[보안뉴스 한세희 기자] 지난해 마이크로소프트 제품군에서 발견된 보안 취약점이 역대 최대 수준인 것으로 드러났다.

18일 정보보호 기업 비욘드트러스트가 발간한 ‘마이크로소프트 취약점 리포트 2025’(Microsoft Vulnerabilities Report 2025)에 따르면, 지난해 마이크로소프트(MS) 윈도우와 오피스, 클라우드, 브라우저 등 제품군 전체에 걸쳐 1360개의 취약점이 보고됐다.

비욘드트러스트는 12년째 MS 제품 생태계 보안 취약점을 추적하는 보고서를 발간하고 있다. 현재 세계 기업의 75%가 MS 제품에 기반해 시스템을 구축한 것으로 추산된다.



MS 대표 제품인 윈도우에서 가장 많은 취약점이 발견됐다. 윈도우 서버에서 684개의 취약점이 보고됐고, 이중 43개는 중대한 위협으로 분류됐다. 일반 윈도우에선 587개의 취약점이 보고됐고, 33개가 중대한 위협으로 분류됐다. 이들 취약점은 피해자와 최소한의 상호작용만으로 원격 코드 실행 공격을 수행, 시스템 전반을 감염시킬 수 있다.

클라우드 서비스 애저와 다이나믹365 취약점은 전년과 비슷한 수준인 반면, 에지 브라우저 취약점은 전년 대비 17% 늘어난 292개를 기록했다. 에지 취약점 중 9개는 중대한 위협으로 분류됐다.

악성 코드 공격 등으로 일단 시스템에 침입한 후 점차 권한을 높여 관리자 권한까지 획득하는 접근 권한 상승(EoP) 공격에 대한 주의도 필요하다. 이 공격에 악용될 수 있는 취약점이 554개로 전체의 40%를 차지했다. 이는 다른 방식의 추가 공격으로 이어져 조직 시스템 전반에 피해를 줄 수 있다.

보고서는 “제품군 복잡도가 늘어나는 속도가 보안 위협에 대처하는 속도보다 빠르다”며 “취약점 패치에만 의존하지 말고 최소 권한, 분할, 제로 트러스트 등을 종합적으로 고려해야 한다”고 권고했다.

[한세희 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>