Microsoft Sharepoint 해킹, 미국·주정부·기업 등 전 세계 타격

(washingtonpost.com)

5P by GN⁺ 16시간전 | ★ favorite | 댓글 1개

Microsoft SharePoint 서버의 심각한 취약점이 악용되어 미국 연방·주정부, 대학, 에너지 기업, 아시아 통신사 등 전 세계 기관과 기업이 해킹 공격을 받음
이번 해킹은 패치가 제공되지 않은 '제로데이' 취약점을 겨냥해, 수만 대의 SharePoint 서버가 위험에 노출됨. Microsoft는 일부 버전에만 패치를 제공했고, 나머지 버전은 여전히 취약함
공격자는 서버에 저장된 민감 데이터 탈취, 비밀번호 수집, 재침투를 위한 키 획득 등 치명적 피해를 야기함. 일부는 정부 정보공개용 문서 저장소까지 "납치"되어 접근이 차단됨
피해 범위는 미국뿐 아니라 유럽, 아시아, 남미 등 세계 각국에 걸침. FBI, CISA 등 각국 기관이 긴급 대응 및 정보 공유에 나섬
Microsoft는 최근 수년간 반복된 보안 사고로 비판을 받아왔으며, 이번 사태 역시 패치의 지연, 취약한 보안 체계, 공격자 재침투 가능성 등 구조적 한계가 재조명됨

Microsoft SharePoint 서버 해킹

알 수 없는 공격자가 Microsoft의 협업 소프트웨어인 SharePoint의 미공개 보안 취약점을 이용해, 미국 연방·주정부, 대학, 에너지 기업, 아시아 통신사 등 전 세계적으로 기관과 기업을 공격함
이번 공격은 제로데이(0-day) 취약점을 노린 것으로, 서버 내 데이터 유출·탈취, 암호화 키 획득 등 다양한 피해가 발생함

취약점 및 패치 현황

전문가에 따르면 수만 대 SharePoint 서버가 위험에 처해 있음. 공격 대상은 온프레미스 서버에 한정되며, 클라우드 기반(Microsoft 365 등)은 영향받지 않음
Microsoft는 일요일 한 버전에 대해 패치를 발표했으나, 2개 버전은 아직 미패치 상태. 피해 기관은 자체적 대응과 임시 조치를 취하는 중임
공격자는 패치 이후에도 획득한 키를 통해 재침입이 가능해, 신속한 패치만으로는 피해 복구가 어렵다는 점이 강조됨

공격 및 피해 범위

CrowdStrike, Palo Alto Networks, Eye Security 등 다수 보안업체가 수십 개 이상의 기관 및 기업이 침해된 것을 확인함
피해 기관은 미국 연방·주정부, 유럽 정부기관, 대학, 에너지 회사, 아시아 통신사 등 다양함
한 주정부는 주민 안내용 공식 문서 저장소가 해킹되어 접근 불가 상태에 놓였으며, 일부에서는 데이터를 완전히 삭제하는 "와이퍼(wiper) 공격" 우려도 제기됨

보안 업계·정부 대응

FBI, CISA 등 미국 정부기관이 즉각적인 조사와 공동 대응을 진행 중임
CISA는 민간 정보보안사로부터 신고를 받은 즉시 Microsoft와 협력, 패치 개발을 독려함
Center for Internet Security 등은 약 100개 기관에 긴급 취약성 알림을 발송했으며, 정보공유와 사고대응 인력이 예산 삭감으로 대폭 감소해 대응에 어려움을 겪음

Microsoft와 반복되는 보안 논란

Microsoft는 최근 2년간 연이은 해킹 사건(예: 2023년 중국발 정부 이메일 해킹, 자사 네트워크 침해, 클라우드 프로그래밍 오류 등)으로 공공기관·정부 고객의 신뢰 저하를 겪음
이번 해킹은 패치 지연, 취약점 유사점 미반영, 반복적 허술한 보안 관리 등 구조적 한계를 다시 드러냄
미 국방부 클라우드 사업 지원 인력 중 중국 기반 엔지니어 활용 논란까지 겹쳐, 공공 부문 Microsoft 의존에 대한 우려가 고조됨

결론 및 전망

이번 사건은 대규모 협업 솔루션의 단일 취약점이 전 세계 수많은 기관과 기업에 심각한 파급효과를 낼 수 있음을 보여줌
공격자는 획득한 암호화 키 등으로 패치 후에도 장기간 침투 가능성이 커, 단순 패치 이외의 근본적 보안 강화가 필요함
보안 인력·예산 축소, IT 거버넌스 부재 등이 공공 부문 사이버위협 대응의 구조적 취약점으로 지적됨

▲

GN⁺ 16시간전 [-]

