마이크로소프트(MS)의 문서 관리 소프트웨어 ‘쉐어포인트’에서 발견된 보안 취약점을 악용해, 해커들이 각국 정부기관과 민간 기업을 무차별 침투한 것으로 21일자(현지시간) 블룸버그 등 외신들이 보도했다. 해당 공격은 유럽과 중동, 미국, 아시아, 남미까지 전방위적으로 확산되고 있으며, 해커들은 민감한 정보를 탈취한 정황까지 포착됐다.

MS는 지난 주말 쉐어포인트 서버의 보안 결함을 수정하는 긴급 패치를 배포했으며, 추가적인 보완 조치도 진행 중이라고 밝혔다. 보안업체 크라우드스트라이크(CrowdStrike)와 구글 산하 맨디언트(Mandiant)에 따르면, 이번 취약점을 악용한 공격은 하나의 조직이 아닌 다수의 해커 그룹에 의해 동시에 감행되고 있는 것으로 파악된다.

블룸버그가 입수한 보안 보고서에 따르면, 유럽과 중동의 국가 정부는 이미 해킹 피해를 입은 것으로 알려졌다. 미국 내에서도 교육부, 플로리다주 세무청, 로드아일랜드주 의회 등 주요 공공기관이 뚫린 것으로 전해졌다. 플로리다 세무청의 대변인은 “현재 여러 정부 차원에서 이번 사안을 조사 중”이라면서도 “사용 중인 소프트웨어에 대해서는 공개적으로 언급하지 않는다”고 밝혔다.

미국 내 보건의료기관과 동남아시아의 한 국립대학도 해킹 피해를 입은 것으로 보인다. 이들을 포함해 브라질, 캐나다, 인도네시아, 스페인, 남아프리카공화국, 스위스, 영국, 미국 등의 쉐어포인트 서버들이 집중적으로 노출돼 있는 상황이다. 보안업체는 민감성을 이유로 익명을 요청했다.

해커들은 침투한 시스템에서 사용자 이름과 비밀번호는 물론, 해시값(암호화된 식별값)과 인증 토큰 등 로그인 정보까지 훔친 것으로 파악된다. 팔로알토네트웍스의 사이버 위협 분석 부문 책임자인 마이클 시코르스키는 “이는 극히 위중한 위협”이라며 “쉐어포인트는 MS의 오피스, 팀즈, 원드라이브, 아웃룩 등 핵심 플랫폼들과 깊숙이 연결돼 있어, 일단 하나가 뚫리면 전체 네트워크가 무방비 상태로 노출된다”고 지적했다.

MS는 자체 데이터센터가 아닌, 고객사 자체 서버에 설치된 쉐어포인트 시스템이 주된 공격 대상이라고 설명했다. 이에 따라, 피해는 온프레미스 환경을 운영 중인 일부 고객사에 집중될 수 있다.

사이버보안업체 센시스(Censys)의 연구원 실라스 커틀러는 “전 세계적으로 최소 1만 개 이상의 기업이 이번 취약점에 노출된 것으로 추산된다”며 “특히 미국의 피해 규모가 가장 크고, 네덜란드 영국 캐나다 등이 뒤를 잇는다”고 밝혔다. 그는 “랜섬웨어 공격자들에게는 꿈의 시나리오”라고 말했다.

미국 내 지방정부와 주정부 간 사이버 보안 정보를 공유하는 ‘인터넷 보안 센터(CISA)’에 따르면, 최소 1100여개의 쉐어포인트 서버가 이번 보안 결함의 영향을 받는 것으로 확인됐다. 이 가운데 100여 개는 실제 해킹 피해를 입었을 가능성이 크다고 밝혔다.

워싱턴포스트는 이번 해킹이 미국 연방·주정부, 대학교, 에너지 기업, 아시아 통신사까지 광범위하게 영향을 미쳤다고 보도했다.

이번 취약점은 네덜란드 보안업체 ‘아이 시큐리티(Eye Security)’에 의해 7월 18일 처음 포착됐으며, 공격자들은 패치가 적용된 이후에도 시스템에 접근할 수 있도록 백도어나 조작된 구성요소를 심어두고 있다고 밝혔다. 이른바 ‘툴셸(ToolShell)’로 명명된 해당 쉐어포인트 취약점은 지난 5월 베를린의 한 사이버보안 콘퍼런스에서 처음 공개됐으며, MS는 7월 초 보안 패치를 배포했으나 이후 유사한 결함을 통해 해커들이 우회 침투한 것으로 드러났다.

아이 시큐리티의 공동 창업자 바이샤 버나드는 “8000개의 쉐어포인트서버를 스캔한 결과, 최소 50개 서버가 실제로 침해당했다”며 “정부기관은 물론, 다국적 대기업까지 포함돼 있다”고 밝혔다. 피해 조직은 북미, 남미, EU, 남아공, 호주 등 전 세계적으로 분포돼 있는 것으로 전해졌다.

MS는 기존에 발표한 내용 외에 추가 논평을 거부했다. 한편 회사는 최근 몇 년간 반복된 보안 사고로 비판에 직면해 있으며, 지난해 미국 정부 보고서에서도 ‘보안 문화에 대한 시급한 개혁이 필요하다’는 지적을 받은 바 있다. MS는 이후 미국 정부 출신 임원을 영입하고, 고위 경영진 중심의 주간 보안회의를 도입하는 등 대응에 나서고 있다.

이주영 기자 123@naeil.com