Security

中 해커, SharePoint 제로데이 악용…CISA 긴급 경보

Donghwi Shin

Published: 15:41, 23 Jul 2025 (Updated: 18:11, 17 Nov 2025)

💡

Editor Pick
- CISA, Microsoft SharePoint 취약점 KEV 추가 및 조치 의무화
- Linen Typhoon, Violet Typhoon에 의해 악용

미국 사이버안보국(CISA)이 7월 22일, Microsoft SharePoint 서버의 치명적 보안 취약점 2건을 ‘악용 확인 취약점(KEV)’ 목록에 추가했다. 대상은 CVE-2025-49704와 CVE-2025-49706으로, 이미 실제 공격에서 사용 중인 것으로 확인됐다. 미국 연방 민간기관(FCEB)에는 7월 23일까지 해당 취약점에 대한 조치가 의무화됐다.

문제의 두 취약점은 각각 코드 역직렬화와 인증 우회를 통한 원격 코드 실행(RCE) 취약점으로, 함께 악용될 경우 인증된 사용자가 아닌 이도 내부 SharePoint 서버에 접근할 수 있다. CISA는 이들 결합 취약점이 ‘ToolShell’로 알려진 공격 체인에 활용되고 있다고 밝혔다.

Microsoft는 해당 취약점이 최소 7월 7일부터 중국 국적 해킹 조직 Linen Typhoon과 Violet Typhoon에 의해 악용됐다고 공식 발표했다. 이들은 온프레미스 SharePoint 서버에 침투해 인증 토큰과 암호화 키를 탈취, 장기적인 권한 상승과 후속 공격에 사용한 것으로 알려졌다.

이 공격은 인증이 없는 상태에서도 공격을 가능하게 하는 CVE-2025-53770과 연계된다. Microsoft는 해당 취약점이 CVE-2025-49704와 49706의 패치 우회를 통해 구성된 것으로 분석했다. 53770의 핵심은 ToolPane.aspx 파일의 ViewState 처리 취약점으로, 공격자는 정교한 페이로드를 통해 인증 없이 원격 명령 실행이 가능하다.

Microsoft 측은 “최초 공개 당시의 정보는 정확하며, 이후 별도 업데이트는 일반적으로 진행하지 않는다”고 밝혔다. 그러나 CISA와의 협력을 통해 KEV 목록에는 지속적으로 최신 악용 정보를 제공하고 있다고 덧붙였다.

보안 기업 watchTowr는 해당 취약점을 이용해 Microsoft가 권장한 방어책인 AMSI(안티맬웨어 스캔 인터페이스)를 우회하는 방법을 자체 개발했다고 밝혔다. CEO 벤자민 해리스는 “일부 기관이 패치 없이 AMSI 활성화만으로 안심하는 것은 매우 위험하다”며 경고했다.

전문가들은 이미 국가 수준 해킹 그룹이 개입한 만큼, 단순한 방어로는 위험을 줄이기 어렵다고 입을 모은다. 악성 페이로드 대부분이 AMSI를 무력화하기 때문에, 패치 적용과 함께 암호화 키 회전 및 웹셸 탐지 등 다계층 방어가 필수라는 조언이 나온다.

이번 공격은 과거 SolarWinds 사태와 유사하게, 정교한 인증 우회와 장기 침투를 특징으로 한다. 특히 SharePoint Server는 기업 내부 시스템과 연계된 경우가 많아, 침투 이후 영향 범위가 광범위할 수 있다.

CISA는 악용 사례가 지속적으로 확인되고 있으며, SharePoint Online은 영향이 없지만, 온프레미스 버전 사용자들은 즉시 패치를 적용하고, 키 재설정과 탐지 정책 강화에 나서야 한다고 강조했다.