트에 대한 지렛대로 이번 보안 실패를 활용할 가능성도 배제할 수 없다. 따라서 마이크로소프트는 늦기 전에 보안 체계를 정비할 필요가 있다.
dl-itworldkorea@foundryco.com