Microsoft Defender에서 발견된 CVE-2026-41091(CVSS 7.8, LPE)과 CVE-2026-45498(DoS)이 실제 공격에 악용됩니다. CISA KEV 등재 배경과 link following 공격 메커니즘을 분석합니다.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 5월 20일, 미국 사이버보안 인프라보안국(CISA)은 두 건의 CVE를 알려진 악용 취약점(KEV) 카탈로그에 즉시 등재했다. 대상은 랜섬웨어나 원격 서비스가 아니었다. Windows에 기본 탑재된 보안 제품, Microsoft Defender 자체였다. 방어 도구가 침투 경로로 바뀌는 데 공격자는 단 한 가지 조건만 필요했다. 표준 사용자 계정 하나.
| 항목 | CVE-2026-41091 | CVE-2026-45498 |
|---|---|---|
| 유형 | 권한 상승 (LPE) | 서비스 거부 (DoS) |
| CVSS 점수 | 7.8 (High) | 4.0 (Medium) |
| 영향 구성 요소 | Microsoft Malware Protection Engine | Defender Antimalware Platform |
| 취약 버전 | 1.1.26030.3008 이하 | 4.18.26030.3011 이하 |
| 수정 버전 | 1.1.26040.8 이상 | 4.18.26040.7 이상 |
| 실제 악용 | 확인됨 | 확인됨 |
Microsoft Defender는 Windows 10·11 기본 설치에 포함된다. 사용자가 별도 보안 제품을 설치하지 않는 한 이 엔진이 파일을 스캔하고, 위협을 격리하며, 악성 코드를 삭제한다. 이 작업은 SYSTEM 계정 권한으로 실행된다. 최고 권한 없이는 보호된 시스템 파일에 접근할 수 없기 때문이다.
바로 이 점이 문제의 핵심이다. SYSTEM 권한으로 파일을 처리하는 엔진이 링크 따라가기(link following) 조작에 취약하다면, 낮은 권한의 공격자가 엔진의 손을 빌려 보호된 시스템 파일을 조작하게 된다.
의 핵심 결함은 CWE-59(파일 접근 전 부적절한 링크 해석)다. Malware Protection Engine이 파일을 처리할 때 심볼릭 링크나 디렉터리 접합(junction)을 충분히 검증하지 않는다.
공격은 세 단계로 전개된다. 먼저 공격자가 낮은 권한으로 탐지 대상이 될 파일을 특정 경로에 배치한다. Defender가 이를 위협으로 인식하고 삭제를 결정하는 순간, 공격자는 그 경로를 C:\Windows\System32 같은 보호된 위치를 가리키는 심볼릭 링크로 교체한다. Defender는 이미 처리를 결정했기 때문에 변경된 경로를 재검증하지 않고 SYSTEM 권한으로 새 경로의 파일을 삭제한다.
이 공격이 성립하는 이유는 탐지(check)와 삭제(use) 사이의 미세한 시간 창, 즉 TOCTOU(Time-of-Check-Time-of-Use) 경쟁 조건이다. 보호된 시스템 파일이 지워진 자리에 공격자가 원하는 바이너리를 넣으면, 다음 실행 시 SYSTEM 권한으로 그 코드가 동작한다. 권한 상승이 완성된다.
이 패턴은 Defender만의 문제가 아니다. 2020년 보안 연구소 RACK911 Labs가 발표한 연구에서 Norton, McAfee, Kaspersky, Avast를 포함한 28개 안티바이러스 제품이 동일한 심링크 경쟁 조건에 취약하다고 확인됐다. 은 그 연구가 예고한 취약점의 2026년판이다.
는 Defender Antimalware Platform에 대한 서비스 거부 공격을 가능하게 한다. CVSS 점수는 4.0으로 낮지만, 실제 공격 맥락에서 이 취약점의 역할은 단독보다 조합에 있다.
Defender가 응답 불능 상태가 되면 새로 실행되는 파일에 대한 실시간 검사가 멈춘다. 이 상태를 먼저 만든 뒤 악성 페이로드를 투하하거나, 로 SYSTEM 권한을 확보하는 방식으로 두 취약점을 연계할 수 있다. Huntress의 인시던트 대응팀이 관측한 침해 사례에서 두 CVE가 실제로 함께 활용된 정황이 확인됐다. System Center Endpoint Protection과 Security Essentials도 동일한 영향을 받는다.
사이버 보안 업체 Huntress의 인시던트 대응팀은 두 CVE가 실제 침해 사고에서 활용되는 것을 확인했다. 세 개의 익스플로잇 변종이 현장에서 관측됐다.
CISA KEV 등재 시점이 Microsoft 패치 공개보다 하루 앞선다는 점은 의미심장하다. Huntress가 실제 침해를 확인한 시점과 맞물려, CISA가 패치 완료를 기다리지 않고 선제 등재했다는 뜻이다. 연방 기관 네트워크에서 이미 이 취약점이 활용되고 있었음을 시사한다.
이 취약점 쌍은 보안 소프트웨어의 구조적 딜레마를 보여준다. 효과적으로 작동하려면 Defender는 반드시 높은 권한으로 파일 시스템에 접근해야 한다. 그 권한이 클수록, 해당 엔진의 버그가 악용될 때 피해 범위도 커진다.
CWE-59 계열 취약점이 안티바이러스 엔진에서 반복적으로 발견되는 이유가 여기 있다. 검사(check)와 실행(use) 사이의 시간 창을 완전히 없애기는 구조적으로 어렵다. 스캔은 빨리, 처리 결정은 신중하게 해야 하는 두 요구가 충돌한다.
에 대해 5명의 연구자가 발견 공로를 인정받았다는 사실은 이 취약점이 다수가 독립적으로 도달할 수 있는 문제였음을 뜻한다. PoC가 공개된 뒤 불과 한 달 사이에 세 개의 실제 익스플로잇 변종이 등장한 속도가 이를 뒷받침한다.
Windows에서 Defender 엔진은 자동으로 업데이트된다. 대부분의 환경에서 별도 작업 없이 수정 버전으로 전환된다. 확인이 필요하다면 Windows 보안 앱에서 보안 인텔리전스 버전을 조회하면 된다. 다만 이번 사건이 남기는 교훈은 패치 속도보다 더 근본적이다. 방어 도구에 부여된 최고 권한은 그 도구가 공격받을 때 가장 위험한 진입점이 된다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.