CVE-2026-45659 SharePoint RCE, CISA KEV 등재와 1만 서버 노출 현황
Microsoft SharePoint Server 3개 버전 대상 CVE-2026-45659(CVSS 8.8) RCE가 2026년 7월 2일 CISA KEV에 등재됐다. ViewState 역직렬화 메커니즘, 탐지 방법, Microsoft vs CISA 위험 평가 간극을 분석한다.
2026년 7월 2일, CISA(미국 사이버보안인프라보안국)가 Microsoft SharePoint Server의 원격 코드 실행 취약점을 KEV(Known Exploited Vulnerabilities) 카탈로그에 등재했다. 주목할 점은 타이밍이다. Microsoft는 5월 패치 공개 시 이 취약점의 악용 가능성을 "낮음(Less Likely)"으로 분류했다. CISA는 이에 반해 실제 공격이 관측됐다며 7월 4일까지 연방 기관에 패치를 명령했다.
항목
내용
CVE
CVSS 3.1
8.8 HIGH (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
영향 제품
SharePoint Enterprise Server 2016 · Server 2019 · Server Subscription Edition
패치 배포
2026년 5월 27일
CISA KEV 등재
2026년 7월 2일
연방 기관 마감
2026년 7월 4일
왜 이 취약점이 위험한가
SharePoint 환경에서 서버 측 코드 실행 권한을 얻는 것은 공격자에게 최고 수준의 교두보를 의미한다. 문서 관리, 인트라넷, 비즈니스 프로세스가 SharePoint 위에서 돌아가는 기업이라면, 이 취약점 하나로 핵심 시스템 전체가 위협에 노출된다.
진입 장벽도 낮다. CVSS 벡터(AV:N/AC:L/PR:L/UI:N)가 보여주듯, 공격자는 원격에서 네트워크만 닿으면 되고 관리자 권한 없이 사이트 멤버 수준의 낮은 권한으로 충분하다. 공격 복잡도도 낮아 자동화 공격에 쉽게 편입된다. Microsoft 자체적으로도 "공격자는 시스템에 대한 사전 지식이 거의 필요하지 않다"고 설명한 바 있다.
메커니즘: ViewState 역직렬화가 어떻게 RCE로 이어지나
CWE-502(신뢰할 수 없는 데이터의 역직렬화)가 이 취약점의 핵심이다. SharePoint는 ASP.NET 기반으로 구동되며, 페이지 상태를 유지하기 위해 ViewState라는 인코딩된 데이터를 HTTP 요청에 포함해 서버로 전송한다.
정상적인 ViewState는 서버가 검증한다. 이 취약점은 인증 이후 단계의 입력값 무결성 검증이 누락된 결함으로, 공격자가 조작된 ViewState 페이로드를 역직렬화 단계에서 실행시킬 수 있다. 결과적으로 IIS 워커 프로세스(w3wp.exe)가 공격자가 지정한 코드를 실행하게 된다. 이 시점부터 서버 파일 시스템 접근, 자격증명 탈취, 추가 페이로드 배포가 가능해진다.
악용 전개: Microsoft "낮음" vs CISA "실제 공격" 간극
패치 공개부터 KEV 등재까지 약 6주의 간격이 있었다. Microsoft는 인증 요건과 당시 PoC 미공개를 근거로 단기 악용 가능성을 낮게 봤다. 그러나 결과적으로 이 평가는 두 가지를 저평가했다.
첫째, 패치 자체가 공격자에게 역공학 로드맵을 제공한다. 패치 파일 비교(diff)만으로 어떤 코드가 바뀌었고 어디가 취약했는지를 파악할 수 있다. 둘째, 사이트 멤버 권한은 피싱이나 크리덴셜 스터핑으로 쉽게 확보 가능하다. 이 두 조건이 결합되면, 패치 적용 전까지 공격자는 사실상 일반 계정 하나로 서버 장악 경로를 확보한다.
CISA는 공격 주체나 피해 범위를 공개하지 않았다. 그러나 인터넷에 노출된 SharePoint 서버가 1만 대 이상이라는 점에서, 공격 타깃 풀 자체는 충분히 크다.
