[포쓰저널=강민혁 기자] 마이크로소프트(MS)의 서버 소프트웨어 셰어포인트(SharePoint)를 노린 대규모 사이버 해킹 공격으로 인해 미국·독일의 정부기관을 포함한 100여개 기관이 피해를 입은 것으로 나타났다

21일(현지시간) 로이터통신에 따르면 이번 공격을 추적한 네덜란드 사이버보안 기업 '아이 시큐리티'(Eye Security)와 비영리 인터넷 보안 기관 '섀도서버 재단'(Shadowserver Foundation)이 이같은 사실을 확인했다고 밝혔다.

MS는 19일 "기관 내 문서 공유 및 협업에 널리 사용되는 셰어포인트 서버의 자체 호스팅 버전에 대해 해킹 공격이 진행 중이다"는 경고를 발표한 바 있다.

MS가 직접 호스팅해 MS서버에서 구동되는 셰어포인트 클라우드 인스턴스는 이번 공격에 영향을 받지 않았지만, 기업이 자체 서버에서 직접 호스팅해 설치·운영 중인 온프레미스(설치형) 셰어포인트 인스턴스는 이번 취약점의 영향을 받았다.

이는 ‘제로데이'(Zero-day) 공격으로 아직 공개되지 않은 디지털 취약점을 활용해 해커가 서버에 침투하고 피해 기관 내부 접근을 위한 백도어를 설치한다.

바이샤 버나드 아이 시큐리티 수석 해커는 "자사 고객 중 한 곳을 대상으로 한 해킹 공격 확인을 통해 18일 처음 셰어포인트 취약점 공격을 발견했다"며 "섀도서버 재단과 함께 인터넷을 스캔한 결과 약 100곳이 피해를 입은 것으로 파악됐다"고 말했다.

그는 "이 (100곳) 피해는 해킹 방식이 널리 알려지기 전 단계의 결과일 뿐이다"며 "이후 다른 세력이 추가로 백도어를 어디에 심었을지는 아무도 모른다. 이건 명확하다"고 우려했다.

버나드는 피해 기관의 이름을 로이터에 밝히진 않았다. 대신 관련 국가 당국에 이 사실을 통보했다고 전했다.

섀도서버 재단은 "피해 기관 수가 100곳임을 확인했다. 피해 기관은 대부분은 미국과 독일에 위치하고 있다. 정부 기관도 포함된다"고 밝혔다.

익명의 보안 연구원은 로이터에 "지금까지의 정황상 공격자는 단일 해커 또는 해커 집단인 것으로 보인다"고 밝혔다.

영국 보안업체 소포스(Sophos)의 위협정보 디렉터 레이프 필링은 "(공격 패턴이나 피해규모 등) 상황이 조만간 급변할 수도 있다"고 경고했다.

마이크로소프트 관계자는 "관련 취약점 보안 업데이트를 제공했다. 고객들에게 설치를 독려하고 있다"고 했다.

이번 해킹 배후는 아직 명확히 밝혀지지 않았다.

광범위한 인터넷 트래픽을 감지할 수 있는 구글은 "이번 공격의 일부는 중국 연계 위협 그룹(China-nexus threat actor)과 연계된 사건이다"고 말했다.

로이터는 주미 중국 대사관에 해당 사안에 대한 논평을 요청했으나 답변을 듣지 못했다고 전했다. 

중국 정부는 해킹 작전을 부인하는 입장을 일관되게 유지하고 있다.

미국 연방수사국(FBI)은 20일 "이번 공격을 인지하고 있다. 연방 및 민간 부문 파트너와 협력 중이다"고 밝혔지만 추가 정보는 제공하지 않았다.

영국 국가사이버보안센터(NCSC)는 "영국 내 피해 규모는 현재까지 제한적인 것으로 파악된다"고 밝혔다.

또다른 익명의 연구원은 로이터에 "이번 해킹은 정부 관련 조직 일부를 초기 타깃으로 삼은 것으로 보인다"고 밝혔다.

이번 제로데이 해킹 공격의 잠재적 피해 대상은 매우 광범위하다.

인터넷 연결 장비 검색엔진 쇼단(Shodan)의 데이터에 따르면 8000대 이상의 서버가 이미 해킹에 노출됐을 수 있다.

섀도서버 재단은 "(해킹피해 노출 서버가) 최소 9000대 이상일 것으로 추정된다. 심지어 이는 최소치일 뿐이다"고 경고했다.

섀도서버 재단이 경고한 해킹 노출 서버 목록에는 주요 기업·은행·회계법인·의료기관 뿐만아니라 미국 내 주정부·국제정부 기관들의 서버까지 포함돼 있다.

영국 보안 컨설팅사 폰디펜드(PwnDefend)의 다니엘 카드는 "이번 셰어포인트 사건은 전 세계적으로 광범위한 서버 해킹피해를 야기한 것으로 보인다"며 "이번 상황에 대해서 기본적으로 '이미 침해됐다'고 가정하고 접근해야 한다. 단순히 보안 패치를 적용하는 것만으로는 충분하지 않다"고 경고했다.