2018년, 네덜란드 암스테르담
보안 연구원 Yorick Koster는 이상한 걸 발견했다.
Word 문서 안에 Internet Explorer를 통째로 넣을 수 있었다.
Shell.Explorer.1이라는 COM 객체.
문서를 열면 내장된 브라우저가 로컬 파일에 접근하고, 원격 서버에 연결했다.
매크로 경고? 없다. "콘텐츠 사용" 버튼? 없다.
그냥 실행된다.
Koster는 이걸 Microsoft에 보고했다.
Microsoft의 답변:
"이 기법은 상당한 사회공학이 필요합니다. 보안 경고에서 '예'를 눌러야 하고, Protected Mode가 아니어야 합니다."
패치 거부.
2026년 1월 27일, 8년 후
Microsoft가 긴급 패치를 배포했다.
MSTIC(Microsoft Threat Intelligence Center)가 실제 공격을 탐지했다.
누군가 8년 전 기법의 보호 장치를 우회하는 방법을 찾아낸 것이다.
뭐가 바뀌었나?
2018년과 2026년의 차이점:
| 구분 | 2018년 | 2026년 |
|---|---|---|
| 공격 성공 조건 | 사용자가 보안 경고 클릭 필요 | 보안 검사 우회됨 |
| Protected View | 차단됨 | 우회 가능 |
| Microsoft 대응 | "사회공학 필요" → 패치 거부 | 긴급 OOB 패치 |
| 실제 공격 | 없음 | 확인됨 |
공격자들은 8년 동안 Microsoft가 "충분하다"고 생각한 보호 장치를 분석했다.
그리고 구멍을 찾았다.
CVE-2026-21509 상세
| 구분 | 내용 |
|---|---|
| CVE ID | CVE-2026-21509 |
| CVSS | 7.8 (High) |
| 유형 | Security Feature Bypass |
| 공격 조건 | 악성 Office 파일 열기 (Preview Pane 제외) |
| CISA KEV | 등재됨 (2/16 패치 기한) |
핵심 COM 객체
이름: Shell.Explorer.1
CLSID: {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}
정체: Microsoft Web Browser Control (내장 IE)
이 객체가 Office 문서 안에 들어가면:
- 로컬 파일 시스템 접근
- 원격 서버 연결
- 스크립트 실행
전부 VBA 매크로 없이.
공격 시나리오
1단계: 피싱 메일
보낸 사람: security-team@company.com (스푸핑)
제목: [긴급] 보안 점검 결과 - 즉시 확인 요망
첨부: security_report_2026.docx
2단계: 문서 열기
피해자가 첨부파일을 연다.
화면에는 정상적인 보안 보고서가 보인다.
하지만 문서 안에는 Shell.Explorer.1 객체가 숨어있다.
3단계: 자동 실행
객체가 로드되면서 내장 브라우저가 활성화된다.
1. 원격 서버 연결 (C2)
2. 2차 페이로드 다운로드
3. 악성코드 실행
"콘텐츠 사용" 버튼을 누르지 않았다. 매크로 경고도 없었다.
문서를 열었을 뿐인데, 시스템이 장악됐다.
왜 매크로 경고가 안 뜨나?
Office의 보안 모델은 VBA 매크로에 집중되어 있다.
매크로가 있으면 → 경고 매크로가 없으면 → 통과
하지만 Shell.Explorer.1은 매크로가 아니다.
COM(Component Object Model) 객체다.
Office는 COM 객체에 대해 별도의 신뢰 결정을 한다. 문제는 이 신뢰 결정 로직에 결함이 있었다는 것.
Microsoft 공식 설명:
"Reliance on untrusted inputs in a security decision"
(신뢰할 수 없는 입력값에 기반한 보안 결정)
공격자가 문서의 특정 값을 조작하면, Office는 위험한 객체를 "안전하다"고 판단한다.
OLE 취약점의 역사
이건 새로운 패턴이 아니다.
| CVE | 설명 |
|---|---|
| CVE-2017-11882 | 연도: 2017 / 기법: Equation Editor 버퍼 오버플로우 / 악용 그룹: 다수 APT (2026년까지 악용 중) |
| CVE-2021-40444 | 연도: 2021 / 기법: MSHTML ActiveX / 악용 그룹: Wizard Spider 등 |
| CVE-2022-30190 | 연도: 2022 / 기법: Follina (MSDT) / 악용 그룹: 중국, 러시아 APT |
| CVE-2023-36884 | 연도: 2023 / 기법: Office/Windows HTML RCE / 악용 그룹: Storm-0978 (러시아) |
| CVE-2023-23397 | 연도: 2023 / 기법: Outlook NTLM 탈취 / 악용 그룹: APT28 (러시아 GRU) |
| CVE-2026-21509 | 연도: 2026 / 기법: OLE 보안 우회 / 악용 그룹: 미확인 (타겟 공격) |
패턴이 보인다:
- Office 내부에 위험한 레거시 기능이 존재
- 보안 연구원이 발견해서 보고
- Microsoft가 "충분히 안전하다"고 판단
- 수년 후 실제 공격에 악용
- 긴급 패치
CVE-2017-11882(Equation Editor)는 17년 된 코드에서 발견됐다. CVE-2026-21509의 기반 기법은 8년 전 공개됐다.
