마이크로소프트(MSFT)의 협업 소프트웨어인 셰어포인트 서버의 온프레미스 버전에서 '툴셸(ToolShell)'로 명명된 제로데이 취약점이 발견돼 국제 보안 커뮤니티에 비상이 걸렸다. 현재 해당 취약점을 악용한 해킹 시도가 활발하게 진행 중인 가운데, 마이크로소프트는 아직 공식 패치를 배포하지 못한 상태다.
이번 취약점(CVE-2025-53770)은 인증 없이 원격에서 코드 실행이 가능한 심각한 보안 결함으로, 셰어포인트 서버 2016, 2019, 구독형 에디션에 모두 영향을 주는 것으로 확인됐다. 문제의 핵심은 비정상적인 역직렬화 처리 과정에서 발생하며, 공격자는 정상적인 로그인 없이도 서버에 대한 완전한 제어 권한을 획득할 수 있다.
마이크로소프트는 현지시간 7월 19일, 해당 취약점이 실제로 악용되고 있다는 점을 공식 확인하며, 임시 대응 가이드를 발표했다. 하지만 공격은 이미 본격화된 상태다. 네덜란드 보안업체 아이 시큐리티(Eye Security)에 따르면, 해커들은 ‘spinstall0.aspx’라는 악성 ASPX 페이로드를 사용해 셰어포인트 서버 내부의 암호화 키를 추출하고, 이를 이용해 서버에 대한 지속적인 접근 권한을 구축하고 있다.
현재까지 최소 75대에서 최대 85대에 이르는 서버가 이 같은 공격에 뚫린 것으로 파악됐으며, 대상에는 정부 기관, 통신사, 금융사, 교육기관, 에너지 기업 등 핵심 인프라 조직이 포함돼 있다. 공격은 특정 참조 헤더를 조작한 POST 요청으로 시작되며, “ToolPane.aspx” 파일을 통해 악성 페이로드 업로드가 이뤄진다. 일단 해커가 서버의 ValidationKey와 DecryptionKey를 확보하면, 이후 인증 절차를 완전히 우회하고 명령어를 실행할 수 있게 된다.
현재까지 정식 보안 패치가 마련되지 않은 만큼, 마이크로소프트는 관리자들에게 AMSI(안티맬웨어 스캔 인터페이스) 통합 기능을 활성화하고, 마이크로소프트 디펜더 안티바이러스 및 디펜더 포 엔드포인트 솔루션을 도입해 이미 알려진 해킹 패턴을 탐지·차단할 것을 긴급 권고했다. AMSI는 실시간 악성 스크립트 탐지를 통해 사전 방어가 가능한 솔루션이다.
미국 사이버보안 및 기반시설안보국(CISA) 또한 이번 취약점에 대한 별도의 가이드를 발표하며, 특히 인터넷에 연결돼 있는 셰어포인트 서버의 경우 AMSI 설정이 불가능한 환경이라면 즉시 연결을 차단할 것을 요구하고 있다.
전문가들은 이 취약점이 단순한 회피 기법을 넘어 공격자의 장기적 잠입 거점으로 기능할 수 있다는 점에서 위험성을 더욱 심각하게 보고 있다. 일단 서버가 뚫리면, 그 이후 패치나 간단한 방어 기술만으로는 제거가 어렵다. 이에 따라 적극적인 침해 지표 조사, 웹 셸 제거, 암호화 키 교체 등 전면적인 대응이 필요하다는 경고가 나오고 있다.
툴셸에 대한 마이크로소프트의 최종 패치는 아직 일정이 명시되지 않은 상태다. 글로벌 고객사들과 기관들은 현 상황을 단순한 기술적 문제로 보기보다는, 사이버 위협 대응 전략 전반을 점검해야 할 중요한 계기로 받아들여야 한다.