CVE-2025-53770 탐지: Microsoft SharePoint 제로데이 취약점, 원격 코드 실행(RCE) 공격에 적극 악용 중

이번 여름에는 마이크로소프트 제품에 영향을 미치는 치명적인 취약점들이 급증했습니다. Windows의 새로운 원격 코드 실행(RCE) 취약점인 CVE-2025-33053는 스텔스 팔콘(Stealth Falcon) APT 그룹에 의해 적극적으로 악용되었습니다. 동시에, EchoLeak (CVE-2025-32711)이라 명명된 또 다른 심각한 결함이 마이크로소프트 코파일럿(Microsoft Copilot)에서 발견되었으며, 사용자 개입 없이 이메일을 통해 은밀한 데이터 유출이 가능하게 합니다.

이들 취약점이 여전히 기억 속에 남아있는 가운데, 주목은 또 다른 고위험 위협인 ToolShell로 옮겨갔습니다. 이번 공격에 사용된 새로운 제로데이(CVE-2025-53770)는 최근 패치된 SharePoint RCE 취약점(CVE-2025-49704)의 변종으로, 현재 실제 공격에 악용되고 있습니다. 공격자는 이를 활용해 침해된 온프레미스 SharePoint 서버에 백도어를 설치하고 보안 키를 탈취하여 시스템 전체 권한 탈취를 가능하게 합니다.

CVE-2025-53770 공격 시도 탐지하기

전 세계 14억 대 이상의 Windows 기반 기기와 이 서비스에 대한 글로벌 의존도를 고려할 때, 마이크로소프트는 오늘날 디지털 생태계의 핵심입니다. 2025년 BeyondTrust Microsoft 취약점 보고서는 2024년에 공개된 취약점이 역대 최고치인 1,360건에 달했으며, 이는 이전 최고치 대비 11% 증가한 수치라고 밝혔습니다. 이 같은 증가 추세는 공격 표면의 확대와 함께 조직이 진화하는 위협 환경에 적극적으로 대응해야 할 긴박성을 보여줍니다.

SOC Prime 플랫폼에 가입하면 CVE-2025-53770 취약점 악용 시도에 대응하는 실시간 사이버 위협 인텔리전스 및 검증된 탐지 알고리즘을 활용할 수 있습니다. 이 플랫폼은 AI 기반 탐지 엔지니어링, 자동화된 위협 헌팅, 고급 위협 탐지를 위한 완전한 제품군을 SOC 팀에 제공합니다.

탐지 규칙 둘러보기

취약점 악용 시도를 다루는 탐지 콘텐츠를 더 찾고자 하는 사이버 방어관들은 Threat Detection Marketplace에서 “CVE” 태그를 사용해 검색할 수 있습니다.

모든 탐지 규칙은 다양한 SIEM, EDR, 데이터 레이크 기술에서 호환 가능하며 MITRE ATT&CK 프레임워크와 연계되어 위협 조사에 용이합니다. SOC Prime 플랫폼은 CTI(사이버 위협 인텔리전스) 링크, 공격 타임라인, 감사 구성, 분류 추천 등 풍부한 컨텍스트를 보안 팀에 제공합니다.

보안 엔지니어는 또한 Uncoder AI를 활용할 수 있습니다. 이 AI는 위협 인지 탐지 엔지니어링 전용 비에이전트(private, non-agentic) AI로, IOC를 실행 가능한 헌팅 쿼리로 자동 변환하고, 원본 위협 보고서에서 탐지 규칙을 작성하며, ATT&CK 태그 예측, AI 기반 쿼리 최적화, 다중 플랫폼 간 탐지 콘텐츠 번역을 지원합니다.

CVE-2025-53770 분석

마이크로소프트 SharePoint에서 발견된 두 개의 심각한 제로데이 결함, 즉 CVE-2025-53770 및 CVE-2025-53771은 최소 7월 18일부터 실제 공격에 악용 중이며, 아직 공식 패치가 배포되지 않았고 전 세계적으로 85대 이상의 서버가 영향을 받은 것으로 확인되었습니다.

CVSS 점수 9.8에 달하는 고위험 취약점인 CVE-2025-53770은 2025년 7월 패치된 코드 인젝션 및 RCE 취약점 CVE-2025-49704의 변종으로 간주됩니다. “ToolShell”로 명명된 공격 활동은 공격자에게 취약 시스템에 인증 없이 접근할 수 있게 하며, 파일 저장소 및 내부 설정을 포함한 SharePoint 콘텐츠 전체 접근 권한과 네트워크 내 RCE 권한을 제공합니다.

CVE-2025-53770은 온프레미스 SharePoint 인스턴스에서 신뢰되지 않은 데이터 역직렬화(deserialization)를 통해 인증되지 않은 공격자가 네트워크 전반에 걸쳐 RCE를 수행할 수 있도록 허용합니다. 접근 권한을 획득한 공격자는 신뢰된 페이로드를 위조해 지속성 유지나 횡적 이동을 수행하며 합법적인 SharePoint 작업으로 위장할 수 있습니다.

마이크로소프트의 고객 안내에 따르면 공격자들은 온프레미스 SharePoint 서버 시스템의 취약점을 적극적으로 악용하고 있으며, 7월 보안 업데이트로 부분적으로만 완화된 상태입니다. 두 보안 문제는 온프레미스 배포에만 영향을 미치며, 마이크로소프트 365의 SharePoint Online은 영향을 받지 않습니다.

위험 완화를 위해 마이크로소프트는 SharePoint Subscription Edition과 SharePoint Server 2019용 보안 업데이트를 배포했으며, 고객에게 신속한 업데이트 설치를 강력히 권고하고 있습니다. 또한, 완전한 패치가 철저한 테스트를 거쳐 향후 업데이트에서 제공될 예정이라고 밝혔습니다.

완전한 패치가 나오기 전까지는 SharePoint에서 AMSI 통합을 활성화하고, 모든 SharePoint 서버에서 Microsoft Defender Antivirus를 실행할 것을 강력히 권장합니다. AMSI 활성화가 불가능한 경우, 취약한 SharePoint 서버를 인터넷에서 분리하는 것이 예방책입니다.

7월 20일, CISA는 CVE-2025-53770의 활발한 악용 사실을 경고하며, 관련 보안 업데이트 검토, /ToolPane.aspx?DisplayMode=Edit에 대한 의심스러운 POST 요청 모니터링, IP 주소(107.191.58[.]76, 104.238.159[.]149, 96.9.125[.]147) 스캔, IPS/WAF 룰 업데이트, 상세 이벤트 로깅 활성화, 레이아웃 및 관리자 권한 축소 등의 완화 조치를 권고했습니다.

CISA는 마이크로소프트와 신속하게 협력하여 대응을 조율하고 조직에 필수 완화 조치를 알렸습니다. 이번 사례는 연구자, 기술 제공자, CISA 간의 운영 협력이 신속한 위협 식별과 국가 및 국내 안보를 위한 통합 방어에 있어 얼마나 중요한지 보여줍니다.

집단적 사이버 방어와 정부, 민간 벤더, 보안 연구 커뮤니티 간 협력은 현대 위협 행위자에 대응하는 데 필수적이며, 점점 고도화되는 공격에 대해 더 빠른 탐지, 대응, 복원력을 가능하게 합니다. AI, 자동화, 실시간 위협 인텔리전스를 기반으로 하는 제로 트러스트 원칙에 기반한 SOC Prime 플랫폼은 전 세계 조직이 치명적 취약점과 제로데이를 악용하는 사이버 위협에 대응하고 견고한 사이버보안 체계를 구축할 수 있도록 지원합니다.