2026년 2월 Patch Tuesday 제로데이 6건 분석. SmartScreen/MSHTML/Word 보안 우회 3건과 DWM/RDS 권한 상승 2건이 만드는 킬체인 구조, Google GTIG의 동시 발견, 크리스마스 이브 공격 타임라인, 2024-2026 제로데이 가속 추세.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2026년 2월 Patch Tuesday에서 Microsoft는 58건의 취약점을 패치했다. 이 중 6건이 실전에서 악용 중인 제로데이다. 보안 경고를 무력화하는 우회 3건, SYSTEM 권한을 탈취하는 상승 2건, VPN을 마비시키는 DoS 1건. 이 6개를 조합하면 하나의 공격 체인이 완성된다.
매달 둘째 주 화요일. 보안 담당자들이 가장 긴장하는 날이다.
Microsoft가 이번 달 보안 패치를 공개하는 Patch Tuesday.
이번 달 숫자를 본 보안팀은 커피잔을 내려놓았을 것이다.
총 58건. 제로데이 6건. 전부 실전 악용 중.
CISA(미국 사이버보안 및 인프라 보안국)는 같은 날 6건 전부를 KEV(Known Exploited Vulnerabilities) 카탈로그에 등재했다. 연방기관 패치 기한은 3월 3일.
1월에는 CVE-2026-20952(Office Zero-Click)가 있었다. 2월은 그보다 훨씬 심각하다.
6개 제로데이 킬체인
6건 중 3건은 보안 기능 우회다. Windows가 사용자를 보호하기 위해 세워둔 방패를 무력화한다.
CVE-2026-21510 — SmartScreen 우회 (CVSS 8.8)
파일을 다운로드하면 Windows는 "이 파일은 인터넷에서 다운로드됐습니다"라고 경고한다. SmartScreen과 Mark of the Web(MoTW) 보호 기능이다.
이 취약점은 그 경고를 사라지게 만든다. 악성 링크나 바로가기(.lnk) 파일을 클릭하면, 보안 경고 없이 실행된다.
CVE-2026-21513 — MSHTML 보안 우회 (CVSS 8.8)
MSHTML은 Internet Explorer의 HTML 렌더링 엔진이다. IE는 퇴역했지만, MSHTML은 아직 Windows 곳곳에서 살아 있다.
이 취약점은 MSHTML의 보안 프롬프트와 존(Zone) 보호를 우회한다. 악성 HTML이나 .lnk 파일을 열면 보안 통제가 작동하지 않는다.
CVE-2026-21514 — Word OLE 우회 (CVSS 7.8)
Word 문서에 삽입된 OLE(Object Linking and Embedding) 객체는 보안 위험이 될 수 있다. 그래서 Microsoft는 OLE 보안 완화 기능을 두고 있다.
이 취약점은 그 완화 기능을 우회한다. 악성 문서를 열면 "콘텐츠 사용" 버튼도, Protected View 경고도 나타나지 않는다. 매크로 없이 코드가 실행된다.
| 항목 | 내용 |
|---|---|
| 공통 CWE | CWE-693 (보호 메커니즘 실패), CWE-807 (신뢰할 수 없는 입력 기반 보안 결정) |
| 공통 발견자 | Google Threat Intelligence Group (GTIG) + Microsoft |
| 공통 조건 | 사용자가 파일을 열어야 함 (Zero-Click은 아님) |
| 핵심 효과 | 보안 경고 없이 코드 실행 |
3건 모두 패치 전에 이미 공개됐고, 3건 모두 Google GTIG가 발견했다.
보안 우회로 코드를 실행한 뒤, 공격자에게 필요한 것은 권한이다. 일반 사용자 권한으로는 할 수 있는 것이 제한적이다. SYSTEM 권한이 있어야 진짜 목적을 달성할 수 있다.
CVE-2026-21519 — DWM 타입 컨퓨전 (CVSS 7.8)
Desktop Window Manager(DWM)는 Windows의 화면 합성을 담당하는 핵심 서비스다.
타입 컨퓨전(CWE-843) 취약점이다. 시스템이 하나의 데이터 타입을 다른 타입으로 잘못 처리하면, 공격자가 메모리를 조작할 수 있다.
일반 사용자 계정만 있으면 된다. 사용자 상호작용 불필요. 결과: SYSTEM 권한 획득.
CVE-2026-21533 — RDS 권한 상승 (CVSS 7.8)
Remote Desktop Services(RDS)의 권한 관리가 부적절하다(CWE-269).
공격자는 서비스 설정 키를 자신이 제어하는 키로 교체한다. 그 결과 새로운 사용자를 Administrator 그룹에 추가할 수 있다.
이 취약점을 발견한 것은 CrowdStrike다.
CVE-2026-21525 — VPN 서비스 마비 (CVSS 6.2)
Remote Access Connection Manager(RasMan)의 NULL 포인터 역참조 취약점이다. 권한 없이도 VPN 서비스를 크래시시킬 수 있다. Acros Security가 2025년 12월 관련 취약점을 조사하던 중 발견했다.
은 2025년 12월 24일부터 실전에서 악용되고 있었다.
크리스마스 이브. 보안팀 대부분이 휴가 중이던 시점이다.
CrowdStrike의 위협 추적에 따르면, 공격자는 미국과 캐나다의 조직을 타깃으로 삼았다.
| 항목 | 내용 |
|---|---|
| 최초 악용 | 2025년 12월 24일 |
| 패치 배포 | 2026년 2월 11일 |
| 노출 기간 | 48일 |
| 타깃 | 미국, 캐나다 소재 조직 |
| 발견자 | CrowdStrike Advanced Research Team |
48일 동안 패치가 없었다. 공격자에게는 48일간의 자유 사냥 시간이었다.
