MS 셰어포인트 제로데이 취약점 발견…정부·기업 비상

By곽중희

CIS “100개 조직 침해 가능성”…“단순 패치로 해결 안 돼”

마이크로소프트의 협업 플랫폼 ‘셰어포인트 서버(SharePoint Server)’의 제로데이 취약점을 노린 해킹 공격이 확산되고 있다. 미국·유럽 정부기관과 에너지 기업, 아시아 통신사까지 피해가 발생해 각국 정부와 보안업계가 긴급 대응에 나섰다.

마이크로소프트는 19일 마이크로소프트보안대응센터(MSRC) 블로그를 통해 해당 취약점에 대한 고객 대응 가이드를 발표했다.

마이크로소프트에 따르면, 이번에 발견된 취약점은 CVE-2025-53770과 CVE-2025-53771 등 2개로, 내부 구축형 셰어포인트 서버에 영향을 미친다. 클라우드 기반 서비스인 마이크로소프트 365의 ‘셰어포인트 온라인(SharePoint Online)’은 이번 취약점의 영향을 받지 않는다.

공격자는 해당 취약점을 악용해 웹셸(Webshell, 원격 명령 수행용 악성 스크립트)을 설치하고, 관리자 권한을 탈취한 뒤 암호화된 정보를 유출하고 재침입을 위한 인증키까지 확보한 것으로 알려졌다.

마이크로소프트는 셰어포인트 서버 구독 버전과 2019 버전에 대한 보안 패치를 7월 20일 배포했으며, 아직 패치가 적용되지 않은 버전 사용자에게는 즉시 적용 가능한 임시 대응책을 안내했다. 권고된 대응 조치에는 ▲취약 기능의 비활성화 ▲외부 네트워크 접근 제한 ▲AMSI(Antimalware Scan Interface) 활성화 ▲머신 키 회전 ▲의심스러운 활동 탐지를 위한 로그 분석 등이 포함된다. 특히, AMSI를 사용할 수 없는 환경에서 서버를 인터넷에서 격리하거나 노출을 차단할 것을 강조했다. AMSI는 마이크로소프트의 악성코드 탐지용 인터페이스다.

미국 주·지방정부의 사이버 위협 정보 공유를 담당하는 비영리 단체인 ‘인터넷 보안 센터(CIS)’는 이번 공격과 관련해 약 100개 조직에 침해 가능성을 통보했다.

미국 워싱턴포스트(WP)는 20일(현지시간) 마이크로소프트의 셰어포인트 서버의 미공개 취약점을 노린 공격이 미국 연방·주 정부기관, 대학, 에너지 기업, 아시아 통신사 등을 대상으로 지난 며칠간 광범위하게 진행됐다고 보도했다.

미국·캐나다·호주 정부는 현재 공격 실태를 조사하고 있으며, 글로벌 사이버보안 기업 크라우드스트라이크, 팔로알토네트웍스, 아이시큐리티(Eye Security) 등도 침해 사실을 확인하고 피해 범위를 조사 중이다. 미국 연방수사국(FBI)은 “정부 및 민간 파트너들과 긴밀히 협력 중”이라고 밝혔다.

국토안보부 산하 사이버안보·인프라보안국(CISA)은 이 취약점이 과거에 발견된 유사한 결함을 우회해 침입할 수 있는 구조였다고 분석했으며, 민간 보안업체로부터 경고를 받은 즉시 마이크로소프트에 사실을 전달하고 대응에 착수했다고 설명했다. 하지만 최근 예산 삭감으로 사고 대응 인력의 65%가 줄어들면서, 대응 속도에 어려움이 있었던 것으로 알려졌다.

현재까지 피해가 확인된 조직은 미국 연방기관 2곳을 비롯해 아시아의 통신사, 브라질 대학, 스페인 및 미국 앨버커키 지방정부, 유럽 정부기관 등으로 알려졌다. 일부 해킹 피해 사례에서는 해커가 공공 문서 저장소에 접근해 삭제하거나 차단한 정황도 포착됐다.

미국 내에서는 학교와 지자체 등 공공기관의 대응 회의가 잇따르고 있다. 보안 전문가들은 “셰어포인트 서버를 사용하는 조직은 즉시 점검에 나서야 하며, 감염을 전제로 한 선제 대응이 필요하다”며 우려를 표하고 있다.

구글 위협 인텔리전스 그룹은 이번 셰어포인트 취약점을 악용한 공격자가 웹셸 형태의 악성 스크립트를 설치하고, 피해 서버에서 암호화된 기밀 정보를 유출한 정황을 확인했다고 밝혔다. 인증되지 않은 접근이 장기간 유지될 수 있어 피해 조직에 심각한 보안 위협을 초래할 수 있다는 것이다.

찰스 카르마칼 구글 클라우드 맨디언트 컨설팅 최고기술책임자(CTO)는 “인터넷에 노출된 온프레미스 셰어포인트 서버를 사용하는 조직은 즉시 완화 조치를 시행하고 패치가 배포되면 지체 없이 적용해야 한다”며 “현재는 단순히 패치를 기다릴 상황이 아니며, 감염 가능성을 전제로 침해 여부를 먼저 점검해야 한다”고 강조했다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network

사람을 위한 보안, 인류를 위한 AI, 변화를 위한 IT를 취재합니다. 끝까지 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.