CVSS 9.8 Windows Netlogon RCE 취약점 CVE-2026-41089를 분석한다. 벨기에 CCB는 야생 악용을 경고했으나 마이크로소프트는 증거가 없다는 입장이다. 공격 메커니즘과 LSASS 크래시 기반 탐지 관점, Zerologon과의 비교까지 정리한다.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 5월 29일, 벨기에 사이버보안센터(CCB)가 5월 Patch Tuesday 권고를 갱신해 긴급 경고를 추가했다. 마이크로소프트가 5월 12일 패치한 Windows Netlogon 취약점 가 실제 공격에 악용되고 있다는 내용이었다. 패치 공개로부터 17일이 지난 시점이었다. 다만 같은 시기 마이크로소프트는 보안 매체에 "악용을 뒷받침할 증거를 찾지 못했다"고 답했다. 악용 여부를 두고 정부 CERT와 벤더의 판단이 엇갈린 채, 도메인 컨트롤러를 단 한 개의 패킷으로 무너뜨릴 수 있다는 취약점만은 분명히 존재했다.
| 항목 | 내용 |
|---|---|
| CVE | |
| CVSS 3.1 | 9.8 (Critical), CWE-121 |
| 공격 벡터 | 네트워크, 사전 인증 없음, 0-click |
| 영향 범위 | Windows Server 2012~2025 (도메인 컨트롤러) |
| 패치 | 2026년 5월 12일 (Patch Tuesday) |
Windows Netlogon은 Active Directory 환경의 핵심 인증 서비스다. 도메인에 가입한 장치들이 도메인 컨트롤러(DC)와 통신할 때 쓰는 프로토콜로, 로그인 인증과 정책 배포, 그룹 멤버십 확인이 모두 이 서비스를 거친다.
도메인 컨트롤러가 침해되면 파급은 단일 서버 침해와 차원이 다르다. 자격증명 데이터베이스 NTDS.dit 전체가 노출되고, 도메인 내 임의 계정을 생성하거나 그룹 정책을 변조해 보안 통제를 무력화하는 경로가 열린다. 도메인 전체에 랜섬웨어를 배포할 조건이 한 번에 갖춰지는 구조다. NVD가 부여한 CVSS 9.8은 인증 없이 네트워크만으로 기밀과 무결성, 가용성을 모두 완전 침해할 수 있다는 평가다.
공식 출처(NVD, MSRC)가 단언하는 사실은 분명하다. 는 Windows Netlogon의 스택 기반 버퍼 오버플로우(CWE-121)이며, 인증 없는 원격 공격자가 네트워크 너머로 코드를 실행할 수 있다. 영향 범위는 Windows Server 2012부터 2025까지 도메인 컨트롤러 역할을 하는 모든 지원 버전이다. 마이크로소프트는 5월 12일 패치를 배포했다.
주목할 점은 공식 설명이 여기서 멈춘다는 것이다. NVD의 기술 서술은 한 문장에 그치고, 결함이 어느 함수의 어떤 처리에서 비롯됐는지는 공개하지 않았다. 아래에서 다루는 세부 메커니즘은 공식 자료가 아니라 한 보안 리서치 업체의 패치 역분석에서 나온 것이며, 그 점을 분명히 구분해 읽어야 한다.
이하 기술 흐름은 AI 보안 리서치 업체 Aretiq가 패치를 역분석해 공개한 추정 메커니즘이다. 마이크로소프트가 확인한 내용이 아니며, 현재 이 분석을 독립적으로 검증한 다른 1차 출처는 확인되지 않는다.
Aretiq의 분석에 따르면 결함의 뿌리는 문자열 길이 계산 오류다. 내부 처리 함수가 최대 길이를 바이트 단위로 받아야 하는데 이를 와이드 문자(WCHAR, 2바이트) 개수로 해석했다. 그 결과 허용 길이가 실제의 두 배로 계산되고, 약 528바이트로 잡힌 스택 버퍼를 넘어서는 문자열 복사가 허용된다.
공격 경로는 CLDAP(Connectionless LDAP) 요청으로 시작된다고 분석은 설명한다. 비정상적으로 긴 식별자 값을 담은 요청 한 개가 UDP 389 포트로 도메인 컨트롤러에 도착하면, 처리 과정에서 스택 오버플로우가 발생한다. 인증을 담당하는 LSASS 프로세스는 SYSTEM 권한으로 실행된다. 따라서 그 흐름이 탈취되면 곧바로 도메인 컨트롤러 전체 권한으로 이어진다는 것이 이 분석의 설명이다.
사전 인증이 없고 사용자 상호작용도 없으며 단일 UDP 패킷으로 완결된다는 것이 이 취약점의 위험을 키운다. 공개 익스플로잇이 돈다는 언급이 일부 보도에 등장하나, 이 역시 위 역분석을 출처로 거슬러 올라가며 독립적으로 입증된 별도 PoC는 확인되지 않는다.
