Outlook 미리보기만으로 원격 코드 실행이 가능한 CVE-2026-20952 분석. UAF 메커니즘, MITRE ATT&CK 매핑, 과거 Office Zero-Click 취약점과의 비교, APT 그룹의 활용 가능성, ASR 규칙을 포함한 방어 대책.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
는 Microsoft Office의 Use-After-Free(CWE-416) 취약점이다. CVSS 8.4. Outlook 미리보기 창(Preview Pane)에서 악성 문서가 표시되는 것만으로 원격 코드 실행이 가능하다. 2026년 1월 Patch Tuesday에서 패치됐다.
김 대리는 평소처럼 Outlook을 열었다.
받은 편지함에 새 메일이 하나 있었다.
보낸 사람:
hr-notice@company.com제목: [필독] 2026년 연봉 조정 안내
첨부파일이 있었다. Excel 파일.
김 대리는 클릭하지 않았다. 그냥 메일 목록에서 봤을 뿐이다.
하지만 그게 끝이었다.
Zero-Click 미리보기 감염
보안팀에서 연락이 왔다.
"김 대리님 PC에서 이상 트래픽이 감지됐습니다."
"저 아무것도 안 열었는데요?"
"메일 미리보기… 하셨죠?"
미리보기.
Outlook 오른쪽에 뜨는 그 창. 파일을 열지 않아도 내용을 보여주는 그 기능.
그게 문제였다.
Microsoft가 2026년 1월 Patch Tuesday(1월 13일)에 공개한 취약점이다.
| 항목 | 내용 |
|---|---|
| CVE | , |
| 심각도 | CVSS 8.4 (High) |
| 취약점 유형 | Use-After-Free (CWE-416) |
| 공격 조건 | 사용자 상호작용 불필요 (Zero-Click) |
Office의 미리보기 기능이 악성 파일을 자동으로 파싱한다.
Outlook이 메일의 첨부파일을 미리보기로 표시할 때, 내부적으로 OLE/COM 서브시스템을 호출하여 문서를 렌더링한다. 이 과정에서 다음이 일어난다:
이것이 Use-After-Free(UAF)다. 사용자가 파일을 열지 않아도 미리보기 렌더링 과정에서 발생한다.
Office Zero-Click 취약점은 국가 수준 APT 그룹이 가장 선호하는 초기 접근 벡터다. Zero-Click이라는 특성 때문에 타깃이 "조심"해도 막을 수 없기 때문이다.
| APT 그룹 | 과거 사용한 Office 취약점 |
|---|---|
| APT28 (Fancy Bear, 러시아 GRU) | 을 유럽 정부/군사/에너지 기관 공격에 사용 |
| TA413 (중국 연계) | (Follina)을 티베트 디아스포라 공격에 사용 |
| Forest Blizzard (러시아) | (MonikerLink)을 정찰 작전에 활용 |
도 같은 경로로 무기화될 가능성이 높다. 특히 CVSS 8.4의 Zero-Click 특성은 스피어피싱 캠페인에 이상적이다. 타깃에게 메일을 보내는 것만으로 초기 접근이 완성된다.
이런 유형의 취약점은 처음이 아니다.
| CVE | 내용 |
|---|---|
| (Follina) | 2022, CVSS 7.8. MSDT 프로토콜 악용, 탐색기 미리보기에서 트리거 |
| 2023, CVSS 9.8. Outlook 리마인더로 NTLM 해시 탈취, 완전 Zero-Click | |
| (MonikerLink) | 2024, CVSS 9.8. Protected View 우회, 링크 클릭 필요 |
| 2024, CVSS 8.8. 신뢰된 발신자면 Zero-Click | |
| 2026, CVSS 8.4. Preview Pane UAF, Zero-Click |
패턴이 보인다. 2~3년 주기로 새로운 Office Zero-Click 취약점이 등장한다. 하나를 패치하면 다른 경로가 발견된다.
이 취약점이 실제 공격에 사용될 경우의 ATT&CK 매핑이다:
| 기법 | 적용 |
|---|---|
| T1566.001 (Spearphishing Attachment) | 악성 Office 문서를 이메일 첨부로 전달 |
| T1203 (Exploitation for Client Execution) | 미리보기 렌더링 과정에서 UAF 익스플로잇으로 코드 실행 |
| T1059 (Command and Scripting Interpreter) | 코드 실행 후 PowerShell/cmd 등으로 후속 명령 수행 |
| T1078 (Valid Accounts) | 감염된 PC의 자격증명을 이용한 횡적 이동 |
핵심은 T1203이다. 사용자 상호작용 없이 클라이언트 애플리케이션의 취약점을 익스플로잇하는 기법으로, Zero-Click 특성과 정확히 일치한다.
"아직 공개된 PoC가 없으니까 괜찮지 않나요?"
아니다.
Microsoft가 취약점을 공개하면, 공격자들은 패치를 리버스 엔지니어링한다. 패치 전후를 비교해서 취약점 위치를 찾고, 익스플로잇을 개발한다.
"패치가 나오면 공격자에게도 로드맵이 된다" — 보안 업계 격언
과거 Office 취약점의 PoC 개발 속도:
| CVE | PoC 공개까지 |
|---|---|
| 패치 후 수일 내 | |
| Check Point이 수주 내 상세 분석 공개 | |
| (Follina) | 패치 전에 이미 실제 공격에 사용 |
UAF 기반 취약점은 힙 조작의 복잡성 때문에 PoC 개발에 비교적 시간이 걸리지만, 국가 수준 APT 그룹에게는 문제가 되지 않는다.