레거시 코드는 시한폭탄이다.
누가 공격하고 있나?
공식적으로 확인된 것:
- MSTIC(Microsoft Threat Intelligence Center)가 탐지
- 타겟 공격 (대규모 스팸 아님)
- 공개된 PoC 없음
추정:
MSTIC가 탐지했다는 건 보통 정교한 공격자를 의미한다.
과거 유사 취약점 악용 이력:
- CVE-2023-36884 → Storm-0978 (러시아)
- CVE-2023-23397 → APT28 (러시아 GRU)
정식 귀속(attribution)에는 수개월~수년이 걸린다.
MITRE ATT&CK 매핑
| Technique | ID | 설명 |
|---|---|---|
| Spearphishing Attachment | T1566.001 | 악성 Office 문서 전달 |
| User Execution: Malicious File | T1204.002 | 사용자가 파일 열기 |
| Inter-Process Communication: COM | T1559.001 | Shell.Explorer.1 COM 객체 실행 |
| System Binary Proxy Execution | T1218 | 내장 IE를 통한 페이로드 실행 |
왜 공격자가 이 기법을 선택하는가?
- 매크로 차단 우회: 요즘 대부분 조직이 매크로를 차단함
- EDR 회피: COM 객체는 매크로보다 탐지가 어려움
- 사용자 신뢰: Word/Excel 파일은 "안전하다"는 인식
- 광범위한 대상: 전 세계 대부분 조직이 Office 사용
영향 범위
| 제품 | 패치 상태 |
|---|---|
| Microsoft 365 Apps | ✅ 자동 패치 (앱 재시작 필요) |
| Office LTSC 2024 | ✅ 자동 패치 |
| Office LTSC 2021 | ✅ 자동 패치 |
| Office 2019 | ⚠️ 패치 "곧 출시" → 수동 완화 필요 |
| Office 2016 | ⚠️ 패치 "곧 출시" → 수동 완화 필요 |
Office 2016/2019는 2025년 10월 지원 종료됨. 우선순위가 낮아서 패치가 늦다.
당장 해야 할 것
1. Office 버전 확인 및 업데이트
Office 365 / 2021 이상:
앱 재시작만 하면 자동 적용
Office 2016/2019: 패치가 나올 때까지 아래 레지스트리 완화 적용
2. 레지스트리 Kill Bit 설정
위험한 COM 객체를 수동 차단:
경로: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}
값 이름: Compatibility Flags
값 종류: DWORD
값 데이터: 0x00000400
주의: 레지스트리 수정 전 백업 필수
3. 추가 방어 조치
- Protected View 강제 유지 (비활성화 금지)
- Mark of the Web 검증 유지
- Attack Surface Reduction(ASR) 규칙 활성화
- 외부 발신 Office 파일 격리 검사
탐지 방법
파일 분석
의심스러운 Office 문서에서 이 바이트 시퀀스 검색:
{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}
oletools 등으로 OLE 객체 추출 후 확인.
엔드포인트 모니터링
- WINWORD.EXE / EXCEL.EXE에서 비정상 네트워크 연결
- Office 프로세스의 의심스러운 자식 프로세스 생성
- Shell.Explorer.1 COM 객체 로드 이벤트
현재 공개된 탐지 규칙
| 유형 | 상태 |
|---|---|
| Sigma Rule | 미공개 |
| YARA Rule | 미공개 |
| Microsoft Defender | ✅ 탐지 활성화 |
PoC가 공개되지 않아서 커뮤니티 탐지 규칙도 없다. Microsoft Defender에 의존하거나, 위 IOC를 기반으로 자체 규칙 작성 필요.
8년의 교훈
2018년 Yorick Koster의 보고서는 무시됐다.
"사회공학이 필요하다"는 이유로.
하지만 공격자들은 8년 동안:
- 보호 장치를 분석했다
- 우회 방법을 찾았다
- 실제 공격에 투입했다
"충분히 안전하다"는 판단은 위험하다.
특히 Office처럼 수십억 대에 설치된 소프트웨어에서는.
결국 Microsoft는 8년 만에 긴급 패치를 내놓아야 했다.
레거시 코드는 부채다. 이자는 복리로 쌓인다.
참고 자료
- Microsoft Security Update Guide - CVE-2026-21509
- BleepingComputer - Microsoft patches actively exploited Office zero-day
- Help Net Security - CVE-2026-21509 Emergency Fix
- Securify - Click me if you can (2018)
- CISA Known Exploited Vulnerabilities Catalog
관련 글 더 보기
관련 취약점 분석
관련 MITRE ATT&CK 기법
관련 보안 사건
안내 및 법적 고지
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 취약점 정보는 Microsoft, CISA 공식 발표에 근거하며, 스토리 형식의 표현은 이해를 돕기 위해 구성되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 기법을 실제 시스템에 무단 적용하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.