온프레미스 MS 쉐어포인트 제로데이 공격 사례 및 대응 방법

1. 공격 사례 및 확산 현황

2025년 7월, 온프레미스 Microsoft SharePoint 서버에서 CVE-2025-53770과 CVE-2025-53771 제로데이 취약점이 공개되었으며, 실제 공격이 전 세계적으로 빠르게 확산되었습니다^[1]^[2]^[3].
해당 취약점들은 인증 없이 원격에서 악의적인 웹셸을 심거나, 암호화 키 등 민감한 정보를 탈취할 수 있게 하여, 정부기관·에너지·금융·통신사 등 핵심 인프라를 다수 침해하는 사례가 발생했습니다^[4]^[5]^[3]^[6].
'ToolShell'이라는 별칭으로 불리는 공격 체인은 인증 우회(sploofing) 후 원격코드실행(RCE)이 가능한 치명적 방식입니다^[7]^[8].
일부 공격자는 중국 연계 해킹 그룹으로 지목되고 있으며, 이미 400개 이상의 조직, 수천 개 서버가 침해됐다는 보고가 있습니다^[3]^[9].
Microsoft의 365 기반 SharePoint Online(클라우드 버전)은 이 취약점 영향에서 제외되어 있습니다^[4]^[7]^[10].

2. 공격 메커니즘 (기술적 특징)

CVE-2025-53771 : 인증을 Fake Referer header로 우회하여 SharePoint 워크플로우를 합법적으로 가장할 수 있음.
CVE-2025-53770 : 비신뢰 데이터의 비안전 역직렬화로 인해 인증 없는 원격 코드 실행(RCE) 가능.
이 둘을 연계 → 서버 권한 탈취, 웹셸 삽입/지속적 후속 침입 경로 확보^[8]^[11]^[12].

예시 시나리오

공격자는 인터넷에 노출된 SharePoint 온프레미스 서버의 취약점을 검색.
취약한 엔드포인트로 요청을 보내 인증 우회 후, 악성 aspx 웹셸(spinstall0.aspx 등)을 업로드.
서버의 MachineKey/암호화 토큰 탈취, 내부 파일/계정/이메일 정보 접근 권한 확보.
내부 아웃룩, 팀즈 등 주요 시스템 계정 정보 추가 탈취 및 후속 공격 파생^[5]^[13]^[7].

3. 공식 대응 가이드 \& 단계별 예시

1) 즉각적 긴급 조치 (패치 미적용 시 기준)

서버 인터넷 연결 차단 : 네트워크 차단으로 외부 침입을 조기에 방지.
예시: 사내 방화벽 또는 ACL로 80, 443 포트 일시 폐쇄.
AMSI(안티 멀웨어 스캔 인터페이스) 활성화 : 악성 스크립트 탐지 강화.
Defender Antivirus 최신 설치 및 실시간 감시 설정.
불가피한 상황이면 폐쇄망/격리 환경 전환 : 직접 업무 네트워크에서 분리해 외부공격망 차단^[10]^[11].

2) 취약점 점검 및 침해 지표(IoC) 탐지

웹셸, 파일 변조 검사 : spinstall0.aspx 등 불필요 aspx, 스크립트 파일 유무 확인.
시스템 접근 로그(로그온 기록·원격명령 내역) 상세 분석 : 비정상 인가 시도, 관리자 권한 탈취 흔적 등.
암호화 인증키, 세션 토큰 등 보안정보 주기적 갱신 : 공격자 재침입 창구 최소화.

예시: Windows Event Log, IIS 접근로그, SharePoint 자체 ULS 로그 확인 및 수집

3) 장기 보안 강화

공급사(MS) 최신 패치, Hotfix 즉시 적용 : 2025년 7월말 기준으로 일부 버전에만 긴급 패치 제공, 미지원 구버전은 업그레이드 권고^[14]^[6].
정기 보안 점검 및 침해 대응 훈련 수행 : 실제 감염을 가정한 모의 연습과 내부 보고 체계 강화.
Zero Trust 보안 모델 검토 : 최소 권한, 멀티팩터 인증, 네트워크 분할 등 도입.
취약점 주기적 스캔 및 로그 모니터링 자동화.
클라우드 전환 검토 : 클라우드 기반 SharePoint Online은 해당 취약점 영향이 없음^[10]^[6].

4) 공식 가이드 예시

Microsoft 공식 보안 블로그(https://msrc.microsoft.com)에서 CVE-2025-53770 대응 패치/경고문 제공^[14].
국내 KISA 및 글로벌 보안 기관도 즉시 점검/취약 서버 격리 권고^[3]^[15].
침입 발생 시, 모든 연결 PW/키/토큰 변경 후, 새로운 환경에서 서버 재설치 권장.

전체 요약

2025년 7월 기준 온프레미스 MS 쉐어포인트 제로데이(CVE-2025-53770/53771)로 인해 정부·기업 등 세계적으로 서버가 대규모로 침해되고 있습니다. 주된 공격은 인증 우회 및 원격 코드 실행으로, 서버 내 웹셸 삽입, 보안 키 탈취 등 심각한 2차 피해를 야기합니다.
즉각적 차단조치(인터넷 연결 격리, AMSI 활성화, 로그 감시 등)와 신속한 공식 패치 적용, 장기적으로는 클라우드 전환·제로트러스트 도입이 권장됩니다.
셰어포인트 온프레미스를 운영하는 기관·기업은 심각한 피해 방지를 위해 즉각적인 점검 및 대응이 필수입니다^[1]^[4]^[10].

[↑] [1] https://www.dailysecu.com/news/articleView.html?idxno=168131

[↑] [2] https://techbrew.co.kr/ittrend/?bmode=view\&idx=166957864

[↑] [3] https://byline.network/2025/07/24-477/

[↑] [4] https://byline.network/2025/07/21-483/

[↑] [5] https://zdnet.co.kr/view/?no=20250721154732

[↑] [6] https://digital.nhs.uk/cyber-alerts/2025/cc-4683

[↑] [7] https://v.daum.net/v/20250722090036793

[↑] [8] https://www.wiz.io/blog/sharepoint-vulnerabilities-cve-2025-53770-cve-2025-53771-everything-you-need-to-k

[↑] [9] https://www.dailysecu.com/news/articleView.html?idxno=168344

[↑] [10] https://romyismycat.tistory.com/entry/SharePoint-제로데이-취약점-CVE-2025-53770-전-세계-85개-서버-침해된-긴급-보안-위협

[↑] [11] https://blog.checkpoint.com/research/sharepoint-zero-day-cve-2025-53770-actively-exploited-what-security-teams-need-to-know/

[↑] [12] https://socprime.com/ko/blog/latest-threats/detect-cve-2025-53770-exploitation/