6월 초, 산발적이지만 심각한 서비스 장애가 발생하여 Outlook 이메일 및 OneDrive 파일 공유 앱과 클라우드 컴퓨팅 플랫폼을 비롯한 마이크로소프트의 대표적인 오피스 제품군이 어려움을 겪었다. 한 그림자 해킹 단체는 분산 서비스 거부 공격으로 사이트에 정크 트래픽이 쇄도했다며 자신들의 소행이라고 주장했다.

처음에는 그 원인을 밝히기를 꺼렸지만, 이제 Microsoft는 어둑한 신생 기업에 의한 DDoS 공격이 실제로 책임이 있다고 밝혔다.

그러나 이 소프트웨어 대기업은 몇 개의 고객이 영향을 받았는지, 그리고 그 영향이 전 세계적인지에 대해서는 즉각적인 언급을 하지 않았다. 한 여성 대변인은 자신들을 익명의 수단이라고 부르는 단체가 이번 공격의 배후에 있다고 확인했다. 당시 텔레그램 소셜미디어 채널을 통해 자신들의 소행이라고 주장했었다. 일부 보안 연구원들은 그 단체가 러시아인이라고 믿고 있다.

마이크로소프트의 설명은 이틀 전 AP통신의 요청에 따라 금요일 저녁 블로그 게시물에서 이루어졌다. 자세한 내용은 알 수 없지만, 이 게시물은 공격이 "일시적으로 일부 서비스의 가용성에 영향을 미쳤다"고 말했다. 공격자들은 "파괴와 홍보"에 초점을 맞추고 있으며 대여된 클라우드 인프라와 가상 사설 네트워크를 사용하여 전 세계 좀비 컴퓨터의 봇넷이라고 불리는 마이크로소프트 서버를 폭격했을 가능성이 높다고 말했다.

마이크로소프트는 고객 데이터에 액세스하거나 손상된 증거가 없다고 언급했다.

DDoS 공격은 주로 웹 사이트에 침투하지 않고는 도달할 수 없게 만드는 성가신 문제이지만, 보안 전문가들은 이 공격이 전 세계적인 상거래가 의존하는 Microsoft와 같은 소프트웨어 서비스 대기업의 서비스를 성공적으로 중단시킬 경우 수백만 명의 작업을 방해할 수 있다고 말했다.

그게 여기서 일어난 일인지는 확실하지 않다.

저명한 사이버 보안 연구원이자 전 국가안보국 공격 해커인 제이크 윌리엄스는 "마이크로소프트가 그 정보를 제공하지 않는다면 우리는 그 영향을 측정할 방법이 없습니다,"라고 말했다. Williams는 Outlook이 이전에 이 규모로 공격을 받은 것을 알지 못했다고 말했다.

"일부 리소스는 액세스할 수 없었지만 다른 리소스는 액세스할 수 있었다. 이러한 현상은 전 세계적으로 분산된 시스템의 DDoS에서 종종 발생합니다."라고 Williams는 덧붙였다. 그는 고객에게 미치는 영향에 대한 객관적인 척도를 제공하기를 분명히 꺼리는 마이크로소프트의 태도가 "아마도 그 규모를 말해줄 것"이라고 말했다

마이크로소프트는 아직 소속이 설정되지 않은 그룹에 지정자를 사용하여 공격자를 Storm-1359라고 명명했다. 사이버 보안 전략은 시간이 걸리는 경향이 있으며, 상대가 숙련된 경우에도 문제가 될 수 있다.

사이버 보안 회사인 맨디언트가 크렘린 계열이라고 말하는 킬넷을 포함한 친러 해킹 단체들은 정부와 우크라이나 동맹국들의 다른 웹사이트들을 디도스 공격으로 폭격해 왔다. 10월에, 몇몇 미국 공항 사이트들이 공격을 받았다. 사이버 보안 회사인 Recorded Future의 분석가 알렉산더 레슬리는 아프리카 국가인 수단에 익명의 수단이 있다고 주장하는 것처럼 위치해 있을 가능성은 낮다고 말했다. 이 단체는 친러시아 선전과 허위 정보를 퍼뜨리기 위해 킬넷 및 다른 친크렘린 단체들과 긴밀히 협력하고 있다고 그는 말했다.

뉴욕 대학교 교수이자 TAG Cyber의 CEO인 Edward Amoroso는 Microsoft 사건이 DDoS 공격이 어떻게 남아 있는지를 강조한다. "우리 모두가 이야기하는 것을 피하기로 동의하는 중요한 위험"이라고 말했다. 이것을 미해결 문제라고 부르는 것은 논란의 여지가 없습니다."

그는 이 특정 공격에 대한 마이크로소프트의 어려움은 "단일 실패 지점"을 암시한다고 말했다. 이러한 공격에 대한 최선의 방어책은 예를 들어 콘텐츠 배포 네트워크에서 서비스를 대량으로 배포하는 것이다.

실제로, “공격자들이 사용한 기술은 오래되지 않았다,” 라고 영국 보안 연구원 케빈 보몬트가 말했다. "하나는 2009년으로 거슬러 올라갑니다."라고 그가 말했다.

Microsoft 365 오피스 제품군 중단으로 인한 심각한 영향이 6월 5일 월요일에 보고되었으며 오전 11시 직후에 Tracker Down Detector에 대한 18,000건의 가동 중단 및 문제 보고가 정점에 달했다.

마이크로소프트는 이날 트위터를 통해 아웃룩, 마이크로소프트 팀, 쉐어포인트 온라인, 원드라이브 포 비즈니스 등이 영향을 받았다고 밝혔다.

마이크로소프트는 6월 9일 자사의 Azure 클라우드 컴퓨팅 플랫폼이 영향을 받았다고 확인하면서 공격이 일주일 내내 계속되었다고 한다.

6월 8일, 컴퓨터 보안 뉴스 사이트 BleepingComputer.com 은 클라우드 기반 OneDrive 파일 검색이 한동안 전 세계적으로 중단되었다고 보도했다.

당시 마이크로소프트는 데스크톱 OneDrive 클라이언트는 영향을 받지 않았다고 BleepingComputer가 보도했다.

*City뉴스의 글을 번역,편집한 것입니다.