긴급! SharePoint 제로로그인 취약점 악용, 랜섬웨어 공격 확산 (CVE-2025-53770, CVE-2025-53771)

최근 Microsoft SharePoint 서버의 심각한 보안 취약점(CVE-2025-53770, CVE-2025-53771)이 발견되어 사이버 공격이 급증하고 있습니다. 특히 로그인 없이도 시스템을 장악할 수 있는 ‘제로 로그인’ 취약점을 악용한 랜섬웨어 공격이 확산되면서 기업과 기관에 막대한 피해가 예상됩니다.

제로 로그인 취약점의 심각성

CVE-2025-53770("ToolShell") 및 CVE-2025-53771은 인증되지 않은 원격 코드 실행(RCE)을 허용하는 심각한 취약점입니다. 공격자는 특별히 제작된 요청을 전송하여 패치가 적용되지 않은 시스템을 제어할 수 있습니다. 로그인 요구 사항이 없기 때문에 보안 업데이트를 지연한 조직에 특히 위험합니다. Bitsight는 CVE-2025-53770에 대해 DVE(Dynamic Vulnerability Exploit) 척도에서 최대 점수인 10점을 부여하며 시급한 해결을 강조했습니다.

공격 주체 "Storm-2603"의 랜섬웨어 공격 전환

Microsoft는 이번 공격의 배후에 "Storm-2603"이라는 위협 행위자가 있다고 밝혔습니다. 초기에는 정보 탈취를 목적으로 한 공격이었으나, 최근에는 랜섬웨어를 유포하여 금전적 이득을 취하는 방식으로 전환되었습니다. 시스템이 잠긴 피해자들은 암호화폐 형태의 몸값을 지불해야 하는 상황에 놓였습니다.

피해 규모 및 정부의 대응

보안 업체 Eye Security는 이번 공격으로 인해 400곳 이상의 기관이 피해를 입었으며, 실제 피해 규모는 훨씬 클 것으로 추정했습니다. 미국 국립보건원(NIH)과 국토안보부(DHS)를 포함한 정부 기관도 공격 대상에 포함되었습니다. 이에 CISA(Cybersecurity and Infrastructure Security Agency)는 CVE-2025-53770을 "알려진 악용된 취약점" 목록에 추가하고 연방 시스템에 대한 즉각적인 조치를 의무화했습니다.

악성코드 "Warlock"의 확산 및 다단계 공격

이번 공격에 사용되는 랜섬웨어는 "Warlock"으로 알려져 있으며, 감염된 환경 내에서 자유롭게 확산됩니다. 공격자들은 최신 취약점(CVE-2025-53770, CVE-2025-53771)뿐만 아니라 이전 취약점(CVE-2025-49704)을 함께 활용하여 다단계 공격을 수행합니다. 이들은 다중 인증을 우회하고, 시스템 키를 훔쳐 장기간 지속적인 접근을 유지하는 것으로 알려졌습니다.

긴급 보안 업데이트 및 권장 조치

Microsoft는 해당 취약점에 대한 보안 업데이트를 발표했습니다. 영향을 받는 조직은 즉시 최신 업데이트(KB5002768(Subscription Edition), KB5002754(SharePoint 2019), KB5002760(SharePoint 2016))를 설치해야 합니다. 또한 MachineKey 값을 로테이션하고, AMSI(Antimalware Scan Interface) 통합을 활성화하는 것이 좋습니다. spinstall0.aspx 웹 셸의 존재 여부를 확인하고, 비정상적인 측면 이동을 감지하기 위해 로그를 모니터링해야 합니다. Zero Trust Network Access (ZTNA) 및 Business VPN 모델을 도입하여 중요 시스템을 격리하고 접근을 분할하는 것도 고려할 수 있습니다.

맺음말

이번 SharePoint 취약점은 랜섬웨어 공격으로 이어질 수 있는 매우 심각한 문제입니다. 즉시 보안 업데이트를 적용하고, 권장 조치를 수행하여 피해를 최소화해야 합니다. 강력한 엔드포인트 보호와 신속한 패치 관리는 사이버 공격으로부터 조직을 보호하는 데 필수적입니다.