윈10부터 서버2025까지 광범위한 시스템의 최고 관리자 권한 탈취 가능
CISA KEV 목록 추가 및 즉각적인 보안 패치·EDR 솔루션 가동 권고

[보안뉴스 김형근 기자] 윈도우 원격 데스크톱 서비스(RDS)의 최고 관리자 권한을 탈취할 수 있는 제로데이 취약점이 22만달러(약 3억원)에 다크웹 매물로 등장했다. 미국 사이버안보 및 인프라 보안국(CISA)는 이를 악용 취약점 목록에 올리고 즉각적인 패치를 권고했다.


[출처: gettyimagesbank]

최근 다크웹 포럼에 ‘카미르마사비’(Kamirmassabi)라는 이름의 사용자가 RDS 취약점을 악용한 익스플로잇을 경매에 부친 게시물이 발견됐다. 해당 게시물은 취약점을 ‘제로데이’로 표기하고 구매 가격을 22만달러로 책정했으며, 관심있는 구매자는 개인 메시지를 달라고 한다.

공통보안 취약점 등급(CVSS) 7.8점의 고위험군인 이 취약점(CVE-2026-21533)은 일반 사용자 권한을 최고 관리자 권한으로 격상해 시스템을 장악할 수 있다.

마이크로소프트는 지난 2월 이 결함을 공식 인정한 후 해커들이 이를 비즈니스 모델로 만들어 거래망에 올리면서 전 세계 기업들이 타격이 불가피할 전망이다. 22만달러로 책정된 익스플로잇 가격은 악성 코드가 패치를 적용하지 않은 다양한 윈도우 아키텍처에서 안정적으로 작동할 가능성이 높다는 방증이다.

실제로 해당 취약점은 윈도우 10과 11은 물론이고 윈도우 서버 2012부터 2025까지 광범위한 시스템에 영향을 미친다.

CISA는 이 취약점을 즉각 알려진 악용 취약점(KEV) 목록에 추가하며, ‘BOD 22-01’ 지침에 따라 모든 단말기와 서버에 최신 보안 패치를 진행하거나 완화 조치를 즉시 적용할 수 없는 단말은 원격 데스크톱 서비스를 비활성화할 것을 안내했다.

또, 시스템 관리자들에게 꼭 필요한 경우가 아니라면 RDS를 비활성화하고, 신뢰할 수 있는 네트워크에 대한 엑세스만 제한하며 비정상적인 레지스트리 변경 및 권한 상승 시도를 모니터링하기 위해 엔드포인트 탐지 및 대응(EDR) 솔루션을 가동해 해커의 조작과 권한 탈취 시도를 차단해야 한다고 강조했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>