하룻밤 새 29개 기관이 뚫렸다 – 서버가 침묵한 이유는 바로 이 한 줄 코드
2025년 7월 18일 밤, 전 세계 수천 대의 SharePoint 서버가 갑자기 정지했습니다. 공통점은 단 하나, ‘spinstall0.aspx’. 이 단어를 처음 보는 분이라면, 지금부터 단 5분만 집중해주세요. 백도어, 내부망 침투, 랜섬웨어까지 이어진 공격의 전말을 설명드릴게요.
안녕하세요, 보안 인사이트를 깊고 생생하게 전달하는 블로그에 오신 걸 환영합니다. 이번엔 저도 솔직히 글 쓰면서 손이 떨렸습니다. SharePoint 서버, 그것도 기업 내부 시스템에서 오랫동안 핵심으로 쓰이던 플랫폼이 단 하나의 POST 요청으로 무너질 수 있다는 사실, 여러분은 상상이나 해보셨나요? 저 역시 처음에는 단순한 RCE라고 생각했는데, 분석할수록 그 구조와 위협이 너무나도 정교했습니다. 특히 이번 취약점은 기존의 단발성 공격과는 차원이 달라요. 제가 직접 확인한 서버 로그와 실제 피해 조직의 대응 사례까지 공유드릴 테니, 지금부터 끝까지 꼭 따라와 주세요.
목차
CVE-2025-53770: 취약점 구조와 위협 개요
처음 CVE-2025-53770을 마주했을 때, 저는 솔직히 “또 하나의 일반적인 RCE겠지”라고 생각했어요. 그런데 내용을 깊이 파고들수록, 단순한 취약점이 아니라 **전략적으로 조율된 사이버 작전**이라는 느낌을 지울 수 없었습니다.
이 취약점은 SharePoint의 ToolPane 기능 내부의 .NET 역직렬화 로직을 노립니다. 신뢰할 수 없는 입력값을 역직렬화하면서 인증 절차를 건너뛰고, 악성 .aspx 웹페이지를 서버에 심는 게 핵심이에요. 여기서 끝이 아닙니다. 삽입된 웹페이지는 SharePoint의 암호화 키인 ValidationKey와 DecryptionKey를 훔쳐갑니다. 그 순간, 공격자는 서버의 VIEWSTATE를 조작할 수 있는 전권을 갖게 되죠.
더 무서운 건 이 공격이 인증이 전혀 필요 없다는 점이에요. 일반 사용자 권한은커녕, 그냥 아무나 POST 요청 한 번으로 공격이 가능하다는 뜻이죠. 그리고 실제로, 공격은 단 72시간 만에 대량으로 무기화되어 퍼졌습니다. Pwn2Own 2025 대회에서 시연됐던 코드가 현실에서 쓰인 거죠.
그날 밤, 서버는 침묵했습니다. 그러나 로그는 진실을 말했어요.
공격 흐름 상세 분석: 5단계 침투 메커니즘
공격자는 단순하지 않았습니다. 그들은 **5단계 공격 체인**을 정교하게 설계해 SharePoint 서버를 무력화시켰습니다. 이 과정을 리스트로 정리해볼게요.
- 우회: Referer를 /_layouts/SignOut.aspx로 설정해 인증 우회 시도
- 공격 요청: ToolPane.aspx 엔드포인트로 악성 POST 요청
- 웹쉘 생성: spinstall0.aspx 업로드 → 서버 암호화 키 추출용
- 키 탈취: VIEWSTATE 변조 키 확보 및 악성 페이로드 주입
- 완전 장악: 백도어, 권한 상승, 내부망 이동, 랜섬웨어 실행
사실 이 흐름을 처음 본 순간, 저는 “이건 테스트가 아니라 실전용이다”라는 느낌이 들었어요. 각 단계마다 최소한의 요청으로 최대 효과를 내는 방식이었고, 단 한 줄의 ViewState만으로 관리자 권한을 획득하는 모습은 경이롭기까지 했습니다.
공격 자동화의 무서움과 실전 사례
이 공격의 진정한 공포는 ‘자동화’에 있었습니다. 인증이 필요 없고, 단 1회의 POST 요청이면 끝. 이건 마치 스크립트 한 줄이면 수십 대 서버를 동시에 침투할 수 있는 전장을 만든 셈이었어요.
실제 피해 현장에서 확인된 흔적은 전율 그 자체였습니다. 동일한 spinstall0.aspx 파일이 거의 동일한 시각, 수십 개의 SharePoint 서버에 업로드된 정황이 포착되었죠. 공격 그룹은 Pwn2Own 보안대회에서 공개된 시연 코드를 입수한 뒤, 단 3일 만에 실전 무기로 전환했습니다.
