
마이크로소프트 셰어포인트(SharePoint) 서버에서 발견된 결함 하나가 최근 화제입니다. 마이크로소프트 스스로 “공격당할 가능성은 낮다”고 평가했던 취약점인데, 불과 두 달 만에 미국 사이버보안당국의 실제 공격 확인 도장을 받았기 때문입니다.
미국 사이버보안·인프라보안청(CISA)은 지난 7월 1일, 셰어포인트 서버의 원격 코드 실행 결함(CVE-2026-45659, CVSS 8.8점)을 ‘실제 악용이 확인된 취약점(KEV)’ 목록에 새로 올렸습니다. 연방기관에는 7월 4일까지 패치를 끝내라는 마감 시한까지 붙었습니다. 문제는 이 결함의 패치가 이미 5월에 나와, 두 달 가까이 지난 취약점이라는 점입니다.
한눈에 보는 셰어포인트 취약점 개요
| 항목 | 내용 |
|---|---|
| CVE 번호 | CVE-2026-45659 |
| CVSS 점수 | 8.8 (10점 만점, 높음) |
| 결함 유형 | 신뢰할 수 없는 데이터의 역직렬화 → 원격 코드 실행 |
| 영향 제품 | 셰어포인트 서버 구독판, 셰어포인트 서버 2019, 셰어포인트 엔터프라이즈 서버 2016 |
| 패치 배포일 | 2026년 5월 |
| CISA KEV 등재일 | 2026년 7월 1일 |
| 연방기관 조치 기한 | 2026년 7월 4일 |
셰어포인트 온라인(클라우드 버전)은 이번 대상에서 빠집니다. 회사가 직접 구축·운영하는 온프레미스 서버만 해당합니다.
셰어포인트 취약점이 특히 눈에 띄는 이유
이 사건이 눈길을 끄는 이유는 두 가지입니다.
첫째, 마이크로소프트 자체 권고문에는 ‘익스플로잇 가능성 낮음(Exploitation Less Likely)’ 평가가 붙어 있었습니다. 그런데 CISA가 실제 공격 정황을 확인하고 KEV에 올렸습니다. 벤더의 자체 위험도 평가만 믿고 패치 우선순위를 뒤로 미뤘던 조직이라면, 그 판단 근거 자체가 흔들린 셈입니다.
둘째, 공격에 필요한 권한 문턱이 낮습니다. 관리자 계정이 아니라 ‘사이트 구성원(Site Member)’ 수준의 일반 로그인 권한만 있어도 서버에서 임의 코드를 실행할 수 있다고 마이크로소프트는 설명합니다. 외부 침입자가 아니라 내부의 낮은 권한 계정 하나만 뚫려도 서버 전체가 넘어갈 수 있다는 뜻입니다. 실제로 온프레미스 셰어포인트는 지난해 중반부터 랜섬웨어 조직들의 단골 침투 경로로 꼽혀 온 시스템이기도 합니다.
셰어포인트 취약점 Q&A
Q. 우리 회사도 위험한가요?
A. 사내에 구축형(온프레미스) 셰어포인트 서버 2019, 엔터프라이즈 서버 2016, 또는 서버 구독판을 직접 운영 중이라면 해당합니다. 마이크로소프트가 직접 운영하는 셰어포인트 온라인 사용자는 대상이 아닙니다.
Q. 5월에 이미 패치가 나왔는데 왜 지금 다시 문제인가요?
A. 패치를 아직 적용하지 않은 서버가 여전히 많고, 실제 공격 정황이 뒤늦게 확인되면서 CISA가 7월에야 KEV에 올렸기 때문입니다. 패치 공개와 실제 위험 확인 사이에는 시차가 있을 수 있습니다.
셰어포인트 패치 여부, 이렇게 확인하세요
- IT 담당 부서에 2026년 5월 이후 배포된 셰어포인트 보안 업데이트 적용 여부를 확인하세요.
- 온프레미스 셰어포인트 서버 버전이 구독판, 2019, 엔터프라이즈 서버 2016 중 하나인지 점검하세요.
- 패치가 늦어졌다면 외부 접근을 임시로 제한하고, 사이트 구성원 계정의 비정상 로그인·활동 로그부터 우선 살펴보세요.
- 침해 흔적이 의심되면 세션과 계정 정보를 초기화하고 침해사고 대응팀에 문의하세요.
이번 셰어포인트 사건이 남긴 교훈
벤더가 ‘위험 낮음’이라고 딱지를 붙였다고 해서 패치 순서를 뒤로 미루는 관행은 이번 사례에서 다시 한번 흔들렸습니다. 결국 최종 판단 기준은 벤더의 예측이 아니라 CISA 같은 독립 기관이 확인한 ‘실제 악용 여부’가 되어야 합니다. 사내에 방치된 구축형 서버가 있다면, 벤더의 위험도 표기와 무관하게 패치 이력부터 다시 점검해보시길 권합니다.