Hacker News 의견

CISA에서 보안 취약점이 있는 조직들은 공식 패치가 나올 때까지 해당 제품을 인터넷에서 분리하라고 권고함, 그런데 직접 SharePoint를 온프레미스로 호스팅하는 데다 인터넷에 노출하는 조직들이 있다는 점이 흥미롭다고 생각함, 이런 조직들은 대부분 VPN을 강제하는 곳일 거라고 예상했음
- CISA가 과거보다 실질적인 인재를 잃고 정치적 순응만을 중시하는 집단이 되어버린 점에 아쉬움을 느낌, 최근 애리조나가 이란 해커에게 공격받았으나 도움을 요청하지 않은 사례 공유함 https://azcentral.com/story/news/…">기사 링크, 광범위한 공격을 조사하는 CISA 같은 조직이 정말 중요하고, 지금은 정치적 기준에 휘둘리고 있다는 점에 우려를 표함 Techdirt 링크
- 베스트 프랙티스는 네트워크가 이미 침해됐다고 가정하는 것임, VPN도 완벽한 보안 보증을 주지 않음, 대규모 조직일수록 디바이스를 잃거나 관리가 어려우니 무조건 ‘제로 트러스트’ 접근 방식과 어디에서나 접속 가능함이 중요함, 조직은 데이터를 통제하면서도 업무 유연성을 원함
- SharePoint는 원래 공개 웹사이트 운영용으로도 적극 홍보됐음, 클라우드 이전에는 Microsoft 영업사원이 사무실에 와서 최신 SharePoint로 인해 Wordpress가 사라질 거라고도 홍보함, 이런 관성 때문에 여전히 예전 방식에 머무는 조직이 많음
- SharePoint, Exchange 등 내부 서비스를 pre-auth reverse proxy 뒤에서 운영하는 것도 드문 일은 아님
- 과거 Microsoft가 SharePoint를 인트라넷 용도로 많이 마케팅했기 때문에 많은 기관에서 도입했음, SharePoint 2019 서비스 종료로 인해 대체 시스템을 빠르게 구축하려는 조직들이 많음
Principal Engineer Copilot이 이런 취약점을 막지 못한 이유가 궁금함
- Copilot이 해당 직함을 얻게 되기 전부터 취약점이 존재했을 수 있음, 인턴 시절에 들어온 문제일 수도 있음
- 해커, 고객, 직원, 관리자 등 모두가 비슷함, 몇 번이고 중국과 자체 고객, 그리고 중국 등에 근거를 둔 관리자나 직원에게 해킹당함, 회사 전체가 이미 침투됐다고 생각함, PE copilot은 오히려 공격을 돕는 쪽일 수 있다는 불신을 표현함
- 해커들도 Copilot을 사용할 수 있으니 결국 한 쪽이 이길 수밖에 없음(?)
SharePoint에 시간을 너무 많이 보냈음, 인터넷에 노출시키는 건 절대 좋은 선택이 아니라고 느낌, 어느 버전부터는 공개 웹서버 용도로도 프로모션이 이뤄진 것 같으나 오히려 모든 인스턴스를 네트워크상에서 분리해서 설치함
- 2010년대 초반에 Microsoft가 SharePoint를 인터넷 사이트 솔루션으로 적극 마케팅했었고, 한때 BMW나 Ferrari 같은 유럽 자동차 메이커가 글로벌 마케팅 사이트로 사용했던 사례도 봤음, 다만 가격이 사이트당 4만 달러 등 너무 비싸서 오래 지속되진 않았음
- 여러 해 전 잠깐 SharePoint를 썼을 때, 공개 웹호스팅이 SharePoint의 본래 목적이라고 생각했음
펜타곤 직원들 사이에서 “미군을 무너뜨리고 싶으면 SharePoint만 없애면 된다”라는 농담이 늘 오가는 것을 많이 들었음, 군대 연설 시 항상 등장하는 유머임
- 한때 조직 내에 SharePoint를 많이 썼음
내 실시간 보안 경고 피드가 메이저 언론보다 먼저 이 소식을 잡아냄 ZeroDayPublishing 피드
- 혹시 RSS 피드도 제공하는지 궁금함
온프레미스 엔터프라이즈 비즈니스에선 Microsoft보다는 Red Hat이 더 많아져야 한다는 생각임, 특히 DoD처럼 중요한 고객에게 이런 취약점은 용납할 수 없는 일임, Google을 뚫을 수 없다는 평가는 많으면서 정부 기관은 SharePoint 같은 취약한 온프레미스 솔루션을 사용하는 경우가 많음, 왜 더 저렴하고 널리 쓰이는 리눅스 계열로 가지 않는지 궁금함, 진짜로 보안이 가장 중요한 우선순위 아닌가라는 질문을 던짐
