마이크로소프트는 사이버 보안 파트너를 위한 조기 경보 시스템인 마이크로소프트 액티브 프로텍션 프로그램(MAPP)에서 발생한 정보 유출로 인해 중국 해커들이 자사 SharePoint 서버 소프트웨어의 패치되지 않은 취약점을 악용했을 가능성을 조사하고 있습니다.
해당 IT 기업의 최신 패치는 완전히 해결 , 이로 인해 거대 IT 기업의 시스템이 정교한 글로벌 사이버 스파이 활동에 노출되었습니다.
마이크로소프트는 화요일 블로그 게시물에서 이번 공격이 중국 정부와 연계된 리넨 타이푼(Linen Typhoon)과 바이올렛 타이푼(Violet Typhoon)이라는 두 그룹과, 역시 중국에 기반을 둔 것으로 추정되는 세 번째 그룹에 의해 자행되고 있다고 밝혔습니다.
마이크로소프트, 사이버 보안 파트너 프로그램 유출 의혹 조사 중
해당 회사는 현재 파트너사와 공개 패치 배포에 앞서 공유하는 MAPP 프로그램의 세부 정보가 유출되어 이러한 공격 확산을 가속화했는지 여부를 조사하고 있습니다.
마이크로소프트는 "모든 파트너 프로그램의 효율성과 보안을 지속적으로 평가하고 필요에 따라 개선 조치를 취하고 있다"고 밝혔습니다
SharePoint 취약점은 지난 5월 베트남 보안 연구원 딘 호 안 코아(Dinh Ho Anh Khoa)가 트렌드 마이크로의 제로 데이 이니셔티브가 주최한 베를린 사이버 보안 컨퍼런스인 Pwn2Own에서 이를 시연하면서 처음 알려졌습니다. 코아는 10만 달러의 포상금을 받았으며, 마이크로소프트는 7월에 초기 패치를 배포했습니다.
하지만 트렌드 마이크로의 위협 인식 책임자인 더스틴 차일즈는 MAPP 파트너들에게 해당 취약점에 대해 6월 24일, 7월 3일, 7월 7일 세 차례에 걸쳐 알렸다고 밝혔습니다.dent마이크로소프트는 첫 번째 공격 시도가 7월 7일에 시작되었다고 언급했습니다.
차일즈는 "MAPP 프로그램 관계자 중 누군가가 해당 정보를 이용해 취약점을 만들어냈을 가능성이 가장 높다"고 시사했습니다. 그는 특정 업체를 지목하지는 않았지만, 취약점 공격 시도가 대부분 중국에서 발생했기 때문에 정보 유출 역시 그 지역의 회사에서 비롯되었을 가능성이 "충분히 높다"고 지적했습니다.
마이크로소프트가 이와 같은 MAPP 관련 정보 유출 문제를 겪은 것은 이번이 처음이 아닙니다. 10년 전, 마이크로소프트는 기밀 유지 계약을 위반한 중국 항저우 DPTech Technologies Co., Ltd.와의 계약을 해지했습니다. 당시 마이크로소프트는 취약한 데이터가 악용될 수 있다는 위험성을 인정했습니다.
2008년에 시작된 MAPP 프로그램은 보안 업체들이 취약점의 기술적 세부 정보와 경우에 따라서는 개념 증명 코드 샘플을 사전에 파악하여 고객을 더욱 효과적으로 보호할 수 있도록 지원하는 것을 목표로 했습니다. 하지만 이번에 유출된 정보는 방어자를 강화하고 공격자를 강화하지 않는다는 MAPP 프로그램의 본래 취지에 정면으로 위배됩니다.
마이크로소프트는 유출 출처를dent했는지 여부를 공개하지 않았지만, 기밀유지협약(NDA) 위반은 심각하게 받아들일 것이라고 강조했습니다.
마이크로소프트가 MAPP 프로그램의 무결성을 재검토함에 따라 과거 데이터 유출 사건들이 다시 수면 위로 떠오르고 있습니다
2021년, 마이크로소프트는 최소 두 곳의 중국 MAPP 파트너사가 자사 Exchange 서버의 취약점에 대한 정보를 유출했다고 의심했습니다. 이는 마이크로소프트가 하프늄(Hafnium)이라는 중국 스파이 조직의 소행으로 지목한 전 세계적인 해킹 공격으로 이어졌습니다. 유럽 은행 감독청(EBA)과 노르웨이 의회를 포함한 수만 대의 Exchange 서버가 해킹당하는 등, 이는 마이크로소프트 역사상 최악의 침해 사건 중 하나였습니다.
dent 이후 , 회사는 MAPP 프로그램 , 최종적으로 어떤 변경 사항이 적용되었는지, 또는 정보 유출이 발견되었는지 여부는 공개하지 않았습니다.
애틀랜틱 카운슬 보고서에 따르면, 2021년 중국 법률에 따라 기업과 보안 연구원들은 새로 발견한 취약점을 48시간 이내에 산업정보부에 보고해야 합니다. 베이징 사이버쿤룬 테크놀로지(Beijing CyberKunlun Technology Co Ltd.)와 같이 MAPP에 여전히 참여하고 있는 일부 중국 기업들은 국가안전부가 운영하는 중국 국가 취약점 데이터베이스에도 참여하고 있어 이중 보고 의무에 대한 우려가 더욱 커지고 있습니다.
취리히 연방 공과대학(ETH Zurich) 안보 연구 센터의 연구원인 에우헤니오 베니카사는 중국 기업들이 마이크로소프트의dent유지 규정과 국가 보고 의무를 어떻게 조화시키는지에 대한 투명성 부족을 지적했습니다. 그는 "일부 기업들이 보안 기관과 협력하고 있으며, 중국의 취약점 관리 체계는 고도로 중앙집권화되어 있다는 것을 알고 있다"며 "이 부분은 분명히 더 면밀한 조사가 필요한 영역"이라고 말했습니다
