최근 마이크로소프트는 웹 기반 공동 작업 포털 셰어포인트(SharePoint)의 보안 취약점이 실제로 악용되고 있다는 경고문을 발표했다.
공격자는 셰어포인트 온프레미스 서버에 존재하는 제로데이 취약점을 악용해 머신 키를 조작하고 인증 절차를 우회하는 방식으로 침투했다. 아웃룩, 팀즈 등 핵심 서비스와 연동된 내부 셰어포인트 서버로 이어진 것으로 확인됐다.
미국 연방 정부와 주 정부, 에너지 기업, 대학, 통신사 뿐만 아니라 유럽과 아시아 전역의 기업과 기관 등 전 세계 9천 개 이상의 조직에 영향을 미쳤다. 단순 침입을 넘어 외부 이메일 탈취와 비밀번호 수집 가능성도 제기됐다.
셰어포인트는 많은 기업의 문서 협업과 의사소통의 핵심 시스템이다.
하지만 이 시스템이 침해될 경우, 민감한 데이터 유출은 물론 랜섬웨어 확산과 핵심 운영 중단이라는 심각한 결과로 이어질 수 있다.
이 사건은 단순한 예방을 넘어, 신속하고 신뢰할 수 있는 복구 능력, 즉 사이버 복원력(Cyber Resilience)이 필수적임을 다시 한번 상기시킨다.
외부 침입을 막기 위한 방화벽이나 백신 소프트웨어를 시작으로 엔드포인트 보안, 망분리, 접근 제어 등 다계층 보안 접근법이 요구되는 상황이다.
침해 사고가 발생했을 때 피해를 최소화하고 가능한 한 신속하게 복구할 수 있도록 백업 전략 점검 역시 필요하다.
다계층 보안 전략이 중요한 이유
최근 마이크로소프트 셰어포인트 사이버 보안 사고를 예로 들면, 공격자들은 직접적으로 공격하지 않고, 서드파티 벤더의 취약점을 이용해 자격 증명을 탈취한 뒤 시스템에 침투했다.
사이버 공격에 진지하게 대응하려는 기업은 더 이상 방화벽이나 백신 소프트웨어만으로는 충분하지 않다. 대신, 엔드포인트 보안, 네트워크 분할, 데이터 암호화, 접근 제어, 행위 탐지, 백업 방법 등을 포함한 다계층 보안 접근법을 도입해야 한다.
또한, 벤더에게 엄격한 요구사항을 부과하여 사이버 보안 기준을 충족하고, 정기적으로 보안 평가 및 감사를 실시하며, 명확한 보안 준수 규정을 수립해야 한다.
전체 사이버 보안 전략의 일부로서 몇 가지 핵심 기능과 중요성은 다음과 같다.
엔드포인트 보안 강화 : 엔드포인트 탐지 및 대응(EDR) 솔루션과 백신 소프트웨어를 배포하여 위협을 사전에 차단한다. 해커들은 종종 단일 엔드포인트 침해 시도부터 시작한다. 한 곳이 뚫리면 전체 시스템이 공격받을 수 있다.
네트워크 안전하게 보호 : 네트워크 분할과 방화벽을 구현하여 중요한 시스템을 격리한다. 침입 탐지 시스템(IDS)과 침입 방지 시스템(IPS)을 통해 트래픽을 분석하고, 이상 징후를 탐지하며, 내부 위협을 식별하고, 의심스러운 네트워크 연결을 즉시 차단할 수 있다.
데이터를 안전하게 보호 : 개인 정보와 기밀 데이터를 암호화하여 데이터 유출 위험을 줄인다. 암호화와 함께 데이터 유출 방지(DLP)를 적용해 민감한 데이터가 복사, 내보내기, 업로드되는 것을 방지할 수 있다.
역할 기반 접근 제어 구현 : 제로 트러스트 및 최소 권한 접근 원칙과 다중 인증(MFA)을 적용하여 신원 도용을 방지한다. 싱글 사인온(SSO)과 ID 및 접근 관리(IAM)를 통합하여 신원과 권한을 중앙에서 관리하다.
