
“패치하세요”가 아니라 “서버 전원을 뽑으세요”. 기업용 파일공유 서비스 셰어파일(ShareFile)을 운영하는 프로그레스 소프트웨어(Progress Software)가 지난 9일 밤(현지시간) 일부 고객에게 이례적인 긴급 공지를 보냈습니다. “신뢰할 만한 외부 보안 위협”이 확인됐다며, 스토리지존 컨트롤러(Storage Zone Controller)를 쓰는 고객은 클라우드 접근 차단만으로는 부족하니 해당 서버를 직접 꺼야 한다는 내용이었습니다.
무슨 일이 있었나 — 프로그레스의 이례적 긴급 공지
스토리지존 컨트롤러는 기업이 자체 윈도우 서버에 설치해 파일을 사내 저장소에 그대로 두면서도, 사용자 인증이나 공유 기능은 셰어파일 클라우드에 맡기는 하이브리드 구조의 핵심 장비입니다. 인터넷과 사내 저장소를 잇는 길목에 있다 보니 외부에서 접근 가능한 서버인 경우가 많습니다.
제목부터 “서비스 중단, 즉시 조치 필요”였던 이 이메일에서 프로그레스는 “현재까지 셰어파일 계정이나 데이터에 대한 무단 접근 정황은 없다”면서도 “예방 차원에서 스토리지존 컨트롤러를 쓰는 계정의 접근을 임시 차단했다”고 밝혔습니다. 이어 “컨트롤러가 설치된 서버를 직접 종료하는 것이 데이터 안전을 위한 필수 추가 조치”라고 못박았습니다. 이 공지는 한 고객이 레딧 커뮤니티 r/sysadmin에 이메일을 공개하며 외부에 알려졌고, 셰어파일 상태 페이지에도 “스토리지존 컨트롤러 고객은 서비스 이용 불가” 문구가 떴습니다. 위협의 실체가 제로데이 취약점인지, 실제 컨트롤러가 뚫렸는지는 아직 공개되지 않았습니다.
2023년 MOVEit, 그리고 이번 셰어파일 — 뭐가 같고 다른가
프로그레스라는 이름을 들으면 보안 업계가 먼저 떠올리는 건 2023년 MOVEit 사태입니다. 당시 프로그레스의 파일 전송 솔루션 MOVEit Transfer의 제로데이 결함을 랜섬웨어 조직 클롭(Clop)이 악용해, 전 세계 2,700곳 넘는 기관에서 데이터를 훔쳐낸 뒤 금품을 요구했던 사상 최대급 공급망 해킹 중 하나였습니다.
셰어파일 역시 낯선 이름이 아닙니다. 2023년 이 제품이 아직 시트릭스(Citrix) 소속이던 시절, 스토리지존 컨트롤러의 인증 우회 결함(CVE-2023-24489)이 실제 공격에 악용돼 CISA의 실공격 확인 목록(KEV)에 오른 전례가 있습니다. 프로그레스는 2024년 셰어파일을 인수했고, 올해 4월에도 보안업체 왓치타워(watchTowr)가 스토리지존 컨트롤러의 치명적 결함 2건을 공개했는데 이는 3월에 이미 패치된 상태였습니다. 이번 위협이 이들 결함과 관련 있는지는 아직 확인되지 않았습니다.
공통점은 뚜렷합니다. 셋 다 기업이 외부와 파일을 주고받기 위해 인터넷에 열어둔 서버라는 점, 그리고 뚫리면 파급 범위가 개별 기업 하나로 끝나지 않는다는 점입니다.
왜 셰어파일 스토리지존 컨트롤러는 “전원을 뽑아라”까지 갔나
취약점이 나오면 보통 벤더는 패치 배포와 접근 제한 정도로 대응합니다. 그런데 이번엔 클라우드 쪽 접근을 막은 것에 더해 물리적으로 서버 전원을 내리라는, 한 단계 더 강한 조치를 요구했습니다. 클라우드 차단만으로는 위협을 막기 부족하다고 판단했다는 뜻으로 읽힙니다.
원인조차 공개하지 않은 채 나온 조치라 더 이례적입니다. 스토리지존 컨트롤러 같은 인터넷 노출 서버는 한 번 뚫리면 공격자가 내부망으로 이동하는 발판이 되기 쉽고, 이런 장비를 겨냥한 공격은 대개 광범위한 데이터 탈취로 이어져온 전례가 있다는 점도 프로그레스가 이렇게까지 강하게 나온 배경으로 보입니다.
셰어파일 이용 기업이 가장 궁금해할 질문들
우리 회사도 대상인가요? 스토리지존 컨트롤러를 자체 서버에 설치해 쓰는 고객만 해당합니다. 클라우드에만 파일을 저장하는 일반 셰어파일 계정은 이번 조치 대상이 아닙니다.
지금 뭘 확인해야 하나요? 우선 프로그레스의 종료 지시를 그대로 따르고, 안전하다는 공식 안내가 나올 때까지 서버를 켜지 마세요. 그다음 소프트웨어 버전이 5.x라면 5.12.4 이상, 아니라면 6.x 최신판인지 확인하세요. 다만 이 버전들은 지난 4월 공개된 결함에 대한 패치일 뿐, 이번 위협을 막아준다는 보장은 프로그레스도 하지 않았습니다.
서버가 인터넷에 노출돼 있었다면 이미 사고가 났을 가능성을 염두에 두고 로그를 보존하세요. 웹 폴더나 저장 경로에 낯선 .aspx 파일이 있는지도 함께 확인하는 것이 좋습니다. 겉보기에 깨끗하다고 안심할 근거는 되지 않습니다.
언제쯤 재가동할 수 있나요? 프로그레스는 24시간 내 추가 공지를 약속했지만, 이 글을 쓰는 시점까지 위협의 정체나 재가동 시점은 공식적으로 확정되지 않았습니다.
셰어파일 사건이 남기는 신호
아직 CVE 번호도, 공격자도, 피해 규모도 확인되지 않은 사건입니다. 그럼에도 이 사건을 주목할 이유는 분명합니다. 벤더가 원인도 밝히지 못한 채 고객에게 서버 전원을 내리라고 요구할 정도면, 내부적으로는 상당히 심각하게 보고 있다는 뜻이기 때문입니다.
파일공유·파일전송 솔루션이 반복해서 대형 사고의 진앙이 되어온 패턴은 이번에도 예외가 아닐 가능성이 있습니다. 인터넷에 열어둔 파일 서버 하나가 회사 전체의 약점이 될 수 있다는 사실을, 이번 사건이 다시 한번 일깨워주고 있습니다.