마이크로소프트가 5월 12일 이 취약점을 공개했을 때 초기 평가는 '악용 가능성 낮음(Exploitation Less Likely)'이었다. 스택 오버플로우를 안정적인 원격 코드 실행으로 무기화하려면 ASLR 같은 메모리 보호를 우회해야 하기 때문이다.
그러나 17일 뒤 CCB가 야생 악용을 경고하며 이 평가는 도전받았다. 여기서 정확히 구분할 것은, 악용을 주장한 쪽은 벨기에 정부 CERT인 CCB이고 마이크로소프트는 이를 뒷받침할 증거가 없다고 밝혔다는 점이다. 악용의 실재 여부는 이 글을 쓰는 시점까지 양측 입장이 엇갈린다. 다만 평가 등급이 며칠 사이 뒤집힐 수 있다는 사실 자체가, '악용 가능성 낮음'이라는 라벨을 패치 지연의 근거로 삼는 일의 위험을 보여준다.
공식 MITRE 매핑은 공개되지 않았다. 공개 분석을 기준으로 보면 이 공격은 무인증 원격 코드 실행이라는 성격상 T1190(공개 서비스 익스플로잇)에 가장 가깝고, 도메인 내 원격 서비스 악용 관점에서 T1210이 보조적으로 거론된다.
탐지의 출발점은 공격이 성공하든 실패하든 흔적을 남긴다는 데 있다. 오버플로우 시도는 스택 보호(GS 쿠키) 검증에 먼저 걸린다. 이때 LSASS 프로세스가 예외 코드 0xc0000409(STATUS_STACK_BUFFER_OVERRUN)로 강제 종료된다. LSASS는 보호 프로세스라 강제 종료되면 시스템이 자동 재부팅된다. Windows 애플리케이션 로그에는 결함 모듈이 netlogon.DLL로, 결함 애플리케이션이 lsass.exe로 기록된다. 즉 공격자는 RCE 성공 여부와 무관하게 도메인 컨트롤러의 LSASS 크래시와 재부팅이라는 잡음을 남길 수밖에 없다.
네트워크 관점의 흔적은 비정상적으로 긴 식별자 필드를 담은 CLDAP(UDP 389) 요청이다. 정상적인 DC 조회는 식별자 값이 짧거나 아예 생략되므로, 과도하게 긴 값을 실은 CLDAP 트래픽은 그 자체로 이상 신호가 된다. 다만 Netlogon은 LDAP 외에 RPC와 메일슬롯 등 여러 채널로 동작하므로, 단일 포트나 단일 시그니처에만 의존한 탐지는 불완전하다.
완화의 1차 처방은 패치다. CCB는 권고에서 테스트 후 최우선으로 업데이트를 설치하되 패치가 기존 침해를 소급해 제거하지는 않는다는 점을 함께 명시했다. 사전 인증이 필요 없는 도메인 컨트롤러 취약점인 만큼, 일부 DC만 패치된 상태는 방어선으로 보기 어렵다는 지적이 운영 전문가들 사이에서 나온다.
가 주목받는 또 다른 이유는 취약점의 위치다. 2020년 Zerologon() 역시 Windows Netlogon 서비스를 통해 도메인 컨트롤러를 무너뜨렸고, 패치 후 약 2주 만에 실제 공격이 확인됐다.
두 취약점의 출발점은 다르다. Zerologon은 Netlogon 인증 프로토콜의 AES-CFB8 구현 오류를 이용한 권한 상승이었고, 는 요청 처리 단계의 메모리 손상으로 코드 실행을 노린다. 그러나 귀결점은 같다. Netlogon을 통해 도메인 컨트롤러를 장악하고 도메인 전체의 신뢰를 붕괴시킨다는 점이다. 같은 서비스에서 6년 간격으로 도메인 전면 장악급 취약점이 나왔다는 사실은, Netlogon이 처리하는 요청 유형과 그 권한 수준이 여전히 고위험 공격 표면으로 남아 있음을 보여준다.
Active Directory 기반 Windows 도메인은 국내 대기업과 공공기관, 금융기관의 표준 인프라로 쓰인다. 도메인 컨트롤러가 인터넷에 직접 노출되지 않았더라도, 초기 침투로 내부망 접근 권한을 확보한 공격자에게 이런 취약점은 도메인 전면 장악으로 가는 지름길이 된다.
악용 여부를 둘러싼 CCB와 마이크로소프트의 이견과 별개로, 분명한 사실은 패치가 5월 12일에 이미 나와 있다는 점이다. Zerologon 때 약 2주, 이번에 17일이라는 시간 간격이 보여주듯, 패치 미적용 기간이 길수록 위험 구간은 그대로 연장된다. 5월 12일 업데이트를 아직 적용하지 않은 도메인 컨트롤러는 그 구간 안에 놓여 있다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.