요약: 2025년 9월, 사이트코어(Sitecore)의 주요 제품(Experience Manager, Experience Platform, Experience Commerce)에서 ASP.NET ViewState 역직렬화 취약점(CVE-2025-53690)이 확인되어 전 세계에서 실제 공격에 악용된 정황이 포착됐다. 공격자는 문서에 포함된 샘플 ASP.NET 머신 키를 이용해 원격 코드 실행(RCE)에 성공했으며, 보안업체들의 대응 권고가 발표됐다.
핵심 사실 (Key Takeaways)
- CVE-2025-53690은 ASP.NET ViewState 역직렬화 과정의 취약점으로, 노출된 머신 키로 원격 코드 실행이 가능하다.
- 영향 범위: Sitecore XM, XP, Experience Commerce 등 주요 제품.
- Mandiant 조사에서 2017년 이전 배포 가이드에 포함된 샘플 머신 키 사용 환경에서 공격이 발생한 것으로 확인됐다.
- 공격은 실제로 전 세계에서 관찰되었으며, 일부 서버는 침투와 장기 지속화 시도가 의심된다.
- 권고 조치: 모든 ASP.NET 머신 키 교체, web.config 내 machineKey 요소 암호화, 파일 접근 권한 최소화.
- 유사한 ViewState 기반 공격 사례가 올해 다수 보고되어 연속적 위험이 존재한다(CVE-2025-30406, CVE-2025-3935, CVE-2025-53770).
- 보안 관리 실패(기본값·샘플 키 사용)가 근본 원인으로 지적되며 CI/CD 배포 과정 검증 강화 필요.
검증된 사실 상세 (Verified Facts)
취약점 CVE-2025-53690은 ASP.NET의 ViewState 역직렬화 처리와 관련돼 있다. ViewState는 서버와 클라이언트 간 상태를 유지하기 위해 사용되며, 일반적으로 machineKey로 서명·암호화된다. 그러나 동일한 키가 외부에 노출되면 공격자가 위조된 ViewState를 만들어 원격 코드 실행을 시도할 수 있다.
보안업체 Mandiant는 이번 사례에서 공격자가 사이트코어 문서에 포함된 샘플 머신 키를 그대로 사용한 환경을 노려 침투에 성공했다고 보고했다. Mandiant는 긴급 대응으로 추가 공격을 차단했으나 전체 침해 과정과 영향 범위를 완전하게 확인하지 못했다고 밝혔다.
마이크로소프트는 2025년 2월 공개적으로 수천 건의 노출된 ASP.NET 머신 키가 악용될 수 있다고 경고했다. 올해에는 Gladinet CentreStack(CVE-2025-30406), ConnectWise ScreenConnect(CVE-2025-3935), Microsoft SharePoint Server(CVE-2025-53770) 등 ViewState 또는 유사 체인을 통해 악용된 사례가 연달아 보고됐다.
맥락과 영향 (Context & Impact)
이번 사건은 단순 취약점 존재를 넘어 구성 관리 실패가 실제 침해로 연결되는 전형적 사례로 평가된다. 기본값·샘플 키·디폴트 계정이 남아 있는 시스템은 자동화된 스캐닝과 익스플로잇 도구에 의해 빠르게 표적이 된다.
영향 범위는 단일 서버의 RCE 차원을 넘어서, 침투 이후 백도어 설치·권한 상승·내부 지속성 확보 등 장기적 위협으로 확대될 가능성이 크다. 특히 웹 기반 CMS나 전자상거래 환경에서 데이터 유출·서비스 중단 리스크가 높다.
기업은 패치 적용 외에 다음과 같은 즉각적 조치를 권고받고 있다: 1) 모든 ASP.NET machineKey 교체, 2) web.config의 machineKey 요소 암호화, 3) 해당 파일의 접근 권한을 관리자 전용으로 제한, 4) 배포 파이프라인(CI/CD)에서 기본·샘플 값이 포함되지 않았는지 검증.
공식 입장/짧은 인용 (Official Statements)
고객 환경을 면밀히 점검하고 노출된 머신 키를 즉시 교체하며 웹 설정 파일에 대한 접근 통제를 강화할 것을 권고합니다.
사이트코어 보안 권고
불확실성 (Unconfirmed)
- 공격자 신원(국가·조직) 및 광범위한 배후 연결성은 현재 확인되지 않았다.
- 모든 침해 대상 서버에서 데이터 유출이나 추가 악성 활동이 발생했는지에 대한 전수 조사는 완료되지 않았다.
- 침투 초기 경로(다른 취약점과의 연계 여부) 일부는 추가 분석이 필요하다.
총평 (Bottom Line)
이번 CVE-2025-53690 사건은 기술적 취약점과 함께 구성 관리 실패가 결합했을 때 조직에 심각한 위험을 초래할 수 있음을 보여준다. 즉시 머신 키 점검과 교체, web.config 암호화 및 접근 통제 적용을 권장하며, CI/CD 파이프라인과 배포 문서를 포함한 전반적 보안 정책을 재검토해야 한다.