한 가지 더 짚어야 할 점이 있다. Elastic Security의 공개 탐지 룰은 전용이 아니다. 2025년 ·53771로 촉발된 Toolshell 익스플로잇 체인 계열의 ViewState 역직렬화 시그니처를 잡도록 설계돼 있다. 이 탐지 로직이 이번 취약점에 그대로 걸린다면, 공격 코드가 새로 개발된 것이 아니라 Toolshell 계열 도구를 재조합한 형태일 가능성이 높다는 뜻이다. 완전히 새로운 공격 개발 없이 기존 도구셋의 표적만 로 갈아 끼우면 되는 상황이다. Microsoft가 "낮음"으로 본 인증 요건도, 이 재활용 경제 앞에서는 뚫린 계정 하나면 무력화된다.
탐지 관점
공격은 네트워크와 호스트 양쪽에 흔적을 남길 수밖에 없다.
네트워크 레이어: Elastic Security 공개 탐지 룰(Potential VIEWSTATE RCE Attempt on SharePoint/IIS)이 정의한 시그니처는 세 조건의 결합이다. ① POST 요청 본문에 __VIEWSTATE= 포함, ② Referer가 SignOut.aspx, ③ http.request.body.bytes >= 500. 세 조건을 동시에 만족하는 요청이 /_layouts/ 경로로 들어오면 ViewState 역직렬화 공격 시도로 판정한다. 500바이트 임계값은 Elastic 룰이 규정한 실측 하한이며, 정상 ViewState는 이보다 훨씬 작다.
프로세스 레이어: 역직렬화가 성공하면 w3wp.exe가 예기치 않은 자식 프로세스를 생성한다. cmd.exe, powershell.exe, net.exe 등이 w3wp.exe의 자식으로 나타나는 것은 침해 지표다. Sysmon 이벤트 ID 1(Process Create)에서 ParentImage가 w3wp.exe이고 자식 프로세스가 시스템 명령인 경우 조사 대상이다.
MITRE ATT&CK 매핑: 초기 접근은 T1190(공개 애플리케이션 익스플로잇)에 해당한다. 공격 성공 후 실행 단계는 T1059(명령 및 스크립팅 인터프리터) 계열로 이어질 가능성이 높다(추정). 탐지의 핵심은 IIS 로그(네트워크), 윈도우 이벤트 로그 4688(프로세스 생성), 그리고 Sysmon 이벤트 1·3이다.
한국 관점
국내 기업 환경에서도 Microsoft SharePoint Server 온프레미스 배포는 공공기관·금융권·대기업 그룹웨어에서 광범위하게 사용된다. 의 영향 대상인 SharePoint Server 2016·2019·Subscription Edition은 국내 엔터프라이즈 도입 라인업과 그대로 겹친다.
2026-07-05 기준, KISA는 에 대한 별도 보안공지를 발행하지 않았다. 그러나 KISA 권고 부재를 "위험 없음"으로 읽어서는 안 되는 이유가 두 가지 있다. 첫째, 는 이미 CISA KEV에 등재된 실사용 공격이며 미국 연방 기관 패치 마감(2026-07-04)까지 부여됐다. 둘째, Toolshell 체인 계열 도구가 이 취약점에 재조합될 가능성이 있다. 공개 PoC가 없는 상태에서도 국내 노출 인스턴스가 표적이 될 수 있다는 뜻이다.
지난 Toolshell 사건에서 국내 침해 사례가 공개적으로는 확인되지 않았지만, 그것이 국내 SharePoint 운영 조직에 안전 보증이 되지는 않는다. Microsoft 공식 패치(2026-05-27) 미적용 인스턴스가 인터넷에 노출돼 있다면, KISA 권고를 기다리기보다 즉시 적용이 우선이다. 이번 사례가 남기는 교훈은 벤더의 "낮음" 평가와 CISA의 "실제 공격" 사이 6주 공백이며, 그 공백에서 승패가 갈린다.