CISA(Cybersecurity and Infrastructure Security Agency)? ?? ??? ???? ??? ??? ??, ?? ????? ??? ???? ??? ????? ??? ?? ?? ??? ??? ?? ???? ??. Credit: Ascannio - shutterstock.com 공격자들이 마이크로소프트(MS) 쉐어포인트 서버의 기존에 알려지지 않았던 취약점을 악용하고 있으며, 보안 연구진은 7월 18일부터 시작된 공격으로 전 세계 수십 대의 서버가 침해된 사실을 확인했다. MS는 에서, 지난 7월 보안 업데이트가 해당 문제를 일부만 해결했으며, 완전한 보호를 위해 기업이 추가로 구성 변경을 해야 한다고 밝혔다. 새롭게 지정된 취약점 CVE-2025-53770과 CVE-2025-53771을 방어하기 위해 MS는 쉐어포인트 서버 팜 전체에 AMSI 통합 기능을 활성화하고 MS 디펜더를 배포할 것을 권장했다. MS는 “7월 보안 업데이트에서 일부만 해결된 취약점을 악용해 온프레미스 쉐어포인트 서버 고객을 대상으로 실제 공격이 진행되고 있다”라며 “이 취약점은 온프레미스 쉐어포인트 서버에만 해당되며, 마이크로소프트 365의 쉐어포인트 온리인 은 영향을 받지 않는다”라고 전했다. 이번 제로데이 취약점은 인증 없이 원격에서 코드를 실행할 수 있게 해, 사이버 공격자가 대상 시스템을 완전히 통제할 수 있는 심각한 위협으로 평가된다. 그레이하운드리서치(Greyhound Research)의 수석 분석가이자 CEO인 산치트 비르 고기아는 “이번 취약점은 협업 인프라는 느슨한 일정에 맞춰 패치해도 된다는 기존의 기업 인식을 정면으로 뒤흔든다”고 분석했다. 복합 취약점 체인이 치명적 보안 허점 드러내 이번 공격은 고도화된 취약점 체인을 활용한 것으로, 보안 전문가들은 이를 통해 벤더들의 위협 평가 방식에 근본적인 결함이 있음을 보여준다고 지적했다. 비글시큐리티(Beagle Security)의 어드바이저 수닐 바르키는 “MS는 CVE-2025-49706과 CVE-2025-49704에 대해 개별 패치를 제공했지만, 이를 연계한 취약점 체인 전체를 완전히 해결하지 못해 그 변종인 CVE-2025-53770이 여전히 남아 있었다”고 설명했다. 바르키는 “사이버보안에서 하나의 취약점도 큰 위협이 될 수 있지만, 여러 취약점이 조합되면 그 결과는 치명적”이라며 “이번 사안은 단순한 기술적 실수가 아니라, 각각의 요소가 결합해 더 위험한 결과를 만든다는 사실을 전략적으로 간과한 것”이라고 전했다. 이 제로데이 취약점은 공식적인 익스플로잇 코드가 공개되지 않았음에도 불구하고, 연구자에 의해 처음 발견된 후 72시간 만에 실제 공격으로 이어졌다. 고기아는 “이번 사건은 부분적인 기술 정보 공개만으로도 정교한 공격자가 익스플로잇을 재구성하고 타깃 공격을 수행할 수 있다는 점을 잘 보여준다”라고 밝혔다. 보안 키 유출로 기업 피해 확산···중앙 인프라 직접 타격 이번 공격은 쉐어포인트가 문서 협업과 업무 흐름 관리의 핵심 허브로 기능하는 기업 환경에 특히 심각한 위협을 가한다. 단순 명령 실행에 그쳤던 기존 웹 기반 공격과 달리, 이번 익스플로잇은 쉐어포인트의 암호화 인프라를 정조준해 지속적인 접근 권한을 확보하려는 시도가 핵심이다. 보안 연구진에 따르면, 공격자는 ‘spinstall0.aspx’라는 파일을 업로드한 뒤 MS 쉐어포인트 서버의 MachineKey 설정, 즉 ValidationKey와 DecryptionKey를 탈취했다. 