프로그레스 쉐어파일, 보안위협에 서버 즉시 종료 지시
작성일
프로그레스, 쉐어파일 스토리지존 서버 긴급 셧다운 지시
“외부 보안위협” 확인했지만 정체·배후는 공개 안 해

프로그레스 소프트웨어(Progress Software)가 자사 파일 공유 플랫폼 쉐어파일(ShareFile) 고객들에게 스토리지 존 컨트롤러(Storage Zone Controller)를 구동하는 윈도우 서버를 즉시 종료하라고 통보했다. 회사는 더해커뉴스(The Hacker News)에 “신뢰할 수 있는 외부 보안 위협(credible external security threat)”에 대응하는 조치라고 확인했다. 프로그레스는 예방 차원에서 해당 계정 접근을 일시 차단했다고 밝혔다. 다만 위협의 구체적 정체나 배후는 공개하지 않았다.
이번 조치는 한 고객이 프로그레스가 보낸 이메일을 7월 10일(현지시각) 커뮤니티 레딧(Reddit)의 r/sysadmin에 게시하면서 외부에 알려졌다. 프로그레스는 상태 페이지에서 스토리지 존 컨트롤러 고객 서비스를 “가동 중단(not operational)”으로 표시했다. 사건은 현지시각 낮 12시 12분(미국 동부시간) 기준 업데이트에서도 여전히 조사 중이라고 밝혔다.
표준 클라우드 계정은 정상, 온프레미스 컨트롤러만 문제
이번 셧다운 지시는 스토리지 존 컨트롤러를 사용하는 고객에게만 해당한다. 클라우드로만 운영되는 표준 쉐어파일 계정은 영향을 받지 않는다.
블리핑컴퓨터(BleepingComputer)에 따르면 쉐어파일은 프로그레스 소프트웨어의 기업용 보안 파일 공유·협업 플랫폼으로, 고객이 파일을 프로그레스의 클라우드 인프라에 호스팅하도록 지원한다. 그런데 일부 기업은 온프레미스 윈도우 서버에 스토리지 존 컨트롤러를 배포한다. 파일은 자체 저장소에 남겨두면서 인증, 사용자 관리, 공유·협업 기능은 쉐어파일 클라우드를 그대로 이용하는 하이브리드 방식이다.
이 구조에서 클라우드는 사용자를 인증하고 어느 스토리지 존에 파일이 있는지 판단한다. 사용자가 파일을 업로드하거나 다운로드하면 쉐어파일은 요청을 해당 기업의 스토리지 존 컨트롤러로 전달한다. 컨트롤러는 회사 자체 저장소에서 파일을 가져오거나 저장한 뒤 사용자에게 전송한다. 클라우드와 고객 관리 저장소 사이에서 파일 전송을 처리하다 보니 스토리지 존 컨트롤러는 대체로 인터넷에서 접근 가능한 서버로 운영된다. 네트워크 경계에 위치해 외부에서 닿을 수 있다는 특성이 유용함과 동시에 공격 표적이 되는 이유이기도 하다.

“패치하라”가 아니라 “꺼라”…이례적 지시가 말해주는 것
프로그레스가 보낸 이메일 제목은 “서비스 중단. 즉시 조치 필요(Service Disruption. Immediate Action Required)”였다. 이메일 본문에는 “프로그레스 소프트웨어의 쉐어파일 스토리지 존 컨트롤러를 표적으로 하는 신뢰할 수 있는 외부 보안 위협이 있다고 판단할 근거가 있다”고 적혀 있다. 이어 “현재로서는 프로그레스 쉐어파일 계정이나 데이터에 대한 무단 접근의 흔적은 없다. 예방 차원에서 스토리지 존 컨트롤러를 사용하는 쉐어파일 계정 접근을 일시적으로 차단했다”고 설명했다.
특히 눈에 띄는 대목은 “스토리지 존 컨트롤러를 호스팅하는 서버를 직접 수동으로 종료해야 한다. 이는 데이터 안전을 보장하기 위한 중요한 추가 조치”라는 문구다. 클라우드 쪽에서 접근을 막는 것만으로는 위협을 억제하기에 충분하지 않다는 뜻으로 읽힌다.
더해커뉴스는 이 지점을 분석하며 “만약 이번 위협에 대한 해결책(패치)이 있었다면 프로그레스는 그것을 적용하라고 안내했을 것”이라고 짚었다. 서버를 통째로 끄라는 지시는 아직 고칠 방법이 없다는 신호로 볼 수 있다는 것이다. 이는 회사가 서둘러 막고 있는 새로 발견된 결함일 가능성이 크지만, 패치로 해결할 수 없는 성격의 위협, 예컨대 탈취된 키나 프로그레스 자체 시스템의 문제일 가능성도 배제할 수 없다고 덧붙였다. “계정과 데이터에 접근한 흔적이 없다”는 표현 역시 컨트롤러 자체에서 벌어진 문제까지 부정하는 것은 아니라는 해석이 나온다.
24시간 내 추가 공지 예고…고객은 서버 오프라인 유지해야
프로그레스는 내부 및 외부 사이버보안 전문가와 함께 위협을 조사 중이며 예방 차원(abundance of caution)에서 임시 제한 조치를 취했다고 밝혔다. 블리핑컴퓨터에 따르면 회사는 고객들에게 24시간 안에 추가 업데이트를 제공할 계획이라고 전했다.
더해커뉴스는 고객이 지금 해야 할 일도 정리했다. 우선 프로그레스의 종료 지시를 그대로 따르고, 위협의 정체와 재가동 가능 시점을 회사가 알려주기 전까지 컨트롤러를 오프라인 상태로 유지해야 한다는 것이다. 아울러 소프트웨어 버전이 5.x 라인에서는 5.12.4 이상, 혹은 6.x 계열인지 확인하라고 권고했다. 이 버전들은 올해 초 수정된 결함을 막아주지만, 프로그레스가 이번 위협까지 해소된다고 밝힌 것은 아니므로 재가동을 허용하는 신호로 받아들여서는 안 된다고 강조했다.
컨트롤러가 인터넷에서 접근 가능한 상태였다면 실제 침해 사고 가능성을 열어두고 로그를 보존하며 사고 대응 절차를 시작해야 한다는 조언도 나왔다. 웹 폴더와 저장 경로에서 낯선 .aspx 파일이 있는지 점검하라는 구체적 권고도 포함됐다. 프로그레스가 위협의 정확한 정체를 밝히지 않은 만큼, 스토리지 존 컨트롤러를 운영 중인 기업들은 회사의 다음 공지를 주시할 필요가 있다.