CVE-2023-29357 분석: SharePoint JWT 스푸핑으로 관리자 권한 뺏는 법

CVE-2023-29357 취약점은 온프레미스 SharePoint Server에서 발생하는 권한 상승 취약점이다. 공격자가 인증 토큰인 JWT(JSON Web Token)를 스푸핑해 서버 내 높은 권한을 획득하는 방식으로 작동한다. 일반 사용자 계정으로 시작해 최종적으로 SYSTEM 또는 서비스 계정과 같은 최고 수준의 관리자 권한까지 탈취할 위험이 크다.

CVE-2023-29357 SharePoint JWT 스푸핑 원리와 취약점의 치명성

CVE-2023-29357은 Microsoft SharePoint Server 보안 모델의 인증 프로세스 처리 방식 결함으로 발생한다. 핵심은 JWT 스푸핑이다. 공격자가 서버의 토큰 유효성 검증 과정에 있는 논리적 허점을 이용해 조작된 토큰을 제출하면, 인증을 우회하거나 권한을 상승시킬 수 있다. 보안 업계와 Microsoft는 이 취약점이 초래할 피해 규모가 매우 크다고 판단해 CVSS(Common Vulnerability Scoring System) 점수를 최대 9.8점인 Critical(심각) 등급으로 평가했다.

일반적인 JWT 기반 인증 체계에서는 서버가 발행한 서명으로 토큰 위변조 여부를 확인한다. 하지만 해당 취약점이 있는 환경에서는 서명 확인 과정의 논리적 오류나 헤더 및 클레임 변조를 통해 서버가 공격자를 신뢰하도록 유도할 수 있다. 특히 온프레미스 환경의 SharePoint 서버를 운영하는 기업은 내부 네트워크에 진입한 공격자가 이 취약점으로 빠르게 권한을 높인 뒤 전체 인프라로 공격 범위를 넓힐 수 있다는 점에 주의해야 한다.

기술적 분석: 권한 상승 시나리오와 공격 벡터

공격자가 CVE-2023-29357로 권한을 상승시키는 과정은 정교한 토큰 조작 단계로 나뉜다. 먼저 유효한 일반 사용자 계정의 토큰을 획득하거나, 서버 인증 메커니즘을 분석해 토큰 구조를 파악한다. 그 후 JWT 헤더(Header) 부분을 수정해 서명 알고리즘을 변경하거나, 페이로드(Payload) 내 사용자 ID 및 권한 클레임을 관리자 계정 정보로 변조하는 스푸핑 작업을 수행한다.

조작된 토큰이 서버로 전송되었을 때, 서버가 변조된 서명을 제대로 검증하지 못하거나 특정 조건에서 검증 과정을 생략하는 논리적 결함이 작동하면 공격자는 즉시 관리자 세션을 획득한다. 결과적으로 공격자는 SharePoint 관리 센터에 접근해 사이트 설정을 변경하고 데이터를 무단 추출하거나, 서버의 셸(Shell) 권한을 얻어 SYSTEM 계정 수준의 완전한 제어권을 가진다. 단순한 데이터 유출을 넘어 서버 전체의 무결성을 파괴하는 치명적인 경로가 된다.

CVE-2023-29357 영향도 및 분석 데이터 요약

현재 SNAPAttack, STAR Labs, InkSec, LogSmith.IX01 등 보안 채널에서 익스플로잇 시연과 언급이 이어지고 있다. 다만 공개된 영상이나 기술 블로그 상당수가 삭제 또는 업데이트되어, JWT 변조의 세부 파라미터나 정확한 내부 함수 레벨의 작동 원리를 명시한 최신 원본 데이터를 확보하기는 어렵다. 그럼에도 CVSS 9.8이라는 수치는 이 취약점이 원격 실행 가능하며, 낮은 복잡도로 높은 권한을 얻을 수 있음을 증명한다.

분석 항목 상세 내용
취약점 식별자 CVE-2023-29357
영향을 받는 시스템 온프레미스 Microsoft SharePoint Server
최대 CVSS 점수 9.8 (Critical)
공격 핵심 기법 JWT 스푸핑 (서명 확인 및 인증 논리 우회)
최대 획득 가능 권한 SYSTEM / 서비스 계정 (최고 관리자 권한)

시스템 관리자를 위한 대응 및 완화 조치 가이드

CVE-2023-29357 같은 심각한 권한 상승 취약점을 해결하려면 신속한 패치 적용과 전반적인 인증 체계 강화가 필요하다. 특히 CISA KEV(Known Exploited Vulnerabilities) 목록에 등재된 취약점은 실제 공격에 활용될 가능성이 매우 높으므로, 단순 모니터링보다 물리적인 보안 업데이트가 우선이다.

보안 담당자가 즉시 실행해야 할 조치 사항은 다음과 같다.

  1. Microsoft가 제공하는 최신 보안 업데이트 패치를 즉시 적용해 JWT 검증 로직 결함을 수정한다.
  2. JWT 토큰의 만료 시간(Expiration Time)을 최소한으로 단축해 탈취된 토큰이 재사용될 수 있는 시간적 기회를 차단한다.
  3. 토큰 서명에 사용되는 암호화 키를 강력한 알고리즘으로 교체하고, 키 관리 시스템(KMS)으로 접근 제어를 엄격히 제한한다.
  4. 서버 로그를 분석해 평소와 다른 패턴의 JWT 헤더 변경 시도나 비정상적인 관리자 권한 상승 요청이 있었는지 전수 조사한다.
  5. 다중 인증(MFA)을 도입해 토큰 스푸핑에 성공하더라도 추가 인증 단계에서 공격을 막는 심층 방어 체계를 구축한다.

결론 및 대응 제언

CVE-2023-29357은 SharePoint Server 인증의 핵심인 JWT 검증 프로세스 허점을 이용해 SYSTEM 권한까지 탈취하는 위험한 취약점이다. CVSS 9.8이라는 수치가 보여주듯, 공격자가 내부 네트워크에 진입했을 때 이 취약점은 서버 전체를 장악하는 결정적인 열쇠가 된다. 현재 많은 기술 상세 문서가 삭제되어 구체적인 PoC 분석이 어려울 수 있으나, 이는 오히려 공격자가 기법을 은닉하고 있다는 뜻이므로 더욱 경계해야 한다.

시스템 관리자는 지금 즉시 서버의 패치 버전을 확인하고, 앞서 제시한 완화 조치를 적용해 잠재적 위협을 제거해야 한다. 보안은 단 한 번의 패치로 끝나는 것이 아니라 지속적인 모니터링과 검증의 과정이다. 최신 보안 공지를 상시 확인하며 대응 체계를 유지하시기 바란다. 지금 바로 사용 중인 SharePoint 서버의 보안 업데이트 상태를 점검하십시오.

댓글 남기기