Windows Update → 2026년 1월 보안 업데이트 설치
| 대상 | 방법 |
|---|---|
| Outlook | 보기 → 읽기 창 → 끄기 |
| 탐색기 | 보기 → 미리 보기 창 해제 |
Microsoft Defender의 ASR 규칙 중 Office 관련 핵심 규칙:
| ASR 규칙 | 효과 |
|---|---|
| Office 앱의 자식 프로세스 생성 차단 | 코드 실행 후 추가 공격 방지 |
| Office 앱의 실행 파일 콘텐츠 생성 차단 | 악성 페이로드 드롭 방지 |
| 이메일 클라이언트의 실행 콘텐츠 차단 | Outlook 기반 공격 차단 |
.rtf, .doc(레거시 형식) 파일 게이트웨이에서 차단거의 모든 Office 버전이 해당된다.
특히 위험한 환경:
김 대리는 잘못한 게 없다.
의심스러운 파일을 열지도 않았다. 링크를 클릭하지도 않았다.
그냥 메일함을 봤을 뿐이다.
하지만 그게 충분했다.
Zero-Click 취약점은 "조심하면 된다"는 말을 무력화시킨다.
결국 패치만이 답이다.
Zero-Click 취약점이 위험한 이유는 사용자의 어떤 행위도 필요하지 않기 때문이다. 이메일이 수신되는 순간, Outlook의 미리보기 패널이 첨부 파일을 렌더링하면서 코드가 실행된다. OLE(Object Linking and Embedding) 객체와 ActiveX 컨트롤이 자동으로 파싱되는 과정에서 메모리 손상(memory corruption) 취약점이 트리거된다.
이 패턴은 NSO Group의 Pegasus 스파이웨어에서도 반복적으로 관찰됐다. iMessage의 이미지 파서, WhatsApp의 VoIP 스택 등 미디어를 자동 처리하는 모든 코드 경로가 Zero-Click 공격 표면이 된다. Microsoft는 이번 패치에서 미리보기 패널의 OLE 객체 자동 로딩을 비활성화하는 것으로 대응했다.
Exchange/Outlook 관리자는 즉시 패치를 적용해야 한다. 패치 전까지의 임시 완화 조치로는 레지스트리를 통해 미리보기 패널의 OLE 렌더링을 비활성화하는 방법이 있다. 이메일 게이트웨이에서 의심스러운 OLE 객체가 포함된 첨부 파일을 차단하는 규칙도 효과적이다.
의 핵심은 Office의 미리보기 렌더러(Preview Handler)에 있다. Outlook에서 첨부 파일을 클릭하지 않고 선택만 해도 미리보기 패널이 렌더링을 시작한다. 이 과정에서 OLE(Object Linking and Embedding) 객체를 파싱하는 코드에서 Type Confusion 취약점이 발생한다.
공격자는 조작된 OLE 객체를 포함한 Office 문서를 이메일에 첨부한다. 수신자가 메일을 열고 첨부 파일 위에 마우스를 올리기만 하면 미리보기가 트리거된다. 취약한 파서가 조작된 객체의 타입을 잘못 해석하면서 공격자의 셸코드가 실행된다.
Zero-Click 취약점이 특히 위험한 이유는 사용자 상호작용이 최소화되기 때문이다. Verizon DBIR 기준 스피어피싱의 성공률이 평균 15-20%인 반면, Zero-Click은 이메일이 도달하는 순간 거의 100%의 감염률을 가진다. 이 때문에 정부 기관과 APT 그룹에게 가장 선호되는 초기 접근 벡터다.
Microsoft의 Protected View(보호된 보기)는 이러한 공격을 차단하도록 설계됐지만, 미리보기 패널은 Protected View와 별도의 코드 경로를 사용한다. 이 사각지대가 의 근본 원인이다.
Zero-Click 취약점이 미리보기 기능에서 반복적으로 발견되는 이유는 구조적이다. 미리보기는 사용자 편의를 위한 기능이지만, 내부적으로는 전체 파일을 파싱하는 것과 동일한 코드 경로를 거친다. 파일을 '열지 않았으므로 안전하다'는 가정이 틀린 것이다.
Apple의 iMessage도 같은 문제를 겪었다. 2021년 NSO Group의 Pegasus 스파이웨어는 iMessage의 이미지 미리보기 파서 취약점을 악용했다. FORCEDENTRY라 명명된 이 익스플로잇은 메시지 수신만으로 iPhone을 완전 장악했다. Apple은 이후 BlastDoor라는 샌드박스를 도입하여 메시지 파싱을 격리 프로세스에서 수행하도록 변경했다.
Microsoft Office의 경우에도 유사한 격리가 필요하지만, 레거시 호환성 문제로 전면 적용이 지연되고 있다. Protected View가 파일 '열기'에 대한 보호를 제공하지만, 미리보기 렌더러는 별도의 보안 경계 없이 동작한다. 이 아키텍처적 불일치가 Zero-Click 공격의 지속적 원인이다.
Microsoft는 이 취약점에 CVSS 9.8 점수를 부여하고 긴급 패치를 배포했다. 그러나 미리보기 기능이 기본 활성화된 Outlook 환경에서는 패치 전까지 관리자가 레지스트리를 통해 미리보기 핸들러를 비활성화하는 임시 조치가 권고됐다. 기업 환경에서는 Attachment Sandboxing 솔루션을 통해 첨부 파일을 가상 환경에서 먼저 렌더링하고 안전한 이미지로 변환하여 전달하는 CDR(Content Disarm and Reconstruction) 기술이 효과적인 대안이다.
Office/Windows 취약점
관련 MITRE ATT&CK 기법
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.