6건을 따로 보면 각각 심각하다. 하지만 함께 보면 하나의 공격 시나리오가 완성된다.
1단계 — 초기 접근: 공격자가 피싱 이메일을 보낸다. 악성 Word 문서를 첨부하거나, 악성 링크를 삽입한다.
2단계 — 보안 우회: 피해자가 파일을 열면 (Word OLE)가 보안 보호를 무력화한다. 경고 없이 코드가 실행된다. 링크를 클릭했다면 (SmartScreen)이 같은 역할을 한다.
3단계 — 권한 상승: 실행된 코드가 (DWM 타입 컨퓨전) 또는 (RDS 권한 상승)을 익스플로잇한다. 일반 사용자에서 SYSTEM으로.
4단계 — 목적 달성: SYSTEM 권한으로 데이터 탈취, 횡적 이동, 랜섬웨어 배포.
3개의 방패를 부수고, 2개의 사다리를 올라간다. 공격자가 선택할 수 있는 경로가 복수라는 점이 위험하다.
3건의 보안 우회를 모두 Google GTIG가 발견했다. 이것은 우연이 아닐 가능성이 높다.
| 가능성 | 의미 |
|---|---|
| 동일 캠페인 | 하나의 APT 그룹이 3개를 동시 사용, GTIG가 캠페인 추적 중 발견 |
| 관련 변종 | 같은 공격 프레임워크에서 파생된 익스플로잇들 |
그런데 APT 그룹 귀속이 공개되지 않았다.
Google GTIG가 3개의 제로데이를 동시에 발견하고도 공격자를 명시하지 않은 것은 이례적이다. 수사가 진행 중이거나, 외교적 민감성이 있을 수 있다.
CrowdStrike도 의 공격자를 특정하지 않았다. 미국/캐나다 타깃이라는 정보만 공개됐다.
2월 Patch Tuesday의 제로데이 6건은 개별 사건이 아니다. 추세의 일부다.
| 항목 | 수치 |
|---|---|
| 2024년 제로데이 | 22건 (월평균 1.8건) |
| 2025년 제로데이 | 41건 (월평균 3.4건, 전년 대비 +86%, 산출 기준: 22건→41건) |
| 2026년 (2개월) | 9건 (월평균 4.5건) |
| 2025년 악용률 | 58.5%(24건/41건, Microsoft 보안 업데이트 기준) |
| 2026년 악용률 | 77.8%(7건/9건, Microsoft 보안 업데이트 기준) |
2025년에 Microsoft가 패치한 총 CVE는 1,139건이다. 역대 두 번째로 많은 수치다(Computer Weekly, 2025.12).
Trend Micro ZDI의 더스틴 차일즈(Dustin Childs)는 이렇게 말했다:
"총 패치 수는 1월의 절반이지만, 실전 악용 건수는 이례적으로 높다(extraordinarily high)."
2026년이 이 추세대로라면, 연간 제로데이 수는 2024년의 22건을 크게 넘어설 것이다.
| 기법 | 적용 |
|---|---|
| T1566.001 (Spearphishing Attachment) | 악성 Word 문서/HTML 파일을 이메일로 전달 |
| T1204.002 (Malicious File) | 사용자가 첨부파일을 열어 코드 실행 |
| T1562.001 (Impair Defenses) | SmartScreen, MSHTML, OLE 보안 기능 무력화 |
| T1068 (Exploitation for Privilege Escalation) | DWM 타입 컨퓨전/RDS 취약점으로 SYSTEM 획득 |
| T1499 (Endpoint DoS) | RasMan 크래시로 VPN 서비스 중단 |
핵심은 T1562.001(방어 체계 무력화)이다.
공격자가 취약점을 직접 익스플로잇하는 것이 아니라, 보안 기능 자체를 꺼버린다. 그래서 나머지 공격이 탐지되지 않는다.
| 우선순위 | 대상 |
|---|---|
| 즉시 (0~7일) | 제로데이 6건 전부. 특히 RDS 서버()와 외부 노출 시스템 |
| 긴급 (7~14일) | Critical 등급 5건 (Azure SDK CVSS 9.8 포함) |
| 일반 (14~30일) | 나머지 Important/Moderate 등급 |
패치 적용 전 임시 완화 조치로, Microsoft Defender의 Attack Surface Reduction 규칙을 활성화한다.
| ASR 규칙 | 효과 |
|---|---|
| Office 앱의 자식 프로세스 생성 차단 | 보안 우회 후 코드 실행 억제 |
| Office 앱의 실행 파일 콘텐츠 생성 차단 | 악성 페이로드 드롭 방지 |
| 난독화된 스크립트 실행 차단 | 권한 상승 스크립트 실행 억제 |
2026년 2월 Patch Tuesday는 숫자만 보면 58건으로 평범하다.
하지만 제로데이 6건이 전부 실전 악용 중이라는 점에서 이례적이다.
방패를 부수는 3건의 우회. SYSTEM을 탈취하는 2건의 상승. VPN을 마비시키는 1건의 DoS.
6건이 합쳐지면 초기 접근부터 최종 목적 달성까지 완전한 킬체인이 된다.
그리고 아직 공격자가 누구인지 밝혀지지 않았다.
패치는 이미 나왔다. 남은 것은 적용 속도뿐이다.
6개의 개별 제로데이가 하나의 킬체인으로 조합될 때 위험성은 기하급수적으로 증가한다. 각 취약점은 단독으로는 제한적이지만, 체이닝을 통해 초기 접근에서 완전한 시스템 장악까지 도달할 수 있다.
Microsoft 취약점
관련 MITRE ATT&CK 기법
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.