마이크로소프트(Microsoft)가 자사 온프레미스(서버 직접 구축형) 쉐어포인트(SharePoint) 서버의 심각한 취약점을 악용한 중국계 해커 조직들의 활동을 다수 포착했다고 19일(현지시간) 밝혔다.
2025년 7월 22일, 인베스팅닷컴의 보도에 따르면 마이크로소프트 보안 대응 센터(Microsoft Security Response Center·MSRC)는 최근 전 세계적으로 보고된 침해 사고가 두 가지 핵심 취약점—CVE-2025-49706(스푸핑·위조 취약점)과 CVE-2025-49704(원격 코드 실행·RCE 취약점)—을 통해 이뤄지고 있음을 공식 확인했다. MSRC는 모든 지원 버전의 쉐어포인트 서버를 대상으로 종합 보안 업데이트를 이미 배포했으며, 패치를 적용하지 않은 시스템은 즉각적인 위험에 노출됐다고 경고했다.
마이크로소프트는 린넨 타이푼(Linen Typhoon), 바이올렛 타이푼(Violet Typhoon), 스톰-2603(Storm-2603) 등 중국 소재 3개 해킹 조직이 이미 해당 취약점을 실전 공격에 활용한 정황을 포착했다. 회사 측은 “패치가 이뤄지지 않은 서버가 남아 있는 한, 추가적인 위협 행위자(threat actor)의 공격 편승이 불가피하다”는 관측을 내놨다.
주요 공격 전술·기법·절차(TTP) 설명
MSRC 분석 결과, 공격자는 먼저 ToolPane 엔드포인트로 POST 요청을 전송해 서버 취약 여부를 탐색한다. 이후 취약점이 확인되면,
spinstall0.aspx
또는 그 변형 파일명을 가진 웹 셸(web shell)을 설치해 머신 키(machine key) 정보를 탈취한다. 이 키는 서버 간 암호화 통신과 인증에 사용되는 값으로, 유출 시 해커가 지속적·반복적인 접근 권한을 획득할 수 있다.
원격 코드 실행(RCE) 취약점(CVE-2025-49704)은 쉐어포인트가 사용자 입력을 검증하는 과정의 논리적 결함을 노린다. 공격자는 임의 코드를 관리자 권한으로 실행해 데이터 손상·탈취, 추가 악성 프로그램 설치까지 가능하다. 반면, 스푸핑(CVE-2025-49706)은 정상 사용자나 시스템으로 위장해 보안 검사를 우회하는 방식이다.
관계자에 따르면 최초 악용 시점은 7월 7일로 추정되며, 현재도 동시다발적 시도가 이어지고 있다. 린넨 타이푼은 전통적으로 정부·방위 산업체의 지적재산(IP) 탈취에 집중해 왔고, 바이올렛 타이푤은 퇴직 공무원·비정부기구(NGO)·교육 기관을 표적으로 삼아 왔다. 스톰-2603은 과거 랜섬웨어를 배포한 전력이 있으나, 이번 공격의 최종 목표는 아직 확정되지 않았다.
대응 가이드라인 및 권고 사항
MSRC는 고객사 및 기관에 다음과 같은 즉각적 조치를 촉구했다.
- 모든 쉐어포인트 서버에 최신 보안 업데이트 적용
- 안티멀웨어 스캔 인터페이스(AMSI) 전체 모드(Full Mode) 활성화
- ASP.NET 머신 키 주기적 교체(rotate) 및 IIS(인터넷 정보 서비스) 재시작
- 마이크로소프트 디펜더 for Endpoint, 그 외 동급 EDR 솔루션 배포
여기서 AMSI는 윈도우 환경에서 실행되는 스크립트·애플리케이션을 실시간 검사해 악성 행위를 차단하는 API 계층 보안 기술이다. 풀 모드 전환 시, 쉐어포인트와 같은 서버 애플리케이션에서 로드되는 모든 모듈이 검사 대상에 포함된다.
온프레미스 vs. 클라우드: 어디까지 안전한가
마이크로소프트는 “이번 취약점은 온프레미스 환경에 국한되며 클라우드 기반 Microsoft 365 쉐어포인트 온라인에는 영향을 주지 않는다”고 재차 강조했다. 그러나 한국인터넷진흥원(KISA) 관계자는 “기업·기관 다수가 하이브리드 형태로 운영해 일부분이라도 온프레미스가 존재한다면 위험하다”며 “백업, 모니터링 체계를 전반적으로 재점검해야 한다”고 조언했다.
또한 업계 전문가들은 “최근 소프트웨어 공급망 공격, 제로데이 악용 사례가 급증하면서 퍼블릭 클라우드 역시 완전무결하지 않다“고 지적했다. 결국 취약점 패치, 권한 최소화, 다단계 인증(MFA) 등 기본 원칙을 준수하는 ‘방어 심층화(Defense in Depth)’가 유일한 해법이라는 설명이다.
전문가 시각 및 전망
보안 컨설팅 기업 S사의 이은지 수석 연구원은 “공격자들이 ‘취약점 공개→패치 배포→실제 공격’의 전 과정을 단 며칠 만에 종결하는 속도가 빨라졌다”고 분석했다. 그는 “기업은 패치를 미루는 순간 이미 침해 단계에 진입할 수 있다”면서, 내부 보안 팀·경영진 간 협업을 강조했다.
한편 필자는 이번 사태가 한국 기업에도 직접적 경종을 울린다고 판단한다. 국내에서도 온프레미스 쉐어포인트를 여전히 문서 관리·커뮤니케이션 허브로 사용하는 중견·대기업이 많다. 최근 발생한 여러 사례를 보면, 랜섬웨어 조직이 서버 환경을 장악한 뒤 클라우드 스토리지까지 연쇄 암호화하는 양상이 포착됐다. 따라서 ‘클라우드 전환 = 안전’이라는 인식을 경계하고, 체계적인 위협 모델링·취약점 관리 체계를 마련해야 한다.
MSRC는 “우리는 계속해서 텔레메트리(원격 계측 데이터)를 모니터링하면서 추가 위협 행위자를 식별하고 파악하는 데 주력할 것”이라고 밝혔다.
끝으로, 정보 공유를 원하는 조직은 마이크로소프트 보안 포털 및 국제 보안 커뮤니티(ISAC 등)에 인디케이터(IOC)를 제공해, 업계 전반의 대응 속도를 높이는 게 바람직하다.
