[디지털투데이 황치규 기자] 마이크로소프트 이메일 소프트웨어인 익스체인지 서버를 향한 중국 해커 그룹발 추정 사이버 공격에 수많은 정부기관, 학교, 기업들이 영향을 받은 가운데, 마이크로소프트가 공격이 어떻게 시작됐고 빠르게 확산됐는지에 대한 진상 조사를 진행 중이다.

마이크로소프트에 따르면 중국 해킹 그룹들 소행으로 의심되는 이번 공격은 익스체인지 서버에 있던 지금까지 알려지지 않은 취약점, 이른바 제로데이 취약점 기반으로 빠르게 확산됐다.

이번 조사는 해커들이 전국을 상대로 대규모 사이버 공격을 펼치는 데 필수적인 정보를 마이크로소프트가 일부 보안 파트너들과 공유했던 자료를 통해 얻었는지 여부에 초점이 맞춰져 있다.

마이크로소프트는 1월초 비밀리에 시작된 공격이 어떻게 마이크로소프트가 소프트웨어 패치를 고객들에게 보내기 1주일에 강해졌는지를 살펴보고 있다고 월스트리트저널(WSJ)이 내부 사정에 정통한 소식통들을 인용해 12일(현지시간) 보도했다. 

당시 중국과 연결된 몇몇 해킹 그룹들은 광범위한 사이버 공격을 감행할 수 있는 도구들을 획득했고 전세계 걸쳐 마이크로소프트 익스체인지 서버를 쓰는 컴퓨터들을 감염시켰다.

WSJ에 따르면 이번 조사를 진행 중인 관계자들은 마이크로소프트가 해커가 활용한 버그 정보를 공유한 한 파트너가 우연히 또는 고의로 다른 그룹에 이를 유출했는지 여부를 집중적으로 살펴보고 있다. 

2월28일 시작된 것으로 여겨지는 2차 대규모 공격에 사용된 일부 도구들은 마이크로소프트가 2월 23일 안티 바이러스 및 다른 보안 파트너들에게 배포한 개념검증(proof of concept: PoC) 공격 코드와 비슷한 점이 많다고 WSJ은 전했다.

마이크로소프트는 당초 개념검증 코드를 공유한지 2주 후 보안 패치를 내놓을 예정이었지만 2차 공세가 시작된 후 1주일 앞당겨 3월 2일 배포했다.

마이크로소프트와 파트너들은 2008년 제작된 마이크로소프트 액티브 프로텍션 프로그램(MaaP) 정보 공유 프로그램을 조사 중이다. MaaP는 보안 회사들이 새로 나오는 보안 위협들을 탐지하는데 도움을 주기 위해 활용되고 있다. MaaP는 전세계적으로 80개 보안 업체가 참여하고 있고, 이중 10개는 중국에 있다고 WSJ은 전했다.

이들 파트너들에는 2월 23월 개념검증 코드를 포함해 마이크로소프트 공지가 전달됐다고 덧붙였다. 마이크로소프트 대변인은 어떤 중국 회사가 이번 정보 공개에 포함됐는지에 대해서는 구체적으로 언급하지 않았다.