위협을 모니터링하고 식별 : 보안 정보 및 이벤트 관리(SIEM)의 고급 분석 기능을 활용해 보안 이벤트를 수집 및 분석하고, 비정상적인 데이터 접근을 차단하며, 향후 공격을 예고할 수 있는 새로운 위협을 사전에 탐지하다.
시스템을 정기적으로 업데이트하고 패치하기 : 소프트웨어와 하드웨어를 정기적으로 패치하여 진화하는 사이버 위협에 대응한다. 기존 취약점을 수정하고 장기적으로 시스템 보안을 최적화하다.
백업 및 복구를 수행 : 중요 데이터를 정기적으로 백업하고, 여러 버전 및 오프사이트 복사본을 안전하게 보관한다. 백업에 의존함으로써 기업은 랜섬웨어 공격 시 몸값을 지불하지 않고 피해를 최소화할 수 있다.
사이버 복원력의 핵심, 비즈니스 연속성과 데이터 복구 가능성
백업은 종종 최후의 방어선으로 여겨진다. 모든 것이 실패하고 데이터가 암호화되거나 삭제된 경우에도, 백업만이 비즈니스 운영을 복구할 수 있는 유일한 방법이다.
사이버 복원력을 강화하려면, 기업은 모든 운영 데이터를 백업하고, 데이터 격리를 강화하며, 백업 복구 가능성을 정기적으로 검증해야 한다.
오늘날 기업들은 다양한 플랫폼과 도구를 사용하기 때문에, 보호되는 워크로드가 곧 랜섬웨어에 악용될 수 있는 취약점이 된다. 플랫폼과 그 위에 저장된 데이터가 서로 연결되어 있을 때, 기업은 백업이 누락되지 않도록 하고, 소스와 장치가 백업 전략에 포함되어 있는지 확인해야 한다.
사이버 복원력 아키텍처 구현은 필수적이다. 기업은 단일 방어 메커니즘에만 의존할 수 없다. 시놀로지는 불변성 및 오프라인 백업과 같은 데이터 격리 기술을 활용할 것을 권장한다.
불변 백업은 보존 기간 동안 데이터가 변경되거나 삭제될 수 없도록 하여 백업 서버가 침해될 위험을 줄인다. 오프라인 백업은 물리적으로 격리되어 외부 네트워크에서 접근할 수 없으므로, 랜섬웨어 침투 위험을 낮추고, 인적 오류로 인한 보안 허점 위험도 최소화한다.
단순히 데이터를 백업하는 것만으로는 충분하지 않다. 핵심은 데이터의 사용 가능성을 검증하는 것이다. 백업 무결성을 검증하지 않으면, 백업이 존재하더라도 필요할 때 복구하지 못할 위험이 있다.
조직은 백업 검증과 재해 복구 훈련을 표준 운영으로 도입하고, 이러한 기능을 기본적으로 지원하는 솔루션을 사용하여 랜섬웨어 공격 발생 시 즉시 운영을 복구해야 한다.
관련기사
- MS '셰어포인트' 해킹 여파…"美 정부·에너지·대학 줄줄이 뚫렸다"2025.07.21
- [기고] 사이버 회복력, AI 에이전트 시대 필수 요소2025.07.28
- "복구가 생존이다"…스토리지로 완성하는 랜섬웨어 대응 전략2025.07.21
- 랜섬웨어 피해, 5월 한달간 전세계 484건...SK실더스 보고서 발간2025.06.19
모든 침해를 완벽히 막을 수는 없지만, 기업은 격리, 불변성, 검증된 복구에 기반한 계층화된 방어 전략을 통해 비즈니스 연속성을 지킬 수 있다.
이것이 진정한 사이버 복원력이다. 장기적인 중단을 막고, 신속하게 비즈니스를 회복할 수 있는 분기점이 된다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.
