이미지: perplexity 생성
마이크로소프트의 협업 플랫폼 SharePoint 서버에서 발견된 치명적인 제로데이 취약점이 전 세계적인 사이버 공격의 진원지가 되며, 미국·유럽 정부기관과 글로벌 기업들이 연쇄적인 보안 피해를 입고 있다. CVE-2025-53770으로 명명된 이 취약점은 CVSS 9.8점의 최고 위험도를 기록하며, 현재까지 최소 100개 기관에서 침해가 확인되어 기업 보안과 정부 대응 체계에 심각한 위협이 되고 있다.
전례 없는 규모의 기업 피해 현황이번 SharePoint 제로데이 공격은 2025년 7월 18일부터 시작되어 단 72시간 만에 전 세계로 확산되었다. 네덜란드 보안기업 Eye Security의 바이샤 버나드 최고 해커는 "인터넷 스캔을 통해 거의 100개의 피해 조직을 확인했으며, 이는 해킹 기법이 널리 알려지기 전의 수치"라고 밝혔다. 특히 주목할 점은 피해 기관의 다양성이다. 미국과 독일을 중심으로 다국적 기업, 은행, 회계법인, 의료기관, 에너지 기업, 아시아 통신회사 등이 포함되어 있으며, 이는 SharePoint가 현대 기업의 핵심 협업 인프라로 자리잡은 현실을 보여준다. 기업 보안에 미치는 복합적 영향CVE-2025-53770 취약점의 가장 위험한 특징은 인증 우회를 통한 원격 코드 실행 능력이다. 공격자들은 이 취약점을 악용해 'spinstall0.aspx'라는 악성 웹셸을 설치하고, SharePoint 서버의 암호화 키(MachineKey)를 탈취하여 지속적인 접근권을 확보하고 있다. 더욱 심각한 문제는 SharePoint의 Microsoft 생태계 통합성이다. 팰로알토 네트웍스의 마이클 시코르스키 CTO는 "SharePoint가 침해되면 Outlook, Teams, OneDrive와 연결되어 전체 네트워크가 위험에 노출된다"며 "인터넷에 노출된 온프레미스 SharePoint를 운영하는 조직은 이미 침해당했다고 가정해야 한다"고 경고했다.
기업의 즉각적 대응 과제기업들이 직면한 가장 큰 도전은 단순한 패치 적용만으로는 해결되지 않는다는 점이다. 구글 클라우드 맨디언트의 찰스 카르마칼 CTO는 "패치 적용과 더불어 Microsoft에서 권고한 조치사항을 이행해야 하며, 특히 시스템이 이미 공격받았다는 가정하에 감염 여부를 점검해야 한다"고 강조했다. 기업들이 즉시 적용해야 할 보안 대책은 다음과 같다:
정부 대응 체계의 긴급 가동미국 정부의 신속한 대응 조치미국 사이버보안청(CISA)은 CVE-2025-53770을 '알려진 악용 취약점(KEV)' 목록에 긴급 추가하고, 연방기관들에 7월 21일까지 대응 조치를 완료하도록 지시했다. CISA 사이버보안 담당 부국장 직무대행 크리스 부테라는 "신뢰받는 파트너로부터 해당 악용 사실을 통보받았고, 즉시 마이크로소프트와 협력하여 조치에 들어갔다"고 발표했다. FBI도 즉시 대응에 나서며 "연방정부와 민간 부문 파트너들과 긴밀히 협력하고 있다"고 밝혔으나, 작전상의 세부사항은 공개하지 않고 있다. 국제적 정부 대응 현황캐나다 사이버 센터는 "캐나다에서도 악용 사례가 발생하고 있음을 인지하고 있다"며 자국 조직들에게 즉각적인 대응을 촉구했다. 워싱턴포스트 보도에 따르면 최소 두 개의 미국 연방기관 서버가 침해를 당했으며, 유럽연합(EU) 소속 정부기관, 브라질과 스페인 정부기관도 피해를 입었다. 특히 미국 동부의 한 주 정부는 공격자들이 주민들에게 제공되는 정부 문서 저장소를 "하이재킹"했다고 확인하며, "해당 문서들을 다른 저장소에서 다시 제공해야 할 것"이라고 발표했다. 정부의 장기적 보안 정책 전환점이번 사건은 정부의 사이버보안 정책에 중요한 전환점을 제공하고 있다. CISA는 "이는 국토 및 국가 안보를 위한 운영상 협력의 중요한 사례"라며 "연구 커뮤니티, 기술 제공업체, CISA 간에 구축된 신뢰와 협력 때문에 이러한 사이버 위협에 대한 신속한 식별과 대응이 가능했다"고 평가했다.
