마이크로소프트(MS)의 정부·기업용 협업 플랫폼을 겨냥한 대규모 해킹 사태에 중국이 연관돼있다는 의혹이 제기됐다. 특정 정부 조직을 겨냥했다는 점 등을 들어 그간 꾸준히 거론된 중국 배후설이 다시 힘을 얻는 모양새다.

미국 워싱턴주 레드먼드에 위치한 마이크로소프트 본사. AP=연합뉴스

22일(현지시간) 로이터 통신 등에 따르면 MS는 지난 19일 협업 플랫폼인 셰어포인트(SharePoint)의 자체 호스팅 버전에 대해 "현재 진행 중인 공격이 있다"고 보안 경고를 발령했다. 셰어포인트는 기업·정부 기관이 조직 내부에서 문서 공동 작업을 하는 데 활용하는 플랫폼이다. MS의 클라우드가 아닌, 각각 조직의 내부망을 기반으로 하는 셰어포인트에 해킹 공격이 이뤄졌다고 MS는 설명했다.

이번 해킹은 이전에 알려지지 않은 취약점을 노리는 이른바 ‘제로데이(zero-day)’ 공격으로 나타났다. 해커들은 해당 방식으로 대상 조직의 서버에 침투한 뒤 백도어를 설치해 문서 등 자료에 지속적인 접근권을 확보하려 했다.

네덜란드 보안 기업 아이시큐리티의 수석 해커 바이샤 버나드는 지난 18일 고객사 한 곳에서 이뤄진 해킹 공격을 포착하고 분석을 시작해 100곳 가까운 조직에서 피해 사례를 발견했다고 밝혔다.

그는 피해 조직의 구체적인 명단을 공개하진 않았지만 미국과 독일 내 조직이 주로 표적이 됐고, 여기엔 정부 기관도 포함된 것으로 보인다고 로이터는 보도했다. 미 연방수사국(FBI)과 영국 국가 사이버 보안 센터(NCSC) 등 피해 조직의 국가들도 조사에 착수했다. 버나드는 “이건 명확한 해킹”이라며 “이후 어떤 세력이 추가로 다른 백도어를 심었는지 누구도 장담할 수 없는 상황”이라고 말했다.

로이터는 피해 규모가 더 늘어날 수 있다고 내다봤다. 인터넷을 통해 접속할 수 있는 셰어포인트 서버는 8000개 이상으로 이들 대부분 이미 해킹됐을 가능성을 배제할 수 없다는 의미다.

체계적인 적대 세력이 존재한다는 의미인 만큼 중국을 향한 의심의 목소리가 상당하다. 구글은 콕 집어서 중국을 직격했다. 구글 클라우드의 보안 자회사 맨디어트의 찰스 카르마칼 최고기술책임자(CTO)는 “중국과 연계된 해킹 조직이 이번 초기 공격의 주체 중 하나”라며 "복수의 해커 조직이 셰어포인트의 취약점을 적극적으로 노리고 있다"고 말했다. 구글의 인터넷 트래픽 감시 분석을 통해 얻은 결과다.

이처럼 미묘한 시기에 싱가포르 정부는 사이버 위협 요소를 발표하면서 중국 배후설에 무게를 두는 행보를 보였다. 카시비스와나탄 샨무감 싱가포르 국가안보조정장관이 지난 18일 연설에서 “해킹 조직인 UNC3886의 공격은 단순한 사이버 위협이 아닌 국가 안보 전반을 위협하는 심각한 수준”이라고 발언한 것이다. UNC는 불특정 유형(Uncategorized)을 뜻하며 3886은 맨디어트가 붙인 임의의 코드명이다.

UNC3886에 대해 중국 정부는 부인하지만 맨디어트는 이 조직이 중국 정부의 후원을 받고 있다고 보고 있다. 이번 셰어포인트에 대한 제로데이 해킹도 UNC3886의 수법과 매우 유사하다는 시각도 적지 않다. 샨무감 장감은 UNC3886과 중국을 직접 연결 짓지는 않은 채 “UNC3886의 공격은 종종 국가적 목적을 띠고 있다”며 “이 조직은 싱가포르의 핵심 인프라 같은 고가치 전략 목표를 노리고 있다”고 말했다.

마이크로소프트(MS) 협업 플랫폼인 셰어포인트(SharePoint).

반면 중국 정부는 UNC3886과 연관성 등 해킹 활동을 줄곧 부인해왔다. 이번 셰어포인트 해킹 사태의 경우 워싱턴DC 주재 중국 대사관은 즉각 응답하지 않았다고 로이터는 전했다.