MS 셰어포인트, 제로데이 취약점 ‘비상’…긴급 패치 실시

[아이티데일리] 마이크로소프트(MS)의 협업 플랫폼 ‘셰어포인트(SharePoint)’에서 공격자가 원격으로 악성코드를 실행할 수 있는 취약점이 발견됐다. 전 세계에서 피해 사례가 발생하고 있어 보안 패치 적용이 시급한 상황이다.

20일(현지 시각) 포브스(Forbes) 등 외신에 따르면, 해커들은 MS 셰어포인트에서 발견된 ‘알려지지 않은(제로데이; Zero-day)’ 취약점을 악용해 공격을 펼치고 있다. 구축형 셰어포인트 서버에만 해당하며 MS 365에서 제공하는 셰어포인트 온라인은 이번 취약점의 영향을 받지 않는다.

‘CVE-2025-53770’으로 명명된 이 취약점은 원격 코드 실행(Remote Code Execution; RCE) 공격에 악용될 수 있다. RCE는 신뢰할 수 없는 사용자가 외부 장치를 통해 서버에 악성코드를 실행시키는 공격으로, 이를 통해 공격자가 손상된 시스템을 제어하는 일도 가능하다.

네덜란드 소재 보안 기업 ‘아이시큐리티(Eye Security)’는 지난 19일(현지 시각) CVE-2025-53770을 발견하고 이 사실을 MS에 공유했다. MS는 즉각 보안 권고 사항을 공지했으며 21일 취약점 패치를 배포했다. 다만 셰어포인트 서버 2016에 대한 패치는 아직 제공되지 않고 있다.

MS는 셰어포인트 서버 사용자에게 △최신 보안 업데이트 적용과 함께 △멀웨어 방지 검사 인터페이스(AMSI) 작동 여부 점검 △셰어포인트 서버의 ASP닷넷(ASP.NET) 컴퓨터 키 변경 등을 권고했다.

많은 기업과 기관에서 사용하는 솔루션인 만큼 피해 사례도 속속 들리고 있다. 아이시큐리티 피터 커코프스(Piet Kerkhofs) 최고기술책임자는 보안 전문 외신 ‘블리핑컴퓨터(BleepingComputer)’를 통해 “이번 제로데이 취약점으로 전 세계 85개 이상의 셰어포인트 서버가 손상됐고 54여 개 조직에서 피해가 발생했다”고 밝혔다.

구글 위협 인텔리전스 그룹(GTIG)도 CVE-2025-53770을 악용해 ‘웹셸(Webshell)’을 설치하고 피해 서버에서 암호화된 기밀을 유출하는 공격자를 발견했다. GTIG는 인증되지 않은 접근이 지속되면 조직에 심각한 위험을 초래할 수 있다고 우려했다.

구글 클라우드 맨디언트 컨설팅 찰스 카르마칼(Charles Carmakal) 최고기술책임자(CTO)는 “이번 취약점은 패치 적용만으로 끝나지 않는다. 보안 패치와 더불어 MS에서 권고한 조치 사항을 이행해야 한다”며 “특히 시스템이 이미 공격받았다는 가정하에 감염 여부를 점검해야 한다”고 조언했다.

한편, 미국 사이버보안 및 인프라 보안국(CISA)에서도 취약점 대응에 나섰다. CISA는 20일(현지 시각) 셰어포인트 취약점 악용에 대한 지침을 발표하고, CVE-2025-53770을 ‘알려진 악용 취약점(Known Exploited Vulnerabilities; KEV)’ 목록에 추가했다. 미국 연방 정부 산하 기관은 정해진 기간 내로 KEV에 추가된 취약점에 대한 보안 패치를 완료해야 한다.