Microsoft는 창립 이래로 의심할 여지없이 유명해졌지만, 그 역사가 깨끗하지는 않습니다. 수년 동안 Microsoft는 수많은 보안 사고를 겪어 왔으며, 그 중 상당수는 사용자 데이터를 위험에 빠뜨렸습니다. 그렇다면 21세기의 가장 큰 Microsoft 해킹 사건은 무엇일까요? 그리고 이 거대 기술 기업에 더 나은 보안이 필요할까요?
2021년 Exchange 서버 침해
2021년 새해가 시작되면서, 특히 1월 3일에 “제로 데이” 취약점이라고 통칭되는 이전에 알려지지 않은 보안 결함 4개를 악용한 결과 Microsoft의 Exchange 플랫폼과 관련된 서버가 침해되었다는 보고가 있었습니다.
사이버 공격의 규모는 같은 해 3월에야 미국 내 30,000개 이상의 조직이 Microsoft Exchange 코드의 취약점을 통해 표적이 되었다는 사실이 밝혀지면서 완전히 드러났습니다. 총 약 25만 대의 개별 Exchange 서버가 침해당했으며, 그 중 약 7,000대가 영국에 위치해 있었습니다. 또한 노르웨이와 칠레와 같은 다른 국가들도 이 광범위한 보안 침해의 영향을 받았습니다.
이 사이버 공격에서는 서버 사용자의 이메일 주소와 비밀번호 자격 증명과 같은 민감한 정보가 유출되었습니다. 또한 가해자는 향후 잠재적인 침입을 위한 추가 무단 진입 지점을 설정할 수 있었습니다.
Microsoft는 사이버 범죄자가 악용할 수 있는 보안 취약점의 잠재적 결과를 강조하면서 이 사고에 대응하여 신속하게 패치를 발표했습니다.
2억 5천만 고객 기록 유출
2020년 초에 Microsoft는 데이터베이스 중 하나에 비밀번호가 없어 약 2억 5천만 개의 고객 기록이 실수로 공개되는 안타까운 사건이 발생했습니다.
유출된 정보의 상당 부분은 2005년부터 현재까지 고객과 고객 서비스 상담원 간의 상호 작용과 관련된 것이었습니다. 그러나 유출된 세부 정보 중 일부는 사용자 IP 주소 및 이메일 주소와 같이 특히 민감한 것으로 간주되었습니다.
Microsoft의 데이터베이스 침해는 불과 24시간 이내에 발생했지만 안타깝게도 그때는 이미 피해가 발생한 후였습니다.
2016년 핫메일 인증정보 유출
2016년 5월, 여러 매체를 통해 구글, 야후, 마이크로소프트의 사용자 계정 보안을 침해한 중대한 침해 사고가 발생했다는 정보가 공개되었습니다. 이 사고로 인해 총 약 2억 7천만 개의 인증정보 기록이 노출되었으며, 이 중 3,300만 개 이상이 1997년에 Microsoft가 인수한 이전 이메일 플랫폼인 Hotmail과 관련된 기록이었습니다. 이렇게 도난당한 인증정보는 이후 러시아에 기반을 둔 불법 온라인 마켓플레이스를 통해 판매되었습니다.
다행히도 원래 로그인 정보를 입수한 개인은 보안 회사로 가장하여 악의적인 당사자에게 정보를 넘기지 않고 판매하여 추가 악용을 시도하지 않았습니다.
2022년 Lapsu$ 데이터 유출
Microsoft는 최근 2022년 3월에 엔비디아, 삼성 등 수많은 유명 기업에 침투한 것으로 알려진 악명 높은 사이버 범죄 조직인 Lapsu$의 공격을 받았다고 공개했습니다.
이전에는 남미와 영국의 조직을 공격하는 데 집중했던 Lapsu$는 미국 내 표적까지 공격 범위를 확장했습니다. 2022년 초, 이 대담한 사이버 범죄 조직은 Microsoft로 관심을 옮겼습니다.
Microsoft에서 DEV-0537로 지정한 Lapsu$는 직원 한 명의 계정에 침입하여 Bing, Bing Maps, Cortana 소스 코드의 일부에 무단으로 액세스하는 데 성공했습니다.
Microsoft의 확인은 Lapsu$가 이 탈취한 소스 코드를 토렌트 파일에 게시한 후에 이루어졌습니다. 그러나 Microsoft는 이 사건에 관한 블로그 게시물 에서 소스 코드의 도난 및 유출이 회사나 사용자에게 보안 위험을 초래하지 않는다고 주장했습니다.