기술적 분석과 공격의 정교함ToolShell 공격 체인의 메커니즘CVE-2025-53770은 이전에 패치된 CVE-2025-49706의 변종으로 확인되었으며, "ToolShell"로 명명된 이 공격은 SharePoint의 신뢰할 수 없는 데이터 역직렬화 과정을 악용한다. 공격자들은 HTTP Referer 헤더 조작을 통해 인증을 우회하고, 악성 ASPX 파일을 업로드하여 암호화 비밀키를 추출한다. 특히 주목할 점은 공격의 일관성이다. 영국 사이버보안 회사 소포스의 레이프 필링 위협정보 책임자는 "현재로서는 하나의 해커 그룹이 벌인 것으로 보이지만, 상황은 언제든지 바뀔 수 있다"고 분석했다. 공격자들이 여러 표적에 동일한 디지털 페이로드를 전송하는 체계적 접근법을 사용하고 있어 대규모 조직적 공격의 특징을 보인다. 패치 타임라인과 대응 현황마이크로소프트는 7월 21일 SharePoint Subscription Edition과 SharePoint 2019에 대한 긴급 패치를 배포했으나, SharePoint 2016에 대한 패치는 여전히 개발 중이다. 이는 많은 기업과 기관들이 구버전을 사용하고 있어 추가적인 보안 위험이 지속되고 있음을 의미한다.
사이버보안 업계의 교훈과 전망제로데이 공격의 새로운 양상이번 사건은 연구 단계에서 실제 공격까지의 시간이 극도로 단축되었다는 점에서 주목받고 있다. 베트남 비엣텔 사이버시큐리티의 딘 호 안 코아가 Pwn2Own Berlin 2025에서 ToolShell 취약점을 발견하고 10만 달러 상금을 받은 후, 7월 14일 CODE WHITE GmbH가 공개 실증을 게시한 지 단 72시간 만에 대규모 공격이 시작되었다. 기업 보안 패러다임의 변화 필요성PwnDefend의 다니엘 카드는 "SharePoint 사건은 전 세계 다양한 서버에 광범위한 침해를 야기했다"며 "침해 가정 접근법을 취하는 것이 현명하며, 단순히 패치를 적용하는 것만으로는 충분하지 않다는 점을 이해하는 것이 중요하다"고 강조했다.
결론 및 향후 전망마이크로소프트 SharePoint 제로데이 공격은 현대 기업 보안과 정부 대응 체계의 취약성을 극명하게 드러낸 사건이다. 단일 협업 플랫폼의 취약점이 전 세계 100개 이상의 기관에 연쇄적 피해를 입히고, 정부와 민간의 핵심 인프라를 위협하는 현실은 사이버보안 패러다임의 근본적 전환 필요성을 시사한다. 특히 기업들은 더 이상 패치 중심의 수동적 보안에서 벗어나 '침해 가정' 기반의 능동적 보안 체계를 구축해야 하며, 정부는 민관 협력 체계를 더욱 강화하여 제로데이 공격에 대한 신속한 대응 능력을 확보해야 할 것이다.
참고자료 2025년, TechCrunch, "New zero-day bug in Microsoft SharePoint under widespread attack"
2025년, Associated Press, "Hackers exploit recently discovered vulnerability on Microsoft..."
2025년, IT데일리, "MS 셰어포인트, 제로데이 취약점 '비상'…긴급 패치 실시"
2025년, The Hacker News, "Critical Unpatched SharePoint Zero-Day Actively Exploited..."
2025년, CyberScoop, "Mass attack spree hits Microsoft SharePoint zero-day defect"
2025년, 씨넷코리아, "MS 쉐어포인트 서버, 제로데이 공격 발생…온프레미스 사용자 즉각 대응 필요"
2025년, ABC News, "Microsoft SharePoint under 'active exploitation,' Homeland Security's CISA says"
2025년, Reuters, "Microsoft server hack hit about 100 organizations, researchers say"
2025년, CISA, "Microsoft Releases Guidance on Exploitation of SharePoint Vulnerability (CVE-2025-53770)"
2025년, 데일리시큐, "[긴급] 온프레미스 MS 쉐어포인트 제로데이 공격 확산중"
| 
이미지: perplexity 생성
마이크로소프트의 협업 플랫폼 SharePoint 서버에서 발견된 치명적인 제로데이 취약점이 전 세계적인 사이버 공격의 진원지가 되며, 미국·유럽 정부기관과 글로벌 기업들이 연쇄적인 보안 피해를 입고 있다. CVE-2025-53770으로 명명된 이 취약점은 CVSS 9.8점의 최고 위험도를 기록하며, 현재까지 최소 100개 기관에서 침해가 확인되어 기업 보안과 정부 대응 체계에 심각한 위협이 되고 있다.
