셰어포인트 취약점, 그 너머를 노리는 보안 위협
최근 마이크로소프트(Microsoft, 이하 MS)는 기업 문서 협업 도구인 셰어포인트(SharePoint) 서버에서 발생한 보안 취약점에 대한 경고를 발표했습니다. 문제는 단순한 기술적 결함이 아닙니다. 이 취약점을 실제로 악용한 행위자들 가운데, 중국 정부를 배후로 둔 공격 그룹이 존재한다는 점에서 국제적인 사이버 보안 위협에 대한 우려가 더욱 증폭되고 있습니다.
셰어포인트 서버, 공격자들의 새로운 진입로
MS는 자사 홈페이지를 통해 “인터넷에 노출된 셰어포인트 서버를 대상으로 한 취약점 악용 시도를 실제로 포착했다"라고 발표했습니다. 공격 주체로는 ‘리넨 타이푼(Linen Typhoon)’, ‘바이올렛 타이푼(Violet Typhoon)’, ‘스톰(Storm)-2603’ 등의 중국 기반 위협 행위자들이 언급됐습니다.
이들이 활용한 방식은, 보안이 취약한 셰어포인트 서버에 비정상적인 요청을 보내 백도어를 설치하는 것으로, 이미 100여 개 기관이 피해를 입은 것으로 알려졌습니다. 백도어가 설치되면, 외부에서 지속적으로 해당 서버에 접근하거나, 내부 시스템에 대한 권한을 탈취하는 등의 추가 활동이 가능해집니다.
취약점 하나로, 문서부터 계정 정보까지 노출
셰어포인트는 단순한 파일 저장소가 아닙니다. 많은 기업과 기관에서는 이를 통해 회의록, 정책 문서, 고객 정보, 내부 시스템 접근 링크까지 다양한 민감 정보를 공유하고 있습니다.
공격자가 셰어포인트 서버에 접근 권한을 획득하게 되면, 이러한 정보가 외부로 유출될 가능성이 높아집니다.
이러한 유출 정보에는 개인 식별 정보, 자격 증명, 조직 구성 정보 등이 포함될 수 있으며, 이 정보들은 다시 다른 공격의 재료가 될 수 있습니다. 예를 들어, 실제 조직원 명의로 발송된 이메일처럼 위장된 통신, 혹은 신뢰할 수 있는 내부 자료처럼 보이는 파일 등을 통해, 추가적인 접촉 시도가 이루어질 수 있습니다.
공격자는 기술적 침투 이후, 사용자를 노립니다
초기 침입은 서버 취약점을 통해 이루어졌지만, 공격자는 그 이후로 획득한 정보들을 바탕으로 사용자를 직접 겨냥한 활동으로 공격 범위를 확장할 수 있습니다. 실제 기업 문서나 회의 정보가 외부로 유출되었다면, 이를 바탕으로 신뢰를 유도하는 방식의 접근이 가능합니다.
예를 들어, “이전 회의 문서를 다시 확인해 주세요”라는 메시지와 함께 특정 링크를 전달하거나, 정식 시스템 알림처럼 위장한 통지문을 전달하는 방식입니다.
“지난주 보안팀 회의 내용입니다. 빠르게 확인 부탁드립니다.”
공용 셰어포인트 링크입니다. 접근 권한이 설정되어 있으니, 인증 후 열람하세요.
이처럼 공격자는 실제 문서, 일정, 담당자 정보를 손에 쥔 상태에서 공격을 설계할 수 있기 때문에, 평소보다 훨씬 정교하고 설득력 있는 접근이 가능해집니다. 이러한 접근은 사용자의 한 번의 클릭으로 이어지며, 그 이후에는 감염, 계정 탈취, 추가 권한 상승 등 다양한 피해로 확산될 수 있습니다.
블랙쏘세지는 링크를 먼저 확인합니다
보안 사고의 피해 범위는 처음 발생한 서버 시스템에 국한되지 않습니다. 공격자가 탈취한 정보를 어떻게 활용하느냐에 따라, 보안의 최전선은 개인의 브라우저가 될 수도 있습니다.
블랙쏘세지는 원격 브라우저 격리 기술(Remote Browser Isolation, RBI)을 기반으로, 사용자가 열람하려는 링크를 내 기기가 아닌, 외부의 안전한 공간에서 먼저 실행합니다.
이를 통해, 설령 공격자가 위장된 링크나 악성 콘텐츠를 전송했다 하더라도, 내 기기나 인증 정보는 노출되지 않으며, 의심스러운 행위는 그 외부 환경에서 차단될 수 있습니다.
링크 뒤에 무엇이 숨어 있을지 걱정되는 시대입니다.
이제는 직접 열지 말고, 블랙쏘세지에서 먼저 확인하세요.
