CISA KEV에 등록된 CVE-2023-29357 취약점을 해결하려면 2023년 6월 Patch Tuesday에 배포된 Microsoft 보안 업데이트를 즉시 적용해야 한다. SharePoint Server 2019 기준 빌드 16.0.10399.20005 이상으로 업데이트가 필요하다. 즉시 패치가 어려운 환경에서는 SharePoint 서버의 인터넷 노출을 최소화하고, WAF로 /_api/web/siteusers 등 민감한 경로 접근을 제어해야 한다. 아울러 AMSI 통합 활성화 및 Microsoft Defender를 활용해 공격 징후를 모니터링하는 임시 완화 조치를 적용한다.
취약점 개요 및 영향 범위
CVE-2023-29357은 Microsoft SharePoint Server에서 발생하는 심각한 권한 상승(EoP, Elevation of Privilege) 취약점이다. CVSS v3.1 기준으로 9.8점이라는 매우 높은 위험도(Critical) 평가를 받았다. 원격의 인증되지 않은 공격자가 정교하게 위조한 JWT(JSON Web Token) 인증 토큰을 전송해 시스템 인증 체계를 우회하고 관리자 권한을 획득하는 방식이다. 단순한 정보 유출을 넘어 서버 전체 제어권을 탈취할 수 있는 치명적인 결함이다.
핵심은 JWT 서명 검증 과정의 결함에 있다. 공격자가 JWT 서명 알고리즘을 ‘none’으로 설정해 전송하면, SharePoint 서버가 해당 토큰의 서명 검증 단계를 완전히 건너뛰는 메커니즘을 이용한다. 덕분에 공격자는 유효한 비밀키 없이도 위조된 관리자 계정 토큰을 생성해 서버에 보낼 수 있고, 서버는 이를 정상적인 관리자 요청으로 인식해 권한을 부여한다.
주요 영향 범위는 SharePoint Server 2019이며, 특히 버전 16.0.10396.20000(2023년 3월 패치 포함 버전)에서 익스플로잇 체인이 성공적으로 작동함이 확인됐다. 내부망은 물론 외부로 노출된 SharePoint 서버에서 더욱 위험하다. 공격자가 한 번만 인증 우회에 성공해도 서버 내 모든 데이터 접근과 설정 변경이 가능하기 때문이다.
공격 현황 및 위험도
CVE-2023-29357의 위험성은 단독 취약점에 그치지 않고 다른 취약점과 결합해 원격 코드 실행(RCE)으로 이어진다는 점이다. STAR Labs 연구원 Nguyễn Tiễn Giang(Jang)은 2023년 Pwn2Own Vancouver 대회에서 CVE-2023-29357과 CVE-2023-24955를 연결한 익스플로잇 체인을 공개하며 위험성을 입증했다. 공격자는 먼저 CVE-2023-29357로 관리자 권한을 얻은 뒤, CVE-2023-24955 취약점을 이용해 /BusinessDataMetadataCatalog/BDCMetadata.bdcm 파일을 교체함으로써 서버 내에 임의의 코드를 주입하고 원격 명령을 실행했다.
실제 위협 수위는 2023년 9월 26일 GitHub에 관련 PoC(Proof of Concept) 스크립트가 공개되며 급격히 상승했다. PoC 자체가 즉시 RCE를 수행하지는 않지만, 숙련된 공격자가 이를 수정해 실제 공격에 활용할 가능성이 크다. 실제로 운영 환경의 IIS 로그에서 /_api/web/siteusers 경로에 대해 반복적인 401 Unauthorized 응답이 발생하는 등 공격 시도 징후가 다수 보고되고 있어 현재 진행형인 위협으로 봐야 한다.
심각성을 반영해 미국 사이버보안 및 인프라 보안국(CISA)은 2024년 1월 10일, CVE-2023-29357을 KEV(Known Exploited Vulnerabilities, 악용된 취약점 카탈로그) 목록에 추가했다. CISA는 실제 악용 사례가 확인되었음을 명시하며, 모든 연방 정부 기관 및 관련 운영자에게 2024년 1월 31일까지 패치를 완료하도록 의무를 부과했다.