- Microsoft가 정부기관에 요구되는 각종 규제와 관료적 절차를 잘 헤쳐나가기 때문이라고 봄, 리눅스 쪽에서 이정도로 잘하는 곳을 알지 못함
Microsoft가 실제로 중국 내 거주하는 직원을 통해 미 국방성 서버를 관리했던 적이 있었는지 궁금함, DoD 내에서도 SharePoint 쓸 것 같음
- DoD에서 사용하는 M365 버전(SPO 포함)이 따로 있지만, 이건 해당 기사와는 관련 없음
- 관련 기사 링크 Reuters 기사
- 기사 내용을 인용하면, “클라우드 서비스의 프로그래밍 결함으로 인해 중국 계열 해커가 연방 정부 이메일을 탈취할 수 있었고, Microsoft가 최근까지 미 국방 클라우드 프로그램에 중국 인력을 지원 인력으로 두고 있었음을 ProPublica가 밝혀냄, 국방장관이 이에 대한 전면 재검토를 명령함”
CISA 예산 대폭 삭감 결과, 위기 대응 인력도 65%나 줄어서 사고 수습이 훨씬 오래 걸렸다는 점이 인상적으로 느껴짐
- 전문 인력이 대거 일자리를 잃은 점과, 그렇게 삭감했는데도 실제로 낭비를 거의 찾지 못했다는 사실 중 어떤 점이 더 화나는지 모르겠음, 정말 어이없는 상황임
조금 반감을 살 수도 있지만, 이런 일이 더 벌어져서 기업들이 SharePoint 사용을 멈췄으면 하는 마음도 있음, 2017년 이후로 안 썼지만 쓸 때마다 정말 최악이었고, ‘SharepoIT Happens’라는 문구의 티셔츠도 입었음, 회사 동료들도 전부 SharePoint가 싫다고 동의함
- M365 사용을 중단하지 않는 한 SharePoint 사용을 멈출 수 없는 구조임, 예시로 Teams에서 팀을 만들면 자동으로 M365 그룹이 만들어지고 해당 그룹마다 SharePoint 사이트와 Exchange 메일박스가 만들어짐, 채널 파일도 SharePoint에 저장되고, 메시지는 Exchange에 저장됨, 개인 파일은 OneDrive(=SharePoint)에 저장됨, 즉 사실상 M365 전체가 SharePoint와 Exchange 위에 구축되어 있음
- 과거 Microsoft에서 SharePoint 기반의 자동 DRM 시스템 도입을 시도한 회사에 있었음, 문서를 업로드하면 SharePoint가 자동으로 DRM을 걸고, 유저가 다운로드하면 지정 디바이스에서만 파일을 열 수 있게 하는 시스템임, 하지만 로그인 방식에 따라 DRM이 안 걸린 파일도 그대로 받을 수 있었고, Microsoft 컨설턴트도 결국 해결하지 못함
- 우리 회사는 SharePoint와 별도의 사내 문서/노트 사이트(예: Notion/Quip/Confluence류)가 있는데, 대다수 개발자들은 후자를 사용함, 그런데 일부 직원이 Word 파일만 올려서 결국 모두가 SharePoint를 쓸 수밖에 없고, 문서를 두 군데서 찾아야 함
- 상사가 1년 넘게 SharePoint 세팅을 계속 시켰으나, 6개월 지나 제대로 조사해보니 별 볼 일 없어 보였음, 결국 상사는 다른 기술자를 뽑아서 하루 만에 설치했으나 아무도 안 씀, 그나마 남은 건 내 고속 USB 드라이브를 도둑맞은 일임
- 정부기관과 일하는 중견기업 입장에선 더 좋은 솔루션이 있어도 사용이 거의 안 됨, 사이버 보안 요구사항이 너무 많아서 SharePoint가 ‘상업적으로 실현 가능한 유일한’ 옵션이 되어버림, SharePoint가 불편해도 대체 솔루션은 ‘위험’으로 간주됨, 파일 목록 스크롤 불가, 자동화 기능 문제, M365 테넌트 간 로그인 깨짐, URL 가독성 없음, 검색 성능 낮음, 테이블/필터 오류, 권한 설정 UI 숨겨짐 등 크고 작은 불만이 많음, 이런 것들은 검색해서 고쳐야 할 이슈가 아님
만약 내가 회사 이사회 멤버가 된다면 Microsoft 솔루션 도입을 자발적으로 주장하는 CTO나 창업자를 무조건 신뢰하지 않을 것임, Teams에서 Microsoft Office 링크를 클릭할 때마다 Microsoft에 대한 불신이 커짐, SharePoint에 취약점이 있어도 전혀 놀랍지 않음

답변달기