핵심 요약
- 2026년 7월 2일 CISA가 SharePoint Server의 고심각도 RCE 결함 CVE-2026-45659를 Known Exploited Vulnerabilities(KEV) 카탈로그에 추가했다.
- 이미 능동적 익스플로잇 정황이 포착된 상태로, 미국 연방기관은 BOD-22-01에 따라 정해진 기한 내 패치 적용 의무가 발생한다.
- 글로벌 SharePoint 운영 기업은 자산 식별, 우선 패치, 침해지표(IoC) 점검의 3단계 즉각 대응이 권고된다.
KEV 등재는 “익스플로잇이 확인된 고위험 자산”이라는 공식 시그널이며, 패치 우선순위 결정의 절대 기준으로 작동한다.
2026년 7월 2일, 미국 Cybersecurity and Infrastructure Security Agency(CISA)는 Microsoft SharePoint Server의 원격 코드 실행(RCE) 결함 CVE-2026-45659를 KEV(알려진 익스플로잇 취약점) 카탈로그에 추가했다. 이번 등재는 실제 환경에서 능동적 익스플로잇이 관측되었음을 공식 인정한 것으로, 미국 연방기관은 물론 SharePoint를 운영하는 글로벌 기업 전반에 즉각적인 자산 점검과 패치 적용을 요구하는 사안이다.
CVE-2026-45659 취약점 개요
CVE-2026-45659는 Microsoft SharePoint Server에 영향을 주는 고심각도(high-severity) RCE 결함으로 분류된다. CISA KEV 카탈로그에 등재된 사실 자체가 공격자 측에서 실제 익스플로잇이 성공했음을 의미하며, 이는 개념증명(PoC) 단계의 정황과 본질적으로 구분된다.
영향받는 SharePoint 버전 및 제품군
Microsoft SharePoint Server 온프레미스 환경이 1차 영향 범위로 알려져 있다. 클라우드 기반 SharePoint Online과 온프레미스 간의 노출 차이는 Microsoft Security Response Center(MSRC)의 공식 권고에 따라 확정될 예정이며, 이 시점에서는 운영 중인 SharePoint Server 팜(farm)의 버전을 전수 조사하는 것이 우선이다.
RCE 취약점의 공격 메커니즘 추정
공개된 정보를 종합하면, 인증된 세션 또는 비인증 경로에서 원격 코드 실행이 가능한 구조로 추정되며,다. 익스플로잇 세부 절차는 MSRC의 공식 가이드 공개 전까지 확정하기 어려우나, 과거 SharePoint RCE 사례(예: CVE-2024-38094 등)에서 관측된 웹 셸 배포 및 권한 상승 패턴이 유사하게 활용될 가능성을 배제할 수 없다.
공개 시점부터 활성 악용까지의 타임라인
- 취약점 공개: Microsoft의 패치 릴리스와 동시에 CVE-2026-45659가 할당된 것으로 보인다.
- 익스플로잇 관측: CISA 등재 시점 기준으로 이미 야외(wild) 환경에서 악용이 확인된 것으로 분석된다.
- KEV 등재: 2026년 7월 2일 수요일, CISA가 공식 카탈로그에 추가하며 연방기관 패치 의무가 발동되었다.
CISA KEV 등재의 의미와 의무 사항
KEV 카탈로그는 단순한 취약점 목록이 아니라 “실제 익스플로잇이 발생한 결함”을 선별한 데이터베이스다. CISA는 KEV에 등재된 결함에 대해 연방기관의 조치 의무를 BOD-22-01(Binding Operational Directive 22-01) 기반으로 명시한다.
KEV 카탈로그 등재 기준 및 절차
CISA는 (1) 해당 취약점에 대해 CVE가 할당되어 있고, (2) 공급업체 등 신뢰할 수 있는 출처가 권고를 발행했으며, (3) 야외 익스플로잇 증거가 존재하는 경우 KEV에 등재한다. CVE-2026-45659는 위 3요건을 모두 충족한 사례로 분류된다.
BOD-22-01에 따른 연방기관 패치 의무화
연방민간기관(FCEB)은 KEV 등재 시점부터 정해진 기한(통상 결함 심각도에 따라 2주 또는 그 이상) 내에 패치를 적용해야 한다. 미이행 시 IT 예산 및 조달에 대한 후속 제재가 따를 수 있어, 미국 연방 프로젝트와 연결된 민간 협력사도 사실상 동일 수준의 대응을 요구받는다. 경우가 많다.
