Nightmare Eclipse가 공개한 Defender 제로데이 CVE-2026-50656(CVSS 7.8)의 TOCTOU 메커니즘, MsMpEng.exe 탐지 전략, 국내 영향 분석. 패치 미완성 2026년 6월 기준.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 6월 10일, 보안 연구자 Nightmare Eclipse는 Microsoft Defender에서 특권 상승 제로데이 취약점을 공개했다. 코드명 RoguePlanet으로 명명된 이 결함은 Windows 기본 보안 소프트웨어의 핵심 엔진인 Microsoft Malware Protection Engine(MpEngine)에 존재한다. CVSS 7.8(HIGH), 로컬 공격 벡터, 낮은 권한으로 SYSTEM 권한을 탈취할 수 있다. 2026년 6월 17일 기준 마이크로소프트는 패치를 개발 중이며, 야생 악용은 아직 공식 확인되지 않았다. 다만 이 공백이 얼마나 오래 유지될지는 알 수 없다.
영향 요약
| 항목 | 내용 |
|---|---|
| CVE ID | |
| CVSS | 7.8 HIGH (AV:L/AC:L/PR:L/UI:N) |
| 영향 컴포넌트 | Microsoft Malware Protection Engine (mpengine.dll / MsMpEng.exe) |
| 패치 현황 | 미완성 (2026년 6월 17일 기준) |
| 야생 악용 | 미공식 확인 |
MsMpEng.exe(Microsoft Malware Protection Service)는 Windows 기기에서 NT AUTHORITY\SYSTEM 컨텍스트로 실행된다. 파일 접근, 프로세스 모니터링, 레지스트리 감시를 포함한 모든 작업이 최상위 권한으로 이루어진다. 샌드박스도 없다.
mpengine.dll이 처리하는 공격 표면은 방대하다. 수십 개의 아카이브 포맷, 실행 파일 패커, 암호화 도구, 복수 아키텍처용 전체 에뮬레이터가 포함된다. 이 폭넓은 처리 범위는 MpEngine을 연구자들의 집중 타깃으로 만들어왔다.
대표 사례가 2017년 Google Project Zero의 Tavis Ormandy와 Natalie Silvanovich가 발견한 이다. 당시 Ormandy는 "최근 기억 중 최악의 Windows 원격 코드 실행"이라고 평가했고, 마이크로소프트는 공개 3일 만에 긴급 패치를 배포했다. 2021년에는 가 발견됐다. 2009년부터 존재한 BTR.sys 드라이버 결함으로, 10억 대 이상의 기기에 영향을 미쳤다.
RoguePlanet은 이 계보의 최신 사례다. Nightmare Eclipse는 2026년 4월부터 BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma 등 마이크로소프트 제로데이를 연속 공개해온 정체불명의 연구자(전 마이크로소프트 직원으로 추정)로, RoguePlanet은 이 시리즈의 일환이다. 보안 소프트웨어가 제공하는 넓은 파일 접근 권한이 역설적으로 공격 경로가 된다는 패턴이 이번에도 반복된다.
의 근본 결함은 CWE-59(링크 추적 전 부적절한 파일 접근, Improper Link Resolution Before File Access)다. BleepingComputer 분석에 따르면, MsMpEng.exe의 파일 처리 경로에서 시간 기반 경쟁 조건(TOCTOU: Time-of-Check to Time-of-Use)이 발생한다.
TOCTOU의 핵심은 설계 결함에 있다. Defender가 파일 속성을 Check(검사)한 뒤 실제로 Use(사용·처리)하는 사이, 그 결과를 재검증하지 않는다. 이 짧은 간격에 공격자가 경로를 심볼릭 링크 등으로 교체하면, Defender는 교체된 경로를 원래 검사한 대상으로 착각한 채 SYSTEM 권한으로 작업을 수행한다.
취약점 흐름을 단순화하면 다음과 같다.
CVSS 벡터(AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)는 이 구조를 그대로 반영한다. 로컬 접근과 낮은 권한(일반 사용자 셸 수준)만 있으면, 사용자 상호작용 없이 기밀성·무결성·가용성 모두 완전히 침해 가능하다. TOCTOU는 타이밍 의존 공격이므로 시스템 부하와 스케줄러 상태에 따라 재현 안정성이 달라진다는 보고가 있으나, 이는 공격 도구 구현 수준에 따라 조율 가능한 변수다.