네덜란드 보안업체 아이시큐리티(Eye Security)는 “이 암호화 정보가 유출되면 공격자는 완전히 유효하고 서명된 __VIEWSTATE 페이로드를 생성할 수 있다”라고 . 아이시큐리티는 대규모 침해 캠페인을 최초로 식별한 기업으로, 7월 18일 오후 6시(중부유럽시간 기준)부터 조직적으로 취약한 서버들을 노린 공격이 시작됐다고 밝혔다. “불과 몇 시간 만에 동일한 경로에서 동일한 페이로드로 침해된 서버가 수십 대 이상 발견됐다”고 연구진은 전했다. 공격의 심각성은 미국 연방정부 차원의 신속한 대응을 이끌어냈다. CISA는 CVE-2025-53770을 7월 20일 ‘악용 중인 취약점 목록(Known Exploited Vulnerabilities)’에 등록했으며, 연방 시민 집행기관(FCEB)에 7월 21일까지 해당 취약점을 반드시 완화할 것을 . 클라우드 전환 필요성 재조명···온프레미스만 피해 입어 CVE-2025-53770은 MS의 클라우드 기반 쉐어포인트 온라인에는 영향을 미치지 않고 온프레미스 버전에만 해당된다. 이 차이는 협업 플랫폼의 클라우드 전환을 다시금 부각시키는 계기가 되고 있다. 고기아는 “쉐어포인트 온라인의 안전성은 우연이 아니다. 중앙화된 텔레메트리, 통합 위협 대응, 자동 패치가 가능한 서비스 기반 설계 덕분”이라며 “이제 보안 중심 설계는 선택이 아니라 필수”라고 말했다. 즉각적인 클라우드 전환이 어려운 기업은 단기적인 완화 조치가 반드시 필요하다. MS는 고객에게 쉐어포인트 내 AMSI 통합을 설정하고, 모든 쉐어포인트 서버에 디펜더 AV를 배포할 것을 권고했다. “이 조치는 인증되지 않은 공격자가 해당 취약점을 악용하는 것을 방지할 수 있다”고 MS는 밝혔다. AMSI를 활성화할 수 없는 경우, 보안 업데이트가 배포될 때까지 서버를 인터넷에서 분리하는 것도 고려하라고 MS는 덧붙였다. 아울러 보안 업데이트 이후 ASP.NET의 머신키(MachineKey)를 교체하고 IIS 서비스를 재시작하는 것이 중요하다고 강조했다. 이번 공격에 사용된 취약점 체인 ‘ToolShell’은 지난 5월 Pwn2Own 베를린 콘퍼런스에서 두 가지 알려진 취약점을 결합한 것이다. MS는 당시 해당 취약점에 대한 패치를 적용했지만, 공격자들은 이를 우회하는 변종을 신속히 개발해 실제 공격에 사용했다. 바르키는 “MS가 이번 상황을 예측하지 못한 배경에는 불완전한 패치 검증, 연계된 취약점 체인에 대한 위협 모델링 부족, 제한된 공격자 관점 테스트, 공개 이후 익스플로잇의 빠른 진화가 있었다”고 분석했다. 기업 보안 대응 전략···즉각적인 가시화와 탐지 역량 필요 MS와 CISA의 권고 모두 기업 보안팀이 침해 가능성을 즉시 점검하고, 전방위적인 모니터링 체계를 구축할 필요가 있다고 강조하고 있다. 특히 쉐어포인트는 아웃룩, 팀즈, 원드라이브 등 MS 핵심 서비스와 연동돼 있기 때문에, 침해가 발생하면 자격 증명 탈취와 수평 확산을 통해 네트워크 전체로 위협이 확장될 수 있다. 고기아는 “보안 대응 체계는 이상 접근 패턴의 실시간 탐지, 자동 비밀키 교체, 지속적인 익스플로잇 감시를 포함해야 한다”라며 “CVE 경고를 단순 참고 자료로 인식하는 시대는 지났다. 취약점 악용 가능성이 보이는 순간부터 즉시 대응 체계를 작동해야 한다”고 조언했다.dl-ciokorea@foundryco.com ???? ???? ??? ??? IT ??? ???? ??? ????! ??? ??? ??? ?????. ????