2026년 5월 미패치 BitLocker 우회 제로데이 YellowKey와 권한 상승 GreenPlasma PoC가 공개됐다. TPM 단독 구성 환경에서 USB 접근만으로 암호화 드라이브를 열 수 있다. 영향 범위·기술 원리·대응 방안 분석.
세 기법의 공통점이 있다. 물리적 접근이 필요하고, TPM + PIN이 없는 환경을 전제로 한다. Microsoft가 TPM 2.0에서 파라미터 암호화를 지원하면서도 기본으로 활성화하지 않은 이유는 여전히 불명확하다.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
BitLocker가 켜져 있으면 데이터는 안전하다 — 이 전제가 2026년 5월에 다시 흔들렸다. 보안 연구자 Chaotic Eclipse(GitHub: Nightmare-Eclipse)가 5월 12일 두 개의 PoC 코드를 공개했다. YellowKey는 BitLocker 암호화를 우회하고, GreenPlasma는 SYSTEM 권한까지 탈취한다. 두 취약점 모두 미패치 상태이며 CVE 번호조차 없다.
조건은 하나다. TPM 단독 구성 — 부팅 PIN 없이 BitLocker를 쓰는 경우다. 이것이 Microsoft 기본 설정이고, 많은 기업 환경이 그대로 두는 구성이다.
| 항목 | YellowKey | GreenPlasma |
|---|---|---|
| 유형 | BitLocker 우회 | 권한 상승 |
| 대상 컴포넌트 | WinRE + FsTx 파일 | ctfmon.exe (SYSTEM) |
| 영향 OS | Windows 11, Server 2022/2025 | Windows 11, Server 2022/2025 |
| CVE | 미할당 | 미할당 |
| 패치 | 없음 (2026-05-13 기준) | 없음 (2026-05-13 기준) |
| 물리 접근 | 필요 | 단독 사용 시 불필요 |
YellowKey의 핵심은 Windows 복구 환경(WinRE)이 합법적 부팅 경로로 인정된다는 점을 이용한다.
공격 단계:
X:\Windows\System32\winpeshl.ini 파일 삭제TPM이 자동으로 키를 해제하는 이유가 있다. TPM 전용 구성에서 TPM은 부팅 측정값(PCR 값)이 일치하면 자동으로 볼륨 마스터 키를 풀어준다. WinRE는 측정값이 일치하는 합법적 경로로 간주되기 때문에 TPM이 개입하지 않는다.
Windows 11, Windows Server 2022, Windows Server 2025에서 재현됐다. Windows 10은 해당하지 않는다.
Chaotic Eclipse는 GreenPlasma의 최종 셸 컴포넌트를 의도적으로 비공개로 유지했다. PoC는 "challenge" 형태로 공개됐다. 이 글에서 설명할 수 있는 범위는 연구자가 공개한 메커니즘 핵심까지다.
공식 명칭은 "Windows CTFMON Arbitrary Section Creation Elevation of Privileges Vulnerability"다. ctfmon.exe는 모든 대화형 세션에서 SYSTEM 권한으로 실행된다. GreenPlasma는 레지스트리 조작과 Windows 권한 규칙 변형을 통해 CTFMON이 SYSTEM 쓰기 가능 디렉터리에 임의 메모리 섹션을 생성하도록 유도한다. 악성 메모리 섹션이 SYSTEM 프로세스에 주입되면 코드 실행 권한이 넘어온다.
그럼에도 공격 메커니즘의 핵심이 이미 공개된 만큼 위협 행위자가 복원할 가능성은 열려 있다.
YellowKey가 처음이 아니다. BitLocker를 겨냥한 공개 연구가 수년에 걸쳐 축적돼 있다.
이 세 기법 중 현재 패치가 제공된 것은 BitUnlocker 하나뿐이다. YellowKey와 GreenPlasma는 5월 Patch Tuesday 목록에도 없다.
Microsoft는 2026년 5월 Patch Tuesday에서 138건의 취약점을 패치했다. 30건이 Critical 등급이며, DNS 서비스의 CVSS 9.8 RCE()와 Netlogon 서비스의 CVSS 9.8 RCE() 두 건이 포함됐다. 두 CVE 모두 공개 시점에 적극 악용 사례가 보고되지 않았다.
Chaotic Eclipse는 다음 Patch Tuesday에 추가 제로데이 공개를 예고했다. 이전에도 BlueHammer() 등 여러 제로데이를 비슷한 방식으로 공개했다.
2026년 5월 KB5087544 업데이트가 BitLocker 사전 프로비저닝 검사를 강화했지만, YellowKey가 사용하는 WinRE 경로를 직접 차단하지는 않는다.
BitLocker의 주요 목적은 노트북 분실·도난 시 데이터 보호다. YellowKey가 보여주는 위협은 거기서 한 발 더 들어간다. 분실이 아니라 물리적으로 접근할 기회가 있는 공격자가 대상이다.
공항 라운지, 잠깐 자리를 비운 사무실 책상, 공유 업무 공간 — USB를 꽂고 재부팅할 수 있는 환경이라면 현실적 위협이다. BitUnlocker는 5분 안에 해독이 가능했다. YellowKey의 경우 공개된 PoC에서 공격 소요 시간은 명시되지 않았지만, 재부팅 한 번이면 드라이브가 열린다는 구조 자체가 물리 접근 시간을 짧게 만든다. 내부자 위협, 악의적인 IT 협력업체, 또는 물리 침투가 가능한 표적 공격 시나리오에서 이 기법이 쓰일 수 있다.
현재 구성이 TPM 단독인지는 아래 명령으로 확인할 수 있다:
manage-bde -protectors -get C:
출력에 "TPMAndPIN" 또는 "Password"가 없으면 TPM 단독 구성이다.
TPM + PIN 구성은 부팅 전에 PIN을 요구한다. WinRE를 경유하더라도 TPM이 키를 자동으로 풀어주지 않으므로 YellowKey가 작동하지 않는다. BitUnlocker()와 TPM 버스 스니핑에도 동일하게 유효한 대응이다.
BIOS/UEFI 수준의 USB 부팅 제한과 부팅 비밀번호는 공격 진입 조건 자체를 좁힌다.
BitLocker가 켜져 있다는 사실이 TPM 단독 구성에서 의미하는 것은 결국 하나다. 암호화는 걸려 있지만, 합법적 부팅 경로를 아는 사람 앞에서는 잠겨 있지 않다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.