사용자 조작 없이도 내부망 장악하는 원격코드실행(RCE) 취약점 악용
MS 패치 배포에도 현장서 호환성 문제나 운영상 이유로 업데이트 지연

[보안뉴스 김형근 기자] 글로벌 보안 기관들은 윈도우 시스템의 ‘넷로그온’(Netlogon) 프로토콜에서 발견된 제로클릭 원격코드실행 취약점(CVE-2026-41089)이 실제 현장에서 활발히 악용되고 있다고 경고했다.


[출처: 생성형 AI 활용 이미지]

벨기에 사이버보안센터(CCB)는 지난 5월 정기 보안 업데이트를 통해 해결된 118개 결함 중 해당 취약점을 핵심 위협으로 지목하며 전용 경고를 발령했다. CCB가 경고한 취약점 중 16개는 심각한(Critical) 위험 등급으로 분류됐다.

넷로그온 취약점은 사용자가 이메일을 열람하거나 악성 파일을 실행하는 등의 조작을 전혀 하지 않아도 해커들이 시스템 내부로 무단 침투할 수 있다. 해커들은 이 결함을 악용해 보안 인증 과정을 우회한 뒤 기업 전산망의 최고 관리자 권한을 탈취할 수 있는데, 한 대의 도메인 서버만 공략해도 기업 내부의 전산망 전반을 장악할 수 있다는 것이 CCB 등 보안 기관들의 공통된 분석이다. 현재 일부 해킹 조직들이 이번 취약점을 악용해 글로벌 기업 및 정부 기관을 대상으로 조직적인 공격 활동을 전개 중인 것으로 알려졌다.

마이크로소프트가 해당 결함에 대한 분석을 마치고 긴급 보안 패치를 배포했지만, 많은 기업들이 호환성 문제나 운영상의 이유로 업데이트를 미루고 있다. 보안 기관들은 이러한 업데이트 지연이 전 세계를 강타했던 대규모 침해 사고로 번질 가능성이 있다는 우려를 제기했다.

보안 기관들은 이번 제로클릭 취약점처럼 사용자의 개입 없이 진행되는 고도화된 사이버 위협 앞에서는 경계 기반의 수동적 방어망이 사실상 무의미할 수 있다고 경고하며, 윈도우 서버의 포트 설정을 점검하고 비정상적인 트래픽 흐름을 모니터링하는 체계를 가동하는 단기 처방을 시작으로 자산의 취약점을 실시간으로 식별하고 패치를 강제하는 자동화된 보안 거버넌스를 구축해야 한다고 조언했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>