2010년 제로데이 침해
2009년 말에 심각한 제로데이 보안 결함을 발견한 후, Microsoft는 이듬해 Google, Adobe 등 다른 유명 기업에서 동일한 취약점을 이용한 공격이 발생할 때까지 아무런 개선 조치를 취하지 않았습니다.
이 취약점을 통해 악의적인 공격자는 대상 기업의 워크스테이션에 악성 프로그램을 배포할 수 있었고, 이후 이 취약점을 이용해 Google 및 Gmail 계정에 저장된 기밀 데이터에 침투할 수 있었습니다.
최근의 보안 결함으로 인해 특히 문제 해결에 대한 대응과 관련하여 Microsoft에 대한 부정적인 평가가 내려졌습니다. 취약점을 인지한 지 3개월이 지난 2010년 1월이 되어서야 패치를 발표했기 때문에 Microsoft는 해결책을 제공하는 데 상당한 시간이 걸렸습니다. 게다가 마이크로소프트가 원래 패치를 더 늦은 2월에 발표할 예정이었다는 사실이 밝혀져 상황 대처에 대한 의문이 제기되고 있습니다.
2023 Storm0558 공격
2023년에 정부 기관을 포함한 약 25개 기관이 Microsoft 보안 프레임워크 내의 두 가지 취약점을 악용하여 피해를 입은 것으로 보고되었습니다. 이러한 침해는 중국에 거주하는 Storm0558로 확인된 악의적인 개인에 의해 조직적으로 이루어졌습니다. 그 결과 이 사이버 범죄 조직은 Outlook 웹 액세스 및 Exchange Online을 사용하는 개인의 민감한 정보를 입수했습니다.
Microsoft는 위협 행위자가 스파이 활동의 목적을 가진 것으로 추정된다고 밝혔습니다. 또한 공격자가 공격을 수행하기 위해 MSA 소비자 서명 키를 획득했음을 확인했습니다.
Wiz 조사 에 따르면 해킹의 영향을 받은 것은 Outlook Web Access와 Exchange Online뿐만이 아닙니다. Wiz는 손상된 MSA 키를 사용하여 Teams, OneDrive, SharePoint를 비롯한 다른 Microsoft 서비스도 악용될 수 있다고 보고했습니다.
Microsoft에 더 나은 보안이 필요한가요?
Microsoft는 사용자의 데이터를 보호하기 위해 강력한 보안 조치를 유지하는 데 중점을 두고 있습니다. 이를 위해 다단계 인증, 암호화 프로토콜, 스팸 필터링, 침입 탐지 시스템, 암호 모니터링 도구와 같은 여러 방어 계층을 통합하여 제품 제공에 대한 포괄적인 보안을 보장합니다.
실제로 이러한 기능의 사용 가능 여부는 사용 중인 특정 Microsoft 응용 프로그램에 따라 달라집니다. 예를 들어 Windows 운영 체제에는 기본적으로 바이러스 백신 소프트웨어가 사전 설치되어 있지만 Outlook에는 이 기능이 없습니다.
앞서 설명한 보안 침해의 일반적인 원인은 소프트웨어 취약성에서 비롯된 것으로 확인되었으며, 이는 소프트웨어 감사를 강화하는 것이 Microsoft에 도움이 될 수 있음을 시사합니다. 조직이 애플리케이션과 운영에 대한 검사를 수행하지만 수많은 결함이 계속 발견되지 않고 있습니다.
잠재적인 취약점을 발견하면 적극적으로 악용되었는지 여부에 관계없이 즉시 보안 업데이트를 릴리스하는 것이 현명합니다. 이렇게 하면 소프트웨어 약점을 악용하는 사이버 공격에 노출되는 Microsoft와 사용자 기반 모두의 위험을 완화할 수 있습니다.
그럼에도 불구하고 Microsoft가 현재 약 400개의 서로 다른 소프트웨어 응용 프로그램을 제공한다는 점을 고려할 때 이러한 조치를 구현하려면 상당한 인적 및 물적 투자가 필요합니다.
Microsoft는 결코 해킹으로부터 자유로울 수 없다
Microsoft가 보안 프로토콜을 강화하기 위한 추가 조치를 취했음에도 불구하고 시스템이 여전히 사이버 공격의 희생양이 될 가능성은 남아 있습니다. 유감스럽게도 결함, 바이러스 또는 다른 방법으로 인한 모든 형태의 침해에 대해 완벽한 보호를 보장할 수 있는 기술 시스템은 없습니다.