CVE-2026-45659 SharePoint 역직렬화 취약점, 서버가 한순간에 뚫리는 치명적 이유 3가지

CVE-2026-45659는 Microsoft SharePoint Server의 역직렬화 결함을 악용해 원격 코드 실행(RCE)이 가능한 고심각 취약점이다. 공격자는 관리자 권한 없이 인증된 사이트 멤버 권한만으로 서버에서 임의의 코드를 실행해 민감한 내부 문서를 탈취하거나 시스템 전체를 장악한다.

CVE-2026-45659 SharePoint 역직렬화 취약점 원리와 공격 메커니즘

역직렬화(Deserialization)는 데이터 스트림을 객체로 복원하는 과정이다. CVE-2026-45659의 핵심은 외부에서 들어오는 직렬화 데이터를 처리할 때 무결성 검증 없이 객체로 복원한다는 점이다. 공격자가 조작한 직렬화 페이로드를 보내면 서버가 이를 신뢰하는 객체로 인식해 처리하면서, 의도한 명령어가 실행된다.

공격 진입 장벽이 낮아 특히 위험하다. 익명 사용자뿐만 아니라 인증된 일반 사이트 멤버도 관리자 권한 없이 RCE를 유발할 수 있다. 내부 협업 툴인 SharePoint 특성상 계정 하나만 탈취해도 내부 네트워크 전체로 공격이 확산될 수 있는 횡적 이동(Lateral Movement)의 발판이 된다.

인터넷에 직접 노출된 SharePoint 서버의 경우, 외부 공격자가 임의의 코드를 실행해 기업의 핵심 자산인 기밀 문서와 민감 데이터를 유출할 위험이 크다. 공개된 보고서에는 구체적인 IOC나 익스플로잇 메커니즘이 명시되지 않았다. 이는 보안 솔루션 탐지를 피해 은밀하게 활용될 가능성을 시사한다.

CISA KEV 등재와 실제 피해 시나리오의 심각성

CVE-2026-45659는 이론적 취약점을 넘어 실제 악용 사례가 확인되어 CISA(미국 사이버 보안 및 인프라 보안국) KEV 카탈로그에 공식 등재되었다. CVSS 점수 8.8은 이 취약점의 파괴력과 실행 가능성을 보여준다. CISA는 연방 민간 집행 기관에 긴급 대응을 요청하며 상황의 긴박함을 전했다.

Storm-2603 랜섬웨어 그룹 연계 가능성도 제기된다. 공격자는 이 취약점으로 서버 권한을 얻은 후 내부에 랜섬웨어를 유포해 데이터를 암호화하고 금전을 요구한다. 제조업 등 다양한 산업군이 타겟이 된 것으로 보고된다. 생산 공정과 설계 도면 등 핵심 지적 재산이 집중된 인프라가 공격 대상이었다.

벤더사 보고서가 구체적인 버전이나 공격 경로를 공개하지 않아 기술적 분석과 대응에 제약이 있다. 하지만 KEV 등재 자체가 Wild 환경에서의 활발한 악용을 증명하므로, 관리자는 즉각적인 패치 외에는 마땅한 대안이 없다.

취약점 영향 범위 및 대응 우선순위 요약

관리자는 운영 중인 SharePoint Server 버전을 즉시 확인하고 취약 버전 포함 여부를 전수 조사해야 한다. 구독 에디션과 2016, 2019 버전이 모두 포함되어 영향 범위가 넓다.

구분 상세 내용 위험도/상태
영향 받는 버전 SharePoint Server 2016, 2019, 구독 에디션 매우 높음
취약점 유형 역직렬화 결함을 통한 원격 코드 실행(RCE) 치명적
CVSS 점수 8.8 고심각
CISA 상태 KEV 카탈로그 등재 (실제 악용 확인됨) 긴급 조치 필요
주요 위협 Storm-2603 랜섬웨어 연계, 민감 문서 탈취 산업 전반 타격

긴급 완화 조치 및 패치 적용 가이드

CVE-2026-45659 해결을 위해서는 단계적 보안 강화 전략이 필요하다. 가장 확실한 방법은 벤더 제공 보안 업데이트 즉시 적용이나, 대규모 환경에서는 서비스 중단 리스크로 인해 패치가 어려울 수 있다. 이 경우 완화 조치를 병행해야 한다.

  1. 2026년 5월 배포된 SharePoint Server 보안 업데이트를 최우선으로 적용한다. 대상 버전인 2016, 2019 및 구독 에디션 전체에 패치를 완료해야 한다.
  2. SharePoint 서버의 인터넷 노출을 최소화한다. 외부 직접 접근을 막기 위해 VPN이나 전용 회선 접근 제어를 강화하고 불필요한 포트를 차단한다.
  3. 전체 SharePoint 인벤토리를 실시해 관리되지 않는 Shadow IT 서버를 확인한다. 패치되지 않은 서버 한 대도 전체 네트워크 침입 경로가 될 수 있다.
  4. 호스트 내 비정상적인 웹 활동과 후행 행위를 모니터링한다. 예상치 못한 프로세스 생성이나 권한 상승 시도, 외부 C2 서버와의 통신을 집중 감시한다.
  5. 벤더 가이드에 따라 긴급 완화 조치를 수행하고, 조직 내 리스크를 재평가해 보안 강화 우선순위를 설정한다.

CVE-2026-45659는 단순 버그가 아니라 실제 공격자가 활용하는 치명적인 무기다. 역직렬화 취약점 특성상 시스템 장악 속도가 매우 빠르며, 이는 랜섬웨어 감염이나 핵심 데이터 유출로 직결된다. 관리자와 CISO는 CISA KEV 등재의 긴급성을 인지하고 2026년 5월 보안 업데이트를 즉시 적용해 비즈니스 연속성을 확보해야 한다. 지금 즉시 서버 인벤토리를 점검하고 패치 여부를 확인해야 한다.

댓글 남기기