<!--SEO_META_START title: Office 미리보기 취약점: 클릭 없이 감염되는 원리 | CVE-2026-20952 description: Outlook 미리보기만으로 원격 코드 실행이 가능한 CVE-2026-20952 제로데이 분석. 8년 된 RTF 기법이 되살아난 이유와 긴급 패치 적용 방법을 확인하세요. keywords: CVE-2026-20952, Office 취약점, Outlook 제로데이, RTF 악성코드, 미리보기 취약점, 원격코드실행 tags: CVE, Office 보안, 제로데이, Outlook SEO_META_END-->
CVE-2026-20952는 Microsoft Office의 Use-After-Free(CWE-416) 취약점이다. CVSS 8.4. Outlook 미리보기 창(Preview Pane)에서 악성 문서가 표시되는 것만으로 원격 코드 실행이 가능하다. 2026년 1월 Patch Tuesday에서 패치됐다.
2026년 1월 26일, 월요일 오전 9시
김 대리는 평소처럼 Outlook을 열었다.
받은 편지함에 새 메일이 하나 있었다.
보낸 사람:
hr-notice@company.com
제목: [필독] 2026년 연봉 조정 안내
첨부파일이 있었다. Excel 파일.
김 대리는 클릭하지 않았다.
그냥 메일 목록에서 봤을 뿐이다.
하지만 그게 끝이었다.
"클릭도 안 했는데?"
보안팀에서 연락이 왔다.
"김 대리님 PC에서 이상 트래픽이 감지됐습니다."
"저 아무것도 안 열었는데요?"
"메일 미리보기… 하셨죠?"
미리보기.
Outlook 오른쪽에 뜨는 그 창.
파일을 열지 않아도 내용을 보여주는 그 기능.
그게 문제였다.
CVE-2026-20952/20953
Microsoft가 2026년 1월 Patch Tuesday에 공개한 취약점이다.
| 구분 | 내용 |
|---|---|
| CVE | CVE-2026-20952, CVE-2026-20953 |
| 심각도 | CVSS 8.4 (High) |
| 취약점 유형 | Use-After-Free (CWE-416) |
| 공격 조건 | 사용자 상호작용 불필요 (Zero-Click) |
뭐가 문제인가?
Office의 미리보기 기능이 악성 파일을 자동으로 파싱한다.
이 과정에서 메모리 해제 후 재사용(Use-After-Free) 버그가 발생한다.
공격자는 이걸 이용해서:
- 임의 코드 실행
- 시스템 권한 탈취
- 추가 악성코드 설치
사용자가 파일을 열지 않아도 된다.
미리보기 창에 표시되는 것만으로 감염된다.
영향 범위
거의 모든 Office 버전이 해당된다.
- Microsoft 365 Apps (Enterprise/Business)
- Office 2024, 2021, 2019, 2016
- Office LTSC
특히 위험한 환경:
- Outlook으로 메일 확인하는 조직
- 탐색기에서 Office 파일 미리보기 사용하는 환경
- 외부 파일을 자주 받는 부서 (HR, 영업, 재무)
MITRE ATT&CK 매핑
이 취약점은 APT 공격의 초기 침투 단계에서 활용될 수 있다.
| Technique | ID | 설명 |
|---|---|---|
| Exploitation for Client Execution | T1203 | Office 취약점을 이용한 코드 실행 |
| Spearphishing Attachment | T1566.001 | 악성 첨부파일이 포함된 표적 피싱 |
왜 공격자가 이 기법을 선택하는가?
- Zero-Click: 사용자 실수에 의존하지 않아도 됨
- 신뢰 악용: 정상적인 Office 파일로 위장 가능
- 광범위한 대상: 거의 모든 기업이 Office 사용
PoC 없음 ≠ 안전
"아직 공개된 PoC가 없으니까 괜찮지 않나요?"
아니다.
Microsoft가 취약점을 공개하면, 공격자들은 패치를 리버스 엔지니어링한다.
패치 전후를 비교해서 취약점 위치를 찾고, 익스플로잇을 개발한다.
"패치가 나오면 공격자에게도 로드맵이 된다"
— 보안 업계 격언
실제로 과거 Office 취약점(CVE-2017-11882, CVE-2021-40444)은
패치 공개 후 수일 내에 실제 공격에 사용됐다.
당장 해야 할 것
1. 패치 적용
Windows Update → 2026년 1월 보안 업데이트 설치
2. 미리보기 비활성화 (임시 조치)
Outlook:
- 보기 → 읽기 창 → 끄기
탐색기:
- 보기 → 미리 보기 창 해제
3. 첨부파일 정책 강화
- 외부 발신 메일의 Office 첨부파일 검역
- 매크로 비활성화 유지
마무리
김 대리는 잘못한 게 없다.
의심스러운 파일을 열지도 않았다.
링크를 클릭하지도 않았다.
그냥 메일함을 봤을 뿐이다.
하지만 그게 충분했다.
Zero-Click 취약점은 "조심하면 된다"는 말을 무력화시킨다.
결국 패치만이 답이다.
참고 자료
관련 글
- 스크립트 기반 공격: 왜 모든 해커가 사용하는가 | T1059
- 위장 기법: 보안 솔루션을 속이는 방법 | T1036
- Fortinet 제로데이: 10,000대 방화벽이 뚫린 CVE-2026-24858
관련 글 더 보기
관련 취약점 분석
관련 MITRE ATT&CK 기법
안내 및 법적 고지
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 사건의 사실관계는 인용된 참고 자료에 근거하며, 대화체 표현과 장면 묘사는 이해를 돕기 위해 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.