ToolShell: 새로운 원격 코드 실행 취약점에 대한 CISA의 연방 기관에 대한 경고

지난주 CISA는 "ToolShell"로 공개 보고된 CVE-2025-53770에 대한 경보를 발령했습니다. 이 취약점은 Microsoft SharePoint의 온-프레미스 배포에서 활발하게 악용되고 있는 중요한 원격 코드 실행(RCE) 취약점입니다.  

이 취약점은 여러 SharePoint 버전(2019 및 구독 버전)에 영향을 미칩니다. 공격자는 사용자 상호작용 없이도 상승된 권한으로 임의의 코드를 실행할 수 있습니다.

즉, 공격자는 소셜 엔지니어링을 통해 침해 사고를 일으킬 필요가 없습니다. 그들은 단지 들어갈 방법만 찾으면 됩니다.

ToolShell이 연방 보안 리더를 걱정해야 하는 이유

SharePoint는 협업 도구이자 콘텐츠 관리 및 업무 지원의 중요한 중추로서 연방 네트워크에 널리 배포되어 있습니다. 취약점은 가장 민감한 시스템에 대한 열린 문입니다.

CISA의 경고는 모든 연방 보안 팀에 적신호를 보내야 하는 세 가지 주요 사실을 강조합니다:

1. 이미 착취가 일어나고 있습니다. 이것은 이론적인 것이 아닙니다. 이 익스플로잇은 실시간으로 관찰되고 있습니다. ‍
2. 패치만으로는 충분하지 않을 수 있습니다. 취약점이 이미 익스플로잇된 경우 패치를 적용하면 취약점은 해결되지만 이미 설치된 멀웨어나 백도어는 제거되지 않습니다. ‍
3. 연방 차원의 긴급한 사안이 있습니다. CISA는 알려진 익스플로잇 취약점(KEV) 카탈로그에 CVE-2025-53770을 추가했습니다. 이는 이제 구속력 있는 운영 지침 22-01에 따라 필수 수정 사항이며, 기관은 8월 9일까지 패치를 적용해야 한다는 의미입니다.

패치는 필수적이지만, 특히 연방 네트워크와 같이 대규모로 분산된 환경에서 패치는 만병통치약이 아닙니다.

패치만으로는 충분하지 않습니다.

CISA의 지침은 Microsoft의 업데이트를 적용하는 것에서 끝나지 않습니다.

이 기관은 또한 다음과 같이 권장합니다:

• 침해 징후가 있는지 로그 검토하기
• 엔드포인트 및 네트워크 활동에서 비정상적인 동작 찾기
• SharePoint 서버에 대한 불필요한 네트워크 액세스 제한하기

마지막 요점이 눈에 띄어야 합니다: 이는 사전 예방적 위험 억제에 대한 요구입니다.

제때 패치를 적용하더라도 공격자는 이미 내부에서 환경을 탐색하고 측면으로 이동하며 추가 공격을 준비하고 있을 수 있습니다. 기존의 경계 방어가 부족한 부분입니다.

일루미오가 연방 팀이 폭발 반경을 통제하도록 지원하는 방법

네트워크가 '기본적으로 허용' 모델로 운영되는 경우 측면 이동이 빠르고 쉽습니다. SharePoint RCE 취약점을 통해 침입한 공격자는 몇 초 만에 다른 고가치 표적에 도달할 수 있습니다.

Illumio는 두 가지 중요한 방법으로 연방 기관이 이러한 위험을 줄일 수 있도록 지원합니다:

1. 일루미오 인사이트로 이상 징후를 감지하고 조사하기

오늘날의 복잡한 네트워크에서는 단순히 통신 내용을 확인하는 것만으로는 충분하지 않습니다. 위험을 이해하고 우선순위를 정할 수 있어야 합니다.  

일루미오 인사이트는 환경 전반의 커뮤니케이션 패턴에 대한 AI 기반 실시간 보기를 제공합니다. 워크로드가 서로 어떻게 소통하는지, 무엇이 정상이고 무엇이 비정상인지 정확히 보여줍니다.

손상된 SharePoint 서버가 이전에 한 번도 연결한 적이 없는 시스템에 갑자기 연결을 시작하면 Insights에서 해당 서버에 플래그를 지정합니다. 정의한 보안 정책을 위반하는 트래픽이 발생하거나 예상치 못한 통신 경로가 나타나면 이를 즉시 확인할 수 있습니다.  

이러한 수준의 실시간 관찰 기능을 통해 측면 이동의 초기 징후를 식별하고 의심스러운 행동이 본격적인 인시던트로 발전하기 전에 집중적으로 파악할 수 있습니다.

또한 인사이트는 원클릭 정책 권장 사항을 통해 문제를 알려주는 데 그치지 않고 신속하게 문제를 해결할 수 있도록 도와줍니다. 즉, 팀은 며칠이 아닌 몇 초 만에 탐지에서 봉쇄로 전환할 수 있습니다.

2. 일루미오 세분화로 측면 이동 중지

일루미오 세분화는 워크로드 간의 통신을 엄격하게 제어하여 네트워크 수준에서 제로 트러스트를 시행합니다.

예를 들어, 취약한 SharePoint 서버와의 트래픽을 제한하여 꼭 필요한 시스템과만 통신할 수 있도록 할 수 있습니다. 즉, 한 시스템이 손상되더라도 다른 시스템과 자유롭게 통신할 수 없으므로 측면 이동의 위험이 크게 줄어듭니다.

또한 기밀 또는 미션 크리티컬 데이터를 처리하는 시스템과 같은 중요 자산을 격리하는 세분화된 보안 정책을 정의할 수도 있습니다. 이렇게 하면 공격자가 초기 방어를 우회하더라도 가장 중요한 리소스를 보호할 수 있습니다.  

또한 복잡한 하이브리드 환경 전반에서 작동하기 때문에 신뢰할 수 있는 시스템 간에도 일관되고 확장 가능한 방식으로 동서 트래픽을 제한할 수 있습니다.

세분화는 단순히 물건을 잠그는 것만이 아닙니다. 사이버 회복탄력성을 지원하는 것입니다. CVE-2025-53770과 같은 익스플로잇이 발생하면 세분화를 통해 폭발 반경을 제한하여 공격이 확산되기 전에 보안 팀이 조사하고 대응할 수 있는 귀중한 시간을 확보할 수 있습니다.

보안 침해 차단은 선택 사항이 아닙니다.

CVE-2025-53770은 실제적이고 현존하는 위험입니다. 적극적인 익스플로잇이 진행 중이고, 연방 시스템이 위험에 처해 있으며, CISA의 의무적 개선 시한이 다가오고 있습니다.  

그러나 공격자가 이미 내부에 있는 경우 패치만으로는 보호할 수 없습니다.

반응하는 것만으로는 충분하지 않습니다. 연방 기관은 유출을 막을 준비가 되어 있어야 합니다. 즉, 노출을 최소화하고 의심스러운 활동을 조기에 탐지하며 침해가 업무에 영향을 미치는 침해로 발전하기 전에 확산을 막아야 합니다.

일루미오 세분화 및 일루미오 인사이트는 이러한 과제를 해결하는 데 필요한 제어 및 가시성을 제공합니다. 함께 사용하면 위험을 줄이고, 불가피한 침입의 영향 반경을 축소하며, 진화하는 위협에 한발 앞서 대응할 수 있습니다.

일루미오 인사이트를 통해 환경의 취약점을 확인하고, 이해하고, 우선순위를 정하세요. 시작하기 무료 평가판 오늘.