초기 침투에 이미 성공한 공격자(예컨대 피싱으로 일반 사용자 셸을 확보한 단계)에게 SYSTEM 권한 탈취는 포스트익스플로잇의 핵심이다. 도메인 어드민 탈취, EDR 비활성화, 크리덴셜 덤프 등이 연계될 수 있다.
2026년 6월 17일 기준 마이크로소프트는 야생 악용을 공식 확인하지 않았다. 단, 이는 '악용이 없다'는 뜻이 아니라 '마이크로소프트가 아직 관측하지 못했다'는 의미다. Nightmare Eclipse가 PoC를 공개한 만큼, 악용 시도 증가 가능성을 배제하기 어렵다(구체적 구동 방법은 본 글에서 다루지 않는다).
마이크로소프트는 "고품질 보안 업데이트를 제공하기 위해 작업 중"이라는 공식 입장만 밝혔다. 공개 PoC가 이미 유포된 상태이므로, 업계에서는 2026년 7월 Patch Tuesday 또는 긴급 out-of-band 업데이트를 예상한다. 비교 대상인 에서는 공개 72시간 내 긴급 패치가 배포됐다. RoguePlanet은 야생 악용 미공식 확인 상태에서 정기 사이클을 선택할 가능성도 있다.
악용은 특성상 뚜렷한 흔적을 남긴다.
탐지 전제 조건: 아래 이벤트 탐지가 작동하려면 그룹 정책에서 프로세스 생성 감사 및 명령줄 로깅이 활성화되어 있어야 한다. 이 설정이 없는 환경에서는 이벤트 자체가 기록되지 않는다.
프로세스 생성 이상: 공격 성공 시 MsMpEng.exe가 cmd.exe나 powershell.exe를 SYSTEM 컨텍스트로 낳는다. 이는 정상 Defender 작동에서 나타나지 않는 부모-자식 관계다.
ParentProcessName이 MsMpEng.exe이고 자식이 cmd.exe 또는 powershell.exe인 경우가 핵심 탐지 신호탐지 로직 패턴 (Sigma 구조 기반, 커스텀):
detection:
selection:
EventID: 4688
ParentProcessName|endswith: '\MsMpEng.exe'
NewProcessName|endswith:
- '\cmd.exe'
- '\powershell.exe'
- '\wscript.exe'
- '\cscript.exe'
condition: selection
level: critical
경로 이상: 비표준 경로(Downloads, Temp, 사용자 프로필)에서 MsMpEng.exe 또는 mpclient.dll이 로드되는 것도 이상 신호다. 정상 경로는 C:\Program Files\Windows Defender\ 또는 C:\ProgramData\Microsoft\Windows Defender\다.
MITRE ATT&CK: T1068(Exploitation for Privilege Escalation)이 직접 대응한다. SYSTEM 권한 획득 이후에는 T1055(프로세스 인젝션), T1562(방어 기능 손상) 등이 연계될 수 있다.
Microsoft Defender는 전 세계 엔드포인트 보안 시장에서 점유율 1위를 기록하고 있으며(Microsoft Security 발표 기준), Windows에 기본 내장된 백신으로 다수의 기기에서 사실상의 단일 방어선 역할을 한다. Windows 데스크톱 보급률이 높은 국내 기업 환경도 이 영향권에서 자유롭지 않다.
특히 별도 EDR을 도입하지 않은 중소기업에서는 Defender가 유일한 엔드포인트 방어선인 경우가 많다. 초기 침투 이후 SYSTEM 권한 탈취 단계에서 이 활용될 가능성을 고려한 탐지 모니터링이 필요하다.
패치 배포 시 Microsoft Update를 통해 mpengine.dll이 자동 업데이트된다. 기업 환경에서 WSUS나 그룹 정책으로 Windows Update를 차단한 경우 이 자동 업데이트가 적용되지 않을 수 있어 수동 확인이 요구된다.
RoguePlanet은 '보안 소프트웨어 자체가 공격 경로가 된다'는 역설을 다시 한번 확인시켜 준다. 국내 환경에서도 Defender를 신뢰하는 동시에 Defender의 프로세스 생성 이상을 모니터링하는 이중 관점이 필요하다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.