2026년 7월 15일, 마이크로소프트가 7월 정기 보안 패치를 배포한 지 몇 시간 만에 한 연구자가 새 윈도우 제로데이를 공개했다. 별칭 "Nightmare Eclipse"를 쓰는 이 연구자는 사용자 프로필 서비스(ProfSvc)의 결함을 이용해, 낮은 권한 계정이 다른 사용자의 레지스트리 하이브에 접근하게 만드는 기법을 "LegacyHive"라는 이름으로 인터넷에 공개했다. CVE 번호도 공식 패치도 없는 채였다.
배경: 마이크로소프트와 날 선 공방을 벌여온 연구자
Nightmare Eclipse는 이번이 처음이 아니다. The Register와 SecurityWeek에 따르면 이 연구자는 최근 몇 달 동안 최소 6건의 윈도우·Defender·BitLocker 제로데이를 잇따라 공개해왔다. 그중 RoguePlanet은 마이크로소프트가 조용히 완화 조치만 적용한 채 남아 있다.
마이크로소프트와의 관계는 우호적이지 않다. The Register는 마이크로소프트 측이 법적 대응까지 시사했다고 보도했다. 연구자의 정확한 신원은 두 매체 모두 확인하지 못했다.
이번 공개 시점도 우연이 아니라는 해석이 나온다. 매달 패치 화요일 직후 공개하는 패턴이 반복되고 있어서다. 위협 대응업체 Huntress의 Dray Agha는 "이런 타이밍은 마이크로소프트가 패치를 개발하기도 전에 노출 창을 최대로 늘린다"고 지적했다.
무엇이 공개됐고, 무엇이 남았나
LegacyHive가 겨냥하는 지점은 로그온·로그오프 시 사용자별 레지스트리 하이브를 불러오는 ProfSvc의 경로 해석 로직이다. 정상적으로는 각 사용자의 하이브만 자신의 세션에 로드돼야 한다. 이 로직의 결함으로 다른 사용자의 하이브가 공격자 세션에 잘못 마운트될 수 있다.
정확한 악용 경로를 두고는 보도마다 설명이 갈린다. 일부 매체는 경로 리다이렉션과 파일 잠금 타이밍을 조합한 기법으로 설명했고, 다른 매체는 임의 하이브 마운트에 가깝다고 서술했다. 공식 기술 문서가 없는 상태라 세부 메커니즘은 아직 하나로 확정되지 않았다.
전제 조건은 뚜렷하다. 공격자는 이미 시스템에 로그인할 수 있는 저권한 계정을 갖고 있어야 한다. 외부에서 처음 침투하는 기법이 아니라, 이미 발판을 확보한 이후 단계에서 쓰이는 도구에 가깝다.
공개된 PoC 자체도 일부러 무디게 만들어졌다. 연구자가 보유한 원본 버전은 자격증명 없이도 임의 하이브를 로드할 수 있었다고 한다. 반면 공개판은 보조 표준 사용자 계정의 비밀번호까지 입력해야 작동하도록 제한을 걸었다.
아직 확인된 피해는 없다, 그러나
이 글을 쓰는 시점까지 LegacyHive가 실제 공격에 쓰였다는 보고는 없다. 마이크로소프트도 "취약점 주장의 유효성과 적용 가능성을 조사 중"이라는 입장만 냈다. 공식 권고문이나 임시 완화 가이드는 아직 없다.
문제는 노출 범위다. The Hacker News에 따르면 이번 결함은 2026년 7월 패치를 적용한 최신 시스템을 포함해, 지원 중인 모든 데스크톱·서버 버전에서 재현된다. CVE 번호가 없어 취약점 스캐너나 패치 관리 도구가 이를 자동으로 잡아내기도 어렵다.
전문가 평가는 엇갈린다. 모의해킹 업체 Pentest-Tools.com의 Matei Badanoiu는 "이미 발판을 확보한 공격자에게는 진짜로 유용한 도구"라면서도, 이것만으로 시스템 전체가 장악되는 것은 아니라고 선을 그었다. 반면 Huntress의 Dray Agha는 공개된 PoC의 제약을 역공학으로 우회한 완전판이 짧은 시간 안에 등장할 수 있다고 경고했다.
탐지 관점
공식 패치가 없는 지금, 방어자가 기댈 곳은 하이브 파일 자체의 이상 행위 감시다. 사용자 하이브(NTUSER.DAT·UsrClass.dat)에 대한 비정상적인 쓰기·복사·대체 흔적은 남을 수밖에 없다. 표준 프로세스가 자신이 아닌 다른 사용자의 하이브를 다루는 행위, 짧은 시간 안에 하이브가 교체됐다가 원상 복구되는 패턴도 포착 대상이다.
로그온(4624)·명시적 자격증명 사용(4648)·프로세스 생성(4688)·객체 접근(4663)·레지스트리 값 수정(4657) 이벤트를 시점 기준으로 상관 분석하면 이런 흔적을 걸러낼 수 있다. 다만 오프라인 상태에서 이뤄지는 레지스트리 편집까지는 실시간 감사로 잡아내기 어렵다는 한계가 있다.
왜 이 공개가 중요한가
LegacyHive 자체의 기술적 파괴력보다 눈여겨봐야 할 것은 반복되는 패턴이다. CVE도 패치도 완화 가이드도 없는 상태로 매달 제로데이가 공개되는 흐름이 이어지면, 방어자는 벤더의 공식 대응을 기다릴 여유 없이 스스로 탐지 체계를 세워야 한다.
한국 기업 상당수가 액티브 디렉터리 기반 윈도우 환경에 의존한다는 점에서 이 흐름은 남의 일이 아니다. 이런 로컬 권한상승 결함은 원격에서 처음 침투하는 단계보다, 이미 내부에 들어온 공격자가 조용히 발판을 넓히는 단계에서 더 자주 쓰인다. 패치 여부와 무관하게 내부 이상행위 탐지 체계를 갖춰야 하는 이유다.