기업 보안 관점에서의 위기 상황
전례 없는 규모의 기업 피해 현황
이번 SharePoint 제로데이 공격은 2025년 7월 18일부터 시작되어 단 72시간 만에 전 세계로 확산되었다. 네덜란드 보안기업 Eye Security의 바이샤 버나드 최고 해커는 "인터넷 스캔을 통해 거의 100개의 피해 조직을 확인했으며, 이는 해킹 기법이 널리 알려지기 전의 수치"라고 밝혔다.
특히 주목할 점은 피해 기관의 다양성이다. 미국과 독일을 중심으로 다국적 기업, 은행, 회계법인, 의료기관, 에너지 기업, 아시아 통신회사 등이 포함되어 있으며, 이는 SharePoint가 현대 기업의 핵심 협업 인프라로 자리잡은 현실을 보여준다.
기업 보안에 미치는 복합적 영향
CVE-2025-53770 취약점의 가장 위험한 특징은 인증 우회를 통한 원격 코드 실행 능력이다. 공격자들은 이 취약점을 악용해 'spinstall0.aspx'라는 악성 웹셸을 설치하고, SharePoint 서버의 암호화 키(MachineKey)를 탈취하여 지속적인 접근권을 확보하고 있다.
더욱 심각한 문제는 SharePoint의 Microsoft 생태계 통합성이다. 팰로알토 네트웍스의 마이클 시코르스키 CTO는 "SharePoint가 침해되면 Outlook, Teams, OneDrive와 연결되어 전체 네트워크가 위험에 노출된다"며 "인터넷에 노출된 온프레미스 SharePoint를 운영하는 조직은 이미 침해당했다고 가정해야 한다"고 경고했다.
기업의 즉각적 대응 과제
기업들이 직면한 가장 큰 도전은 단순한 패치 적용만으로는 해결되지 않는다는 점이다. 구글 클라우드 맨디언트의 찰스 카르마칼 CTO는 "패치 적용과 더불어 Microsoft에서 권고한 조치사항을 이행해야 하며, 특히 시스템이 이미 공격받았다는 가정하에 감염 여부를 점검해야 한다"고 강조했다.
기업들이 즉시 적용해야 할 보안 대책은 다음과 같다:
AMSI(Antimalware Scan Interface) 활성화 및 Microsoft Defender AV 배포
ASP.NET MachineKey 값 재설정 및 IIS 서비스 재시작
패치 전까지 서버의 외부 인터넷 연결 차단
의심 파일 존재 여부 점검 및 로그 분석
정부 대응 체계의 긴급 가동
미국 정부의 신속한 대응 조치
미국 사이버보안청(CISA)은 CVE-2025-53770을 '알려진 악용 취약점(KEV)' 목록에 긴급 추가하고, 연방기관들에 7월 21일까지 대응 조치를 완료하도록 지시했다. CISA 사이버보안 담당 부국장 직무대행 크리스 부테라는 "신뢰받는 파트너로부터 해당 악용 사실을 통보받았고, 즉시 마이크로소프트와 협력하여 조치에 들어갔다"고 발표했다. FBI도 즉시 대응에 나서며 "연방정부와 민간 부문 파트너들과 긴밀히 협력하고 있다"고 밝혔으나, 작전상의 세부사항은 공개하지 않고 있다.
국제적 정부 대응 현황
캐나다 사이버 센터는 "캐나다에서도 악용 사례가 발생하고 있음을 인지하고 있다"며 자국 조직들에게 즉각적인 대응을 촉구했다. 워싱턴포스트 보도에 따르면 최소 두 개의 미국 연방기관 서버가 침해를 당했으며, 유럽연합(EU) 소속 정부기관, 브라질과 스페인 정부기관도 피해를 입었다.
특히 미국 동부의 한 주 정부는 공격자들이 주민들에게 제공되는 정부 문서 저장소를 "하이재킹"했다고 확인하며, "해당 문서들을 다른 저장소에서 다시 제공해야 할 것"이라고 발표했다.
