최근 미국과 독일을 중심으로 정부 기관과 대형 기업이 사용하는 내부 협업 시스템이 정체불명의 해커 그룹에 의해 공격당하는 사건이 발생했습니다. 마이크로소프트(Microsoft, 이하 MS)의 대표적 협업 도구인 '셰어포인트(SharePoint)' 서버가 공격의 주요 대상이 되었고, 이로 인해 약 100개 기관이 직간접적인 피해를 입은 것으로 드러났습니다.
이번 사건은 단순한 해킹이 아닌, 보안업계에서 가장 위협적인 방식으로 분류되는 '제로데이(Zero-day)' 공격이었습니다. 제로데이란, 개발사조차 아직 인지하지 못한 보안 취약점을 악용해 보안 패치가 적용되기 전에 시스템을 침투하는 고도화된 공격 수법입니다. 이번 경우에도 미공개된 보안 결함을 통해 해커는 셰어포인트 서버에 침투한 뒤, 이른바 '백도어(backdoor)'를 심어 장기간 은밀하게 접근할 수 있는 통로를 마련한 것으로 분석됩니다.
셰어포인트, 공격의 주요 통로가 되다
셰어포인트는 전 세계 수많은 정부기관과 기업이 내부 문서 공유, 업무 자동화, 협업 관리 등에 사용하는 핵심 시스템입니다. 특히 온프레미스(자체 호스팅) 방식으로 운영되는 셰어포인트 서버는 인터넷을 통해 외부에서도 접근 가능하도록 설정된 경우가 많아 사이버 공격자에게는 매력적인 타깃이 됩니다.
이번 보안 사고는 지난 7월 19일 MS가 기업 고객들에게 보안 경고를 발령하면서 공식화됐습니다. MS는 해당 취약점에 대한 보안 패치를 이미 배포한 상태며, 모든 고객에게 즉시 업데이트를 적용할 것을 강력히 권고하고 있습니다.
100여 개 기관 피해… 정부 기관도 포함
네덜란드 사이버보안 전문업체 ‘아이시큐리티(iSecurit)’는 이 사건과 관련된 조사에서 약 100개의 피해 조직을 확인했다고 밝혔습니다. 특히 이들은 대부분 미국과 독일에 위치한 정부기관, 금융사, 회계법인, 병원, 그리고 일부 국제기구에 이르기까지 광범위한 분야를 아우르고 있는 것으로 알려졌습니다.
아이시큐리티는 "해킹 조직이 어떤 백도어를 추가로 심었는지는 아무도 확신할 수 없다"라며, 각 피해 조직이 위치한 국가의 관련 당국에 해당 사실을 통보했다고 설명했습니다.
한편, 사이버 위협 감시 전문단체인 ‘섀도우서버(Shadowserver) 재단’은 "현재 인터넷에 노출된 셰어포인트 서버는 8000개가 넘으며, 이 중 다수가 이미 해킹됐을 가능성이 있다"라고 경고했습니다. 서버 접근 권한이 탈취될 경우, 기업의 핵심 자료가 외부로 유출되거나 내부 시스템이 마비될 수 있어 그 피해 규모는 시간이 지남에 따라 더욱 커질 수 있습니다.
FBI도 긴급 대응 착수
미 연방수사국(FBI)도 상황의 심각성을 인지하고 즉각 대응에 착수했습니다. FBI는 "이번 공격을 면밀히 조사 중이며, 연방 및 민간 부문 파트너들과 긴밀히 협력하고 있다"고 밝혔습니다.
아직까지 이번 공격의 주체가 누구인지, 어떤 국가 또는 조직의 배후가 있는지는 밝혀지지 않았습니다. 그러나 정교한 제로데이 방식의 해킹 수법과 광범위한 표적 설정 등을 고려할 때, 단순한 범죄 집단이 아닌 고도의 조직력을 갖춘 국가 배후 사이버 조직의 소행일 가능성도 배제할 수 없습니다.
기업과 기관이 당장 해야 할 일
현재로서는 MS가 배포한 보안 패치를 빠르게 설치하는 것이 가장 중요한 조치입니다. 또한 기업과 기관은 셰어포인트 서버의 외부 접근 설정을 재점검하고, 이상 접근 기록이 있는지 로그 분석 등을 통해 잠재적 침투 흔적을 조사해야 합니다.
이번 사건은 내부 협업 도구조차 결코 완벽히 안전하지 않다는 점을 여실히 보여줍니다. 특히 정부 기관이나 인프라 기업 등 민감한 정보를 다루는 조직은 사이버보안에 대한 장기적이고 체계적인 투자가 필요하다는 경각심을 일깨우는 계기가 되고 있습니다.
셰어포인트 해킹 사태는 사이버 전장의 전선이 일상 속으로 얼마나 깊숙이 침투했는지를 보여주는 사례입니다. 내부 시스템을 노리는 은밀한 공격에 대비하지 못한다면, 언제든 정보유출, 서비스 중단, 금전적 손실과 같은 막대한 피해를 입을 수 있습니다. 보안은 이제 IT 부서만의 문제가 아니라, 조직 전체가 공유하고 대비해야 할 '경영 이슈'로 자리 잡아야 할 시점입니다.