MS, 쉐어포인트 취약점 악용 공격 경고...중국발 해킹 위협 주의보

마이크로소프트(NASDAQ:MSFT)가 온프레미스 쉐어포인트 서버에 대한 진행 중인 공격과 관련해 긴급 경고를 발령하고, 새로 발표된 보안 업데이트를 즉시 적용할 것을 촉구했다.

마이크로소프트 보안대응센터가 7월 19일 발표한 경고에 따르면, 국가 연계 위협 행위자들이 스푸핑 취약점과 원격 코드 실행 취약점 등 두 가지 주요 취약점을 적극 악용하고 있는 것으로 나타났다.

이번 취약점은 마이크로소프트 365에서 호스팅되는 쉐어포인트 온라인에는 영향을 미치지 않는다.

새로운 업데이트는 구독 에디션, 2019, 2016 등 지원되는 모든 쉐어포인트 서버 버전을 포함한다.

마이크로소프트는 CVE-2025-53770과 우회 취약점 CVE-2025-53771 등 관련 취약점도 함께 해결하는 포괄적인 보안 패치를 제공했다.

마이크로소프트는 이번 공격의 배후로 중국 기반의 3개 위협 그룹인 '리넨 타이푼', '바이올렛 타이푼', '스톰-2603'을 지목했다.

회사 측에 따르면 이들 그룹은 최소 7월 7일부터 인터넷에 연결된 쉐어포인트 서버들을 적극적으로 공격해왔다.

관찰된 공격 방식은 쉐어포인트 서버의 툴페인 엔드포인트에 특별히 제작된 POST 요청을 보내 악성 ASP.NET 스크립트를 업로드하는 것으로, 주로 'spinstall0.aspx' 변형 이름이 사용됐다.

이러한 스크립트는 GET 요청을 통해 머신키 데이터를 추출할 수 있게 하여 대상 시스템의 심층적인 침투를 가능하게 한다. 마이크로소프트는 이러한 활동을 식별하는데 도움이 되는 침해지표(IOC)와 위협 탐지 쿼리를 공개했다.

2012년부터 활동해온 리넨 타이푼은 주로 정부와 국방 분야를 대상으로 지적재산 탈취를 시도해왔다. 2015년부터 활동 중인 바이올렛 타이푼은 NGO, 언론, 교육기관을 대상으로 한 스파이 활동에 주력해왔다. 별도의 중국 해커 그룹인 스톰-2603은 과거 랜섬웨어 유포와 연관됐으나, 현재의 목적은 불분명한 상태다.

마이크로소프트는 상황을 계속 모니터링하며 관리자들의 신속한 대응을 촉구하고 있다. 패치 적용이 지연될 경우 확대되는 공격 캠페인에 시스템이 취약해질 수 있다고 경고했다.

로이터가 입수한 타임라인에 따르면, 마이크로소프트가 이번 달 발표한 보안 업데이트는 쉐어포인트 서버 소프트웨어의 심각한 결함을 완전히 해결하지 못했으며, 이로 인해 시스템들이 대규모 글로벌 사이버 스파이 캠페인에 취약한 상태로 남아있었다.

화요일 마이크로소프트 대변인은 5월 해커 대회에서 발견된 결함을 기반으로 한 최초 패치가 효과적이지 않았음을 인정했다.

하지만 회사 측은 이후 문제를 완전히 해결하는 추가 업데이트를 발표했다고 밝혔다.

약 100개 조직에 영향을 미친 이번 스파이 행위의 실행 주체는 아직 밝혀지지 않았다.

이번 공격에 사용된 보안 결함은 5월 베를린에서 사이버보안 기업 트렌드마이크로가 주최한 해킹 대회에서 처음 발견됐다. 이 대회는 널리 사용되는 소프트웨어의 버그를 찾는 대가로 현금 보상을 제공했다.

대회에서 베트남 군이 소유한 통신회사 비엣텔의 연구원이 마이크로소프트 쉐어포인트의 버그를 발견했다. 그는 이를 '툴쉘'이라 명명하고 공격에 활용될 수 있는 방법을 시연했다.

주가 동향: 수요일 마지막 거래에서 MSFT 주가는 0.64% 하락한 502.05달러를 기록했다.