MS 최다 패치 당일, 윈도우 제로데이 “레거시하이브” 또 공개

작성일

마이크로소프트 역대 최다 패치 당일, 관리자 계정 조작 제로데이 공개
낮은 권한 계정으로도 공격 가능…연구자-MS 갈등 속 아홉 번째 익스플로잇

MS 최다 패치 당일, 윈도우 제로데이 “레거시하이브” 또 공개 / AI 생성 일러스트(삽화)
MS 최다 패치 당일, 윈도우 제로데이 “레거시하이브” 또 공개 / AI 생성 일러스트(삽화)

마이크로소프트가 7월 패치 화요일에 자사 역대 최다 보안 패치를 배포한 바로 그날, 한 익명 연구자가 새로운 윈도우 제로데이 익스플로잇을 공개했다. 이 코드는 낮은 권한의 윈도우 계정으로도 관리자 계정을 조작할 수 있게 하는 것으로 확인됐다. 복수의 보안 연구자들이 실제로 작동한다고 확인하면서 마이크로소프트는 또다시 대응에 나서야 하는 상황에 놓였다. 이 연구자는 그동안 마이크로소프트의 취약점 신고 처리 방식에 불만을 제기해 왔으며, 이번이 아홉 번째로 공개한 익스플로잇이다.

최다 패치 발표 당일 터진 취약점

마이크로소프트는 이번 7월 패치에서 대규모 보안 결함을 수정했다. 블리핑컴퓨터와 ZD넷은 이를 570건으로 집계했지만, 더해커뉴스는 같은 패치를 622건으로 보도해 매체별로 집계 기준에 차이가 있는 것으로 나타났다. 어느 쪽 수치를 기준으로 하더라도 6월 206건, 4월 164건이었던 이전 기록을 넘어선 것은 분명하다.

이런 대규모 패치 배포와 동시에 익명 연구자가 새로운 익스플로잇을 인터넷에 공개했다는 점이 눈길을 끈다. 아스테크니카는 이 익스플로잇을 ‘하이브레거시(HiveLegacy)’로, 더해커뉴스는 ‘레거시하이브(LegacyHive)’로 각각 표기했다. 두 매체 모두 같은 윈도우 유저 프로파일 서비스(User Profile Service, ProfSvc) 취약점을 다루고 있다.

낮은 권한으로 관리자 계정까지 조작 가능 / AI 생성 이미지
낮은 권한으로 관리자 계정까지 조작 가능 / AI 생성 이미지

낮은 권한으로 관리자 계정까지 조작 가능

이 익스플로잇은 윈도우 유저 프로파일 서비스에 존재하는 권한 상승 취약점을 이용한다. 유저 프로파일 서비스는 사용자 계정과 환경을 관리하는 윈도우의 핵심 구성요소다. 낮은 시스템 권한을 가진 사용자도 관리자 계정의 클래스 레지스트리 하이브(classes registry hive)를 수정할 수 있게 되는데, 이 하이브는 윈도우 탐색기에서 특정 파일 형식을 클릭했을 때 어떤 프로그램이 열릴지 결정하는 자원이다.

닉네임 카오틱 이클립스(Chaotic Eclipse, 일명 나이트메어이클립스)는 “PoC는 다른 표준 사용자의 자격증명과 세 번째 사용자명(관리자 계정일 수도 있음)을 필요로 한다”고 설명했다. 이어 “PoC가 성공하면 대상 사용자의 하이브가 현재 사용자 계정의 classes root에 마운트된다”고 덧붙였다. 공격자는 관리자 여부와 무관한 또 다른 계정의 자격증명, 그리고 세 번째 계정의 사용자명만 알면 공격을 시도할 수 있다는 뜻이다.

연구자는 공개된 PoC 코드가 악용을 막기 위해 일부 기능을 축소한 버전이라고 밝혔다. 원래 익스플로잇은 추가 사용자 자격증명이 필요 없었고 ‘usrclass.dat’ 하이브에만 국한되지 않았다는 설명이다. “이 취약점을 이용하면 어떤 하이브든 로드할 수 있지만, PoC가 그렇게 작동하게 만들려면 머리를 좀 써야 한다”고 밝혔다. 이 익스플로잇은 7월 패치가 적용된 최신 버전을 포함해 지원되는 모든 데스크톱·서버 윈도우 버전에서 작동하는 것으로 알려졌다.

마이크로소프트와 연구자의 오래된 갈등

이번 사건 배경에는 카오틱 이클립스와 마이크로소프트 사이의 신뢰 문제가 있다. 더해커뉴스에 따르면 두 사이는 최소 올해 4월부터 갈등을 겪어 왔다. 연구자는 소통 단절을 이유로 마이크로소프트가 패치할 기회를 갖기 전에 여러 익스플로잇의 세부 내용을 먼저 공개해왔다. 이 가운데 마이크로소프트 디펜더(Defender) 관련 취약점 3건은 공개 직후 실제 공격에 악용된 사례로 확인됐다.

이달 초에도 비슷한 사례가 있었다. 마이크로소프트는 이 연구자가 공개한 또 다른 디펜더 취약점 ‘로그플래닛(RoguePlanet)’에 대한 보안 업데이트를 배포했다. 그런데 이 취약점을 막기 위해 새로 도입한 ‘심층 방어(defense-in-depth) 업데이트’가 특정 상황에서 파일을 열 때 디펜더가 8바이트 분량의 데이터를 유출시키는 부작용을 낳은 것으로 나타났다. 마이크로소프트는 더해커뉴스에 새로운 신고 내용을 조사하고 있다고 답했다. 다만 이번 레거시하이브 관련 문의에는 별도 답변을 내놓지 않은 상태다.

반복되는 제로데이, AI 탐지 확대의 그늘

마이크로소프트는 앞서 패치 규모가 늘어난 배경으로 자사 AI 기반 취약점 탐지 도구 확대를 꼽았다. ZD넷에 따르면 마이크로소프트는 내부적으로 ‘MDASH’라는 다중 모델 에이전트 스캐닝 하니스(multi-model agentic scanning harness)를 활용해 실제 윈도우 취약점을 식별하고 오탐을 줄이는 동시에 엔지니어에게 더 빠르게 결과를 전달하고 있다. 패치관리업체 액션1(Action1)은 “마이크로소프트는 AI를 활용한 취약점 발굴과 패치 개발 가속화를 확대하면서도, 최종 검증과 배포 결정은 계속 인간 엔지니어에게 맡기고 있다”며 “조직들은 보안 업데이트가 더 빈번해질 것으로 예상해야 한다”고 전했다.

하지만 이번 사례처럼 대규모 패치가 배포된 바로 그날 새로운 제로데이가 공개되는 상황은 AI 탐지 확대만으로는 해결되지 않는 문제를 보여준다. 이미 알려졌지만 아직 패치되지 않은 취약점, 그리고 연구자와 벤더 간 신뢰 관계가 여전히 보안 대응의 변수로 남아 있다는 의미다. 앞서 함께 패치된 셰어포인트 서버(SharePoint Server) 및 액티브 디렉터리 페더레이션 서비스(AD FS) 관련 취약점이 이미 실제 공격에 악용돼 미국 사이버보안·인프라보안국(CISA)의 알려진 악용 취약점(KEV) 목록에 오른 전례를 고려하면, 이번에 공개된 새 익스플로잇 역시 실제 공격으로 이어질지 예의주시할 필요가 있다.