KEV 등재에 따른 일반 기업 권고사항
- SharePoint 자산 식별 및 버전 매핑을 24시간 이내 완료
- 패치 적용 우선순위 조정 및 변경 관리 회의 긴급 소집
- 익스플로잇 정황 탐지를 위한 네트워크/엔드포인트 로깅 강화
- 사고 발생 시 통보 및 격리 절차 사전 점검
위협 인텔리전스 및 익스플로잇 현황
The Hacker News가 2026년 7월 2일자 기사에서 보도한 내용을 기준으로, CVE-2026-45659는 능동적 익스플로잇 단계에 진입한 것으로 확인된다. 위협 행위자의 구체적 귀속은 추가 정보가 공개되기 전까지 단정할 수 없으나, 과거 SharePoint 결함을 악용한 그룹의 행태와 비교 시 랜섬웨어 운영자 또는 초기 침투 브로커 양상이 관측되어 온 바 있다.
보고된 능동적 익스플로잇 사례
공개된 1차 출처에 따르면 익스플로잇 정황은 다수의 환경에서 포착된 것으로 전해진다. 다만 개별 피해 조직의 규모와 산업군 분포는 공식 집계가 공개되기 전까지는 “관측된 정황” 수준으로 명시하는 것이 사실-의견 구분상 적절하다.
관련 위협 행위자 및 캠페인 추정
현재까지 CVE-2026-45659 단독 캠페인을 특정 위협 행위자에게 귀속시킬 수 있는 공식 증거는 부재하다. 다만 SharePoint를 표적으로 한 과거 캠페인의 기법과 본 취약점의 영향 범위가 유사한 측면이 있어, 기존 액터의 재활용 가능성이 있는 것으로 분석된다.
유사 SharePoint 취약점 이력과의 비교
| 식별자 | 연도 | 유형 | KEV 등재 여부 |
|---|---|---|---|
| CVE-2024-38094 | 2024 | RCE | 등재 |
| CVE-2025-21333 | 2025 | RCE | 등재 |
| CVE-2026-45659 | 2026 | RCE | 등재(현 사안) |
공통점은 RCE 결함임에도 KEV 등재까지의 시간이 짧아, 공격자 생태계가 패치 윈도우를 빠르게 소진한다는 점이다. 이는 “공개 즉시 익스플로잇” 패턴이 SharePoint 영역에서 상시화되고 있음을 시사한다.
조직의 대응 및 완화 전략
즉시 적용 가능한 패치 및 임시 완화 조치
- Microsoft의 최신 SharePoint Server 보안 업데이트를 우선 적용한다.
- 패치 적용이 어려운 경우, 인터넷 노출 SharePoint 구간을 WAF(웹 애플리케이션 방화벽) 규칙으로 임시 차단한다.
- 관리자 콘솔 접근 IP 대역을 제한하고, 익명 접근 경로를 점검한다.
자산 식별 및 취약점 스캐닝 절차
전사 SharePoint 인스턴스 목록을 작성하고, 버전 및 빌드 번호를 매핑한 뒤, KEV 일치 여부를 Tenable, Qualys, Rapid7 등 스캐너로 교차 확인한다. 단일 페르레이션 누락이 곧 침해 경로가 될 수 있어, 분기/보조 노드까지 포함해 점검 범위를 확장해야 한다.
사고 발생 시 침해지표(IoC) 및 포렌식 가이드
- 비정상 ASPX/IIS 모듈 생성 여부, 알 수 없는 aspx 웹 셸 존재 여부
- SharePoint 관리자 계정 및 서비스 계정의 비정상 로그온 패턴
- SharePoint 콘텐츠 데이터베이스 내 의심스러운 명령 실행 흔적
- 외부 C2 도메인과의 비정상 아웃바운드 통신
사고가 의심되는 경우 즉시 SharePoint 팜을 네트워크에서 격리하고, 메모리 및 디스크 포렌식 이미지를 확보한 뒤 전문 IR(Incident Response) 팀과 협력해 영향 범위를 산정한다.
정리하면, CVE-2026-45659는 KEV 등재라는 사실만으로 “실제 익스플로잇이 진행 중인 고위험 결함”으로 분류된다. SharePoint Server를 운영하는 모든 조직은 (1) 자산 전수 식별, (2) Microsoft 공식 패치 즉시 적용, (3) 침해지표 모니터링의 3단계를 24~72시간 내 완료해야 한다. 패치 우선순위 의사결정에서 KEV 등재 여부는 CVSS 점수보다 상위 기준이며, 본 사안은 그 원칙을 다시 한번 확인한 사례다.
참고 출처: The Hacker News 원문 기사, CISA Known Exploited Vulnerabilities Catalog