정부의 장기적 보안 정책 전환점
이번 사건은 정부의 사이버보안 정책에 중요한 전환점을 제공하고 있다. CISA는 "이는 국토 및 국가 안보를 위한 운영상 협력의 중요한 사례"라며 "연구 커뮤니티, 기술 제공업체, CISA 간에 구축된 신뢰와 협력 때문에 이러한 사이버 위협에 대한 신속한 식별과 대응이 가능했다"고 평가했다.
기술적 분석과 공격의 정교함
ToolShell 공격 체인의 메커니즘
CVE-2025-53770은 이전에 패치된 CVE-2025-49706의 변종으로 확인되었으며, "ToolShell"로 명명된 이 공격은 SharePoint의 신뢰할 수 없는 데이터 역직렬화 과정을 악용한다. 공격자들은 HTTP Referer 헤더 조작을 통해 인증을 우회하고, 악성 ASPX 파일을 업로드하여 암호화 비밀키를 추출한다.
특히 주목할 점은 공격의 일관성이다. 영국 사이버보안 회사 소포스의 레이프 필링 위협정보 책임자는 "현재로서는 하나의 해커 그룹이 벌인 것으로 보이지만, 상황은 언제든지 바뀔 수 있다"고 분석했다. 공격자들이 여러 표적에 동일한 디지털 페이로드를 전송하는 체계적 접근법을 사용하고 있어 대규모 조직적 공격의 특징을 보인다.
패치 타임라인과 대응 현황
마이크로소프트는 7월 21일 SharePoint Subscription Edition과 SharePoint 2019에 대한 긴급 패치를 배포했으나, SharePoint 2016에 대한 패치는 여전히 개발 중이다. 이는 많은 기업과 기관들이 구버전을 사용하고 있어 추가적인 보안 위험이 지속되고 있음을 의미한다.
사이버보안 업계의 교훈과 전망
제로데이 공격의 새로운 양상
이번 사건은 연구 단계에서 실제 공격까지의 시간이 극도로 단축되었다는 점에서 주목받고 있다. 베트남 비엣텔 사이버시큐리티의 딘 호 안 코아가 Pwn2Own Berlin 2025에서 ToolShell 취약점을 발견하고 10만 달러 상금을 받은 후, 7월 14일 CODE WHITE GmbH가 공개 실증을 게시한 지 단 72시간 만에 대규모 공격이 시작되었다.
기업 보안 패러다임의 변화 필요성
PwnDefend의 다니엘 카드는 "SharePoint 사건은 전 세계 다양한 서버에 광범위한 침해를 야기했다"며 "침해 가정 접근법을 취하는 것이 현명하며, 단순히 패치를 적용하는 것만으로는 충분하지 않다는 점을 이해하는 것이 중요하다"고 강조했다.
결론 및 향후 전망
마이크로소프트 SharePoint 제로데이 공격은 현대 기업 보안과 정부 대응 체계의 취약성을 극명하게 드러낸 사건이다. 단일 협업 플랫폼의 취약점이 전 세계 100개 이상의 기관에 연쇄적 피해를 입히고, 정부와 민간의 핵심 인프라를 위협하는 현실은 사이버보안 패러다임의 근본적 전환 필요성을 시사한다. 특히 기업들은 더 이상 패치 중심의 수동적 보안에서 벗어나 '침해 가정' 기반의 능동적 보안 체계를 구축해야 하며, 정부는 민관 협력 체계를 더욱 강화하여 제로데이 공격에 대한 신속한 대응 능력을 확보해야 할 것이다.
참고자료
2025년, TechCrunch, "New zero-day bug in Microsoft SharePoint under widespread attack"
2025년, Associated Press, "Hackers exploit recently discovered vulnerability on Microsoft..."
2025년, IT데일리, "MS 셰어포인트, 제로데이 취약점 '비상'…긴급 패치 실시"
2025년, The Hacker News, "Critical Unpatched SharePoint Zero-Day Actively Exploited..."
2025년, CyberScoop, "Mass attack spree hits Microsoft SharePoint zero-day defect"
2025년, 씨넷코리아, "MS 쉐어포인트 서버, 제로데이 공격 발생…온프레미스 사용자 즉각 대응 필요"
2025년, ABC News, "Microsoft SharePoint under 'active exploitation,' Homeland Security's CISA says"
2025년, Reuters, "Microsoft server hack hit about 100 organizations, researchers say"
2025년, CISA, "Microsoft Releases Guidance on Exploitation of SharePoint Vulnerability (CVE-2025-53770)"
2025년, 데일리시큐, "[긴급] 온프레미스 MS 쉐어포인트 제로데이 공격 확산중"