온프레미스 SharePoint Server는 클라우드 서비스처럼 경계 밖에 맡겨두는 대상이 아니야. 조직이 직접 관리하는 서버에 웹 요청, 관리자 접근, 팜과 데이터베이스 통신이 함께 얹혀 있어서, 취약점 하나의 문제가 패치·탐지·접근 통제로 이어져.

지금 이 이름을 기억해야 하는 이유는 취약점의 존재보다 침해 뒤에도 남을 수 있는 자격 재료와 접근 경로를 함께 관리해야 한다는 점이 드러났기 때문이야. CISA는 2026년 7월 14일 온프레미스 SharePoint Server에 대한 취약점 악용을 경고하면서, 패치만이 아니라 AMSI, 로그, 웹 노출, IIS 머신 키까지 한 묶음으로 다뤘어.1

한 줄로 말하면

온프레미스 SharePoint Server 하드닝은 취약점 패치를 출발점으로 삼아, 요청 검사와 악성 행위 탐지, 관리자·서버 통신의 접근 경계, 침해 뒤 키 회전까지 연결하는 보안 체계야.

무엇인가

CISA가 경고한 대상은 SharePoint Server Subscription Edition, 2019, 2016이야. CVE-2026-32201, CVE-2026-45659, CVE-2026-56164는 공격자가 권한 없이 온프레미스 인스턴스에 접근하고 원격 코드 실행과 침해 후 활동으로 이어질 수 있는 취약점으로 설명됐어. CISA는 IIS 머신 키 탈취와 역직렬화, 지속성 확보와 악성코드 배포 가능성도 함께 언급했지.1

여기서 하드닝은 설정 하나를 켜는 일이 아니야. 서버에 들어오는 요청을 검사하고, 비정상 요청과 SharePoint 작업 프로세스의 움직임을 기록하고, 인터넷과 Central Administration의 접근 경계를 줄이고, 키를 돌리기 전에 이미 심어진 침해 흔적을 찾는 순서가 서로 맞물려 있어.

왜 계속 등장하는가

온프레미스 서버는 조직이 직접 경계를 정해야 해. CISA는 SharePoint Server를 인터넷에 직접 노출하지 말고, 꼭 노출해야 한다면 인증과 요청 검사·필터링이 가능한 Layer 7 역방향 프록시나 동급의 애플리케이션 계층 보안 통제 뒤에 두라고 권고했어. Central Administration의 외부 접근을 막고, 팜과 데이터베이스 통신도 필요한 시스템으로 제한하라는 권고가 이어져.1

또 패치 완료 여부 자체가 확인 대상이야. 최신 Microsoft 보안 업데이트를 적용하고 설치가 성공했는지 검증하며, 가능하면 패치 주기를 줄이라는 권고가 나왔어. 이미 알려진 취약점이 있다는 사실보다, 실제 서버에 수정이 끝났는지 확인하는 절차가 중요하다는 뜻이야.1

이 대상을 볼 때의 핵심 축

  • 패치 적용과 설치 검증. 지원되는 Subscription Edition·2019·2016 각각에 최신 업데이트가 적용됐고 설치가 끝났는지 확인해야 해.1
  • AMSI와 행위 탐지. 각 SharePoint 웹 애플리케이션에서 Antimalware Scan Interface(AMSI) 통합이 켜져 있는지 보고, 가능한 경우 요청 본문 검사 모드를 Full Mode로 설정해야 해. CISA는 요청 본문·헤더 검사와 원격 코드 실행 범위에 해당하는 AMSI 탐지, IIS 보호 비밀값과 관련된 Microsoft Defender Antivirus 탐지를 함께 제시했어.1
  • 로그의 범위. 비정상 요청, 의심스러운 SharePoint 작업 프로세스 활동, 웹셸, 머신 키 접근을 구별해 볼 수 있는 맞춤형 로그가 필요해.1
  • 접근 경계. 인터넷 직접 노출, Central Administration 외부 접근, 팜·데이터베이스 통신 범위를 각각 따로 줄여야 해. 하나의 네트워크 방화벽 규칙으로 끝나는 문제가 아니야.1
  • 키 회전의 순서. IIS 머신 키를 바꾸기 전에 키를 훔치는 도구를 포함한 침입 흔적을 찾아 없애야 해. 흔적을 남긴 채 키만 돌리면 같은 키가 다시 탈취될 수 있다는 위험을 CISA가 짚었어.1

최근 관찰된 신호

CISA는 CVE-2026-32201, CVE-2026-45659, CVE-2026-56164가 실제로 악용되고 있다고 밝혔어. 이 가운데 CVE-2026-32201은 2026년 4월 14일, CVE-2026-45659는 7월 1일, CVE-2026-56164는 7월 14일에 CISA의 Known Exploited Vulnerabilities 목록에 추가됐어. 반면 CVE-2026-55040과 CVE-2026-58644는 당시 아직 악용 사실이 알려지지 않았지만, Microsoft가 패치하지 않을 경우 위험할 수 있다고 판단한 취약점으로 함께 언급됐어.1

헷갈리지 말아야 할 점

패치와 하드닝은 같은 말이 아니야. 패치는 알려진 취약점을 줄이는 출발점이고, AMSI·로그·접근 경계·키 관리·침해 대응은 패치가 놓친 흔적과 재침투 경로를 찾는 별도의 층이야. 어느 하나를 적용했다고 나머지가 자동으로 해결되지는 않아.1

키 회전이 침해 대응의 첫 단계도 아니야. 먼저 키가 이미 탈취됐는지와 침입 흔적이 남아 있는지를 찾아야 해. 그 뒤에 키를 회전하고, 긍정 탐지가 나오면 조직의 사고 대응 계획을 실행하는 순서로 봐야 해.1

남은 질문들

  • Microsoft의 버전별 보안 업데이트는 실제로 어떤 수정과 적용 조건을 요구하나?
  • SharePoint 웹 애플리케이션의 AMSI Full Mode는 어떤 요청을 검사하고 운영 부담은 무엇인가?
  • CVE별 침해 흔적과 Microsoft·CISA가 제시하는 탐지 규칙은 무엇인가?
  • 조직의 SharePoint 배치에서 인터넷, Central Administration, 팜·데이터베이스 통신 경계는 어떻게 확인하나?

이어서 읽기

각주

  1. CISA, 「CISA Urges SharePoint Hardening After New Exploitations」(2026-07-14) 공식 경보 ↩︎ ↩︎2 ↩︎3 ↩︎4 ↩︎5 ↩︎6 ↩︎7 ↩︎8 ↩︎9 ↩︎10 ↩︎11 ↩︎12