미국 에너지부 산하 NNSA가 쉐어포인트 취약점 공격으로 피해를 입었습니다. CVE-2025-53770 원격 코드 실행 취약점, 대응 방법, 보안 강화 전략을 정리합니다.
안녕하세요. No.1 IT 보안 솔루션 전문기업 인스피언㈜입니다. 최근 미국 에너지부 산하 국가핵안보국(NNSA)이 마이크로소프트 쉐어포인트(SharePoint) 보안 취약점을 악용한 해킹 공격으로 피해를 입었습니다. NNSA는 핵무기 재고 관리, 무결성 평가, 해체 등 핵심 임무를 담당하는 기관으로, 국가 안보 차원의 심각한 보안 사고로 인식되고 있습니다.
쉐어포인트는 전 세계 공공기관과 기업에서 사용하는 대표적인 협업 플랫폼입니다. 이번 취약점 공격으로 미국 연방 에너지부, CISA(사이버안보·인프라 보안국) 등 러 기관이 영향을 받았습니다. 다행히 현재까지 기밀 정보 유출 정황은 없는 것으로 알려졌지만, 미국 정부는 이를 심각한 국가 안보 위협으로 분류하고 추가 대응책을 검토 중입니다. 미국 CISA는 해당 취약점을 Known Exploited Vulnerability(KEV) 목록에 추가하며, 연방기관에 긴급 패치 적용을 지시했습니다.
CVE-2025-53770 원격 코드 실행 취약점 (CVSS 9.8) 이번 공격의 핵심은 쉐어포인트 원격 코드 실행(RCE) 취약점입니다. - 취약점 코드: CVE-2025-53770
- 취약점 내용: 신뢰할 수 없는 데이터 역직렬화 과정에서 임의 코드 실행 가능
- 위험도: CVSS 9.8 (심각)
- 대상: SharePoint Server
|
공격 방식: ToolShell 체인 활용
해커들은 CVE-2025-53770을 단독으로 사용하지 않고, CVE-2025-49704, CVE-2025-49706 등과 결합하여 ToolShell 공격 체인을 구성했습니다. 또한, MFA(다단계 인증)·SSO(싱글 사인온) 을 후회하며, 백도어를 설치하고 민감한 암호화 키를 탈취하는 등 정교한 공격을 수행하고 장기적인 내부 침투 기반을 확보하였습니다.
취약점 패치 및 감염 여부 확인 방법
마이크로소프트는 긴급 보안 업데이트를 배포했지만, 패치를 우회하는 방법이 있는 것으로 확인되어 추가 보안 조치를 권고했습니다.
📌 조치 방법
- AMSI(Antimalware Scan Interface) 활성화
- 신뢰할 수 있는 보안 솔루션 적용
- 패치 적용 후 ASP.NET 머신 키 교체 & IIS 재시작
📌 감염 확인 경로
- 경로:
C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx - 의심 파일 존재 시 즉시 서버 오프라인 전환 후 포렌식 조사 착수
🔗관련 문서: Microsoft CVE-2025-53770 보안 가이드
🔗보안뉴스 상세기사: 기사 보기
블로그 원문 보기
SIEM 솔루션 바로가기
미국 에너지부 산하 NNSA가 쉐어포인트 취약점 공격으로 피해를 입었습니다. CVE-2025-53770 원격 코드 실행 취약점, 대응 방법, 보안 강화 전략을 정리합니다.
안녕하세요. No.1 IT 보안 솔루션 전문기업 인스피언㈜입니다. 최근 미국 에너지부 산하 국가핵안보국(NNSA)이 마이크로소프트 쉐어포인트(SharePoint) 보안 취약점을 악용한 해킹 공격으로 피해를 입었습니다. NNSA는 핵무기 재고 관리, 무결성 평가, 해체 등 핵심 임무를 담당하는 기관으로, 국가 안보 차원의 심각한 보안 사고로 인식되고 있습니다.
쉐어포인트는 전 세계 공공기관과 기업에서 사용하는 대표적인 협업 플랫폼입니다. 이번 취약점 공격으로 미국 연방 에너지부, CISA(사이버안보·인프라 보안국) 등 러 기관이 영향을 받았습니다. 다행히 현재까지 기밀 정보 유출 정황은 없는 것으로 알려졌지만, 미국 정부는 이를 심각한 국가 안보 위협으로 분류하고 추가 대응책을 검토 중입니다. 미국 CISA는 해당 취약점을 Known Exploited Vulnerability(KEV) 목록에 추가하며, 연방기관에 긴급 패치 적용을 지시했습니다.
CVE-2025-53770 원격 코드 실행 취약점 (CVSS 9.8)
이번 공격의 핵심은 쉐어포인트 원격 코드 실행(RCE) 취약점입니다.
공격 방식: ToolShell 체인 활용
해커들은 CVE-2025-53770을 단독으로 사용하지 않고, CVE-2025-49704, CVE-2025-49706 등과 결합하여 ToolShell 공격 체인을 구성했습니다. 또한, MFA(다단계 인증)·SSO(싱글 사인온) 을 후회하며, 백도어를 설치하고 민감한 암호화 키를 탈취하는 등 정교한 공격을 수행하고 장기적인 내부 침투 기반을 확보하였습니다.
취약점 패치 및 감염 여부 확인 방법
마이크로소프트는 긴급 보안 업데이트를 배포했지만, 패치를 우회하는 방법이 있는 것으로 확인되어 추가 보안 조치를 권고했습니다.
📌 조치 방법
📌 감염 확인 경로
C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx
🔗관련 문서: Microsoft CVE-2025-53770 보안 가이드
🔗보안뉴스 상세기사: 기사 보기
블로그 원문 보기
SIEM 솔루션 바로가기