이건 단순한 취약점 활용이 아니에요. 계획된 대량 살포형 사이버 테러였던 거죠.
- 공격 자동화 툴킷: POST 스크립트 단일 실행만으로 즉시 감염
- 스크립트 재사용: 동일 페이로드, 동일 공격 흐름 확인
- 2차 공격: 7월 19일 오전, 추가 IP에서 새로운 감염 시도 확인
실제 침해 흔적과 IOC 정리
공격은 현실이었습니다. 실제 침해 서버의 로그를 분석하면서 너무도 많은 공통점이 발견됐죠. 특히 다음 세 가지는 모든 침해 서버에서 거의 동일하게 나타났습니다.
- 파일 생성: spinstall0.aspx (경로: /Web Server Extensions/16/TEMPLATE/LAYOUTS/)
- HTTP 로그: POST /ToolPane.aspx → Referer: /_layouts/SignOut.aspx
- PowerShell 흔적: 인코딩된 명령어 기반 .aspx 삽입 및 실행
특히 SHA256 해시 92bb4ddb98eeaf11fc15bb32e71d0a63... 이 일치하는 파일은 공격의 서명이자 명함이었습니다. 여러분의 서버에도 이 흔적이 남아있다면, 지금 즉시 분석이 필요합니다.
왜 패치만으로는 충분하지 않은가?
“패치했으니까 안심해도 되겠지?” 라고 생각하셨다면... 안타깝지만 현실은 다릅니다. 이 취약점의 핵심은 **암호화 키 탈취**에 있어요. 이미 탈취된 ValidationKey나 DecryptionKey가 있다면, 이후에 아무리 보안 패치를 해도 공격자는 VIEWSTATE를 계속 위조할 수 있거든요.
즉, 단순히 ‘보안 업데이트 설치’만으로는 부족합니다. "키 회전"과 "IIS 재시작"이 반드시 병행되어야 진짜 보안이 완성됩니다.
- Update-SPMachineKey로 키 회전 실시
- Central Admin 통해 설정 저장 후, IIS 전면 재기동
공격자는 종종 백도어를 남겨 내부망 깊숙이 들어가려 합니다. 특히 Exchange, AD와 같은 주요 시스템으로의 확장은 시간 문제예요. 이 취약점은 단순 웹쉘이 아닙니다. **은밀하게 시스템 키를 가져가고, 다음 단계를 위해 침묵하는 유형**입니다. 그래서 더 무섭죠.
즉시 실행 가능한 대응 방안과 보안 권고
이제부터는 실전입니다. 아래 리스트는 보안컨설팅 프로젝트에서 고객사에게 제공했던 즉각적 대응 체크리스트입니다.
- 최신 패치 적용 + 키 회전 및 IIS 재기동 필수
- spinstall0.aspx 파일 유무 및 HTTP 로그(Referer=SignOut) 검색
- 모든 관리자 계정 비밀번호 초기화 및 의심 계정 삭제
- 가능한 경우 서버 재설치 또는 백업 복원 검토
- 전문가와 함께 네트워크 포렌식 수행
그리고 잊지 마세요. 이번 공격은 단순히 한 서버의 문제가 아닙니다. 전체 시스템 생태계를 무너뜨릴 수 있는 **보안의 경계 붕괴**였습니다.
자주 묻는 질문
아닙니다. 이 파일은 침투의 일환일 뿐, 진짜 위험은 탈취된 서버 암호화 키에 있습니다. 반드시 키 회전과 로그 분석이 병행되어야 합니다.
아니요. 이번 취약점은 온프레미스 설치형 SharePoint에만 영향을 미치며, Microsoft 365 기반 SharePoint Online에는 영향을 주지 않습니다.
HTTP 로그에서 ToolPane.aspx 요청과 SignOut.aspx Referer를 찾고, PowerShell 명령어 기록 및 spinstall0.aspx 존재 유무를 체크하세요. 의심 IP 접속 내역도 반드시 확인해야 합니다.
CVE-2025-53770은 단순한 보안 결함이 아닌, 조직 전체의 신뢰를 흔드는 대형 보안 사태입니다. 이 글을 끝까지 읽으셨다면, 이미 절반은 대응을 시작하신 겁니다. 아직 늦지 않았어요. 중요한 건, 단순한 패치가 아닌 근본적인 대응입니다. 로그를 보고, 키를 회전하고, 시스템을 재점검하세요. 그리고 여러분의 조직이 다시 공격받지 않도록 이 정보를 꼭 공유해주세요.