CVE-2023-29357 패치 및 완화 조치 방법
가장 확실한 해결책은 Microsoft의 최신 보안 업데이트를 적용하는 것이다. Microsoft는 2023년 6월 Patch Tuesday에 CVE-2023-29357 패치를 출시했으며, 앞서 2023년 5월에는 결합 공격 대상인 CVE-2023-24955 패치를 배포했다. 시스템 관리자는 두 패치가 모두 적용됐는지 확인하고 최신 누적 업데이트를 설치해야 한다.
| 구분 | 상세 내용 및 요구 사항 | 적용 기한/날짜 |
|---|---|---|
| 핵심 패치 버전 | SharePoint Server 2019 빌드 16.0.10399.20005 이상 | 2023년 6월 Patch Tuesday |
| 결합 취약점 패치 | CVE-2023-24955 보안 업데이트 설치 필요 | 2023년 5월 패치 |
| CISA KEV 의무 기한 | 모든 대상 서버 패치 완료 및 적용 확인 | 2024년 1월 31일 |
| 배포 권장 경로 | Microsoft 다운로드 센터, WSUS, SCCM | 즉시 적용 |
가용성 문제나 호환성 검토로 즉시 패치가 어렵다면, 다음과 같은 단계적 임시 완화 조치로 위험도를 낮춘다.
- 네트워크 접근 제어 및 노출 최소화: SharePoint 서버를 공인 인터넷에서 분리하거나 VPN을 통해서만 접근하도록 설정한다. WAF(Web Application Firewall) 운용 시 /_api/web/siteusers 등 인증 우회 공격에 빈번한 민감 경로의 접근 제어 규칙을 만들어 비정상 요청을 차단한다.
- 보안 솔루션 강화: AMSI(Antimalware Scan Interface) 통합 기능을 활성화하고 Microsoft Defender를 최신 상태로 유지한다. 이는 공격자가 코드 주입을 시도할 때 보호 효과를 제공하며, 악성 스크립트 실행 탐지를 돕는다.
- 인증 체계 고도화 및 모니터링: 단순 JWT 인증에 의존하지 않고 OAuth 인증 강화 및 추가적인 다요소 인증(MFA) 계층을 도입해 보안성을 높인다. IIS 로그와 이벤트 로그를 정기적으로 분석해 관리자 계정의 비정상적인 권한 상승 활동이나 미확인 IP의 관리자 페이지 접근 시도를 집중 모니터링한다.
- 정기적 보안 검증: 최신 취약점 스캐너로 서버 패치 적용 여부를 주기적으로 점검하고, 모의 침투 테스트를 통해 JWT 스푸핑 가능성이 남아있는지 기술적으로 검증한다.
대응 전략 요약
CVE-2023-29357은 단순한 버그가 아니라 실제 RCE 공격 체인으로 이어지는 치명적인 관문이다. CVSS 9.8점이라는 수치와 CISA KEV 등록 사실은 이 취약점이 이론적 위험을 넘어 실제 환경에서 활발히 악용되고 있음을 보여준다. 시스템 관리자는 SharePoint Server 2019 빌드 16.0.10399.20005 이상의 최신 업데이트 적용을 최우선 순위로 둬야 한다.
패치 후에는 서버 재시작과 빌드 번호 확인으로 업데이트 완료 여부를 검증하고, CVE-2023-24955 패치 병행 적용 여부를 재확인한다. 즉각적인 업데이트가 불가능한 특수 환경이라면 WAF 경로 제어와 AMSI 활성화를 신속히 적용해 공격 표면을 최소화해야 한다. 지금 즉시 운영 중인 SharePoint 서버의 빌드 버전을 확인하고 보안 업데이트 상태를 점검하기 바란다.