“MS 서버 400곳 뚫렸다”…중국계 해커조직, 핵안보기관까지 침투

김희삼 2025.07.24. 10:10

│ 중국계 해킹그룹, MS 온프레미스 SharePoint 수백 곳 공격
│ RBA 패치 불완전…기밀 유출·백도어 우려 지속
│ 美·英 핵안보기관 포함, 정부 조직까지 광범위 피해

마이크로소프트(Microsoft)의 SharePoint 서버를 겨냥한 대규모 해킹 사건이 전 세계로 확산되며 파장이 커지고 있다. 최근 미국과 영국을 중심으로 민간과 정부 조직 400여 곳이 피해를 입은 것으로 확인되었으며, 이 중에는 미국 핵안보국(NNSA)과 영국 방위계약청(Dstl) 등 국가 핵심 안보기관도 포함돼 있다. 공격의 배후로는 중국 국적의 해킹조직이 지목되고 있다.

사이버보안 전문기업 Volexity와 마이크로소프트의 자체 조사에 따르면, 이번 공격은 MS의 온프레미스(내부 설치형) SharePoint 서버의 제로데이 취약점을 악용해 이뤄졌다. 해커들은 일단 침투에 성공한 후 “FOXCOPY”라는 백도어 프로그램을 심어 기밀 데이터를 유출하거나 장기간 내부 접근을 지속할 수 있는 기반을 구축한 것으로 알려졌다.

특히 미국 에너지부 산하 핵안보국(NNSA)이 이번 공격의 표적이 되었다는 사실은 국제사회에 충격을 안겼다. Axios 보도에 따르면, 공격자는 정부기관, 국방연구소, 원자력 관련 기업 등 전략기술 보유 기관에 집중적으로 침투했다. 영국 역시 핵무기 관리·감독을 담당하는 방위과학기술연구소(Dstl)가 피해 조직으로 거론되었다.

문제는 마이크로소프트가 배포한 보안 패치(RBA)가 완전하지 않았다는 점이다. Volexity는 이번 해킹이 MS의 패치 적용 이후에도 여전히 진행 중이었다고 밝혔다. 즉, 공격자들은 이미 수개월 전부터 취약점을 인지하고 있었으며, 보안 패치 이후에도 우회 경로를 통해 침투를 지속해온 셈이다. 일부 조직에서는 보안 경고 없이 내부 시스템에 백도어가 설치돼 수개월 간 외부와 은밀히 통신을 지속해왔다.

이번 사건은 클라우드 및 협업 플랫폼의 보안 취약성에 대한 경고로 해석된다. 특히 SharePoint처럼 정부와 대기업이 자주 사용하는 시스템이 광범위하게 침해당한 것은 기술적 위협을 넘어 전략적 정보전의 현실화로 받아들여지고 있다. 보안 전문가들은 “일회성 공격이 아닌 지속적이고 체계적인 사이버 첩보전의 일환”이라며, 미국과 동맹국들의 방어 체계 전반에 대한 재점검이 필요하다고 지적했다.

마이크로소프트 측은 해당 취약점에 대한 추가 보안 패치 및 경고 시스템 강화를 예고했으며, 각국 정부는 주요 인프라 및 군·정기관의 시스템 점검을 강화하고 있다. 그러나 이미 수개월간 데이터가 유출되었을 가능성이 제기되면서 향후 정치·외교적 파장도 불가피할 것으로 보인다.

이번 사태는 단순한 기술 문제를 넘어, 사이버 안보가 곧 국가 안보라는 사실을 다시 한번 각인시키는 사건이 되었다.

김희삼 기자 sam@khsc3.com
Copyright © HS Times. 무단전재 및 재배포 금지