비트락커 암호화 무력화 제로데이 취약점 폭로
제보 처리 방식에 항의하는 보복성 공격 코드 유출
정식 패치 전 레지스트리 수정 및 다중 인증 권고
[보안뉴스 김형근 기자] 마이크로소프트(MS)가 윈도우의 핵심 드라이브 암호화 기능인 비트락커(BitLocker)를 무력화하는 제로데이 취약점 ‘옐로우키’(YellowKey)에 대한 긴급 완화 조치를 발표했다.
[출처: gettyimagesbank]
이번 결함은 ‘나이트메어 이클립스’(Nightmare Eclipse)라는 별칭을 쓰는 익명의 보안 연구원이 MS의 취약점 제보 처리 방식에 항의하며, 공격실행코드(PoC)를 인터넷에 전격 공개함에 따라 폭로됐다.
취약점의 공격 방식은 단순하면서도 치명적이다. 공격자가 특수 제작한 악성 파일을 USB에 담아 기기에 연결한 뒤, 윈도우 복구 환경(WinRE) 진입 시 컨트롤(Ctrl) 키를 누르고 있는 것만으로 비트락커 암호화 장벽이 무너진다.
문제를 제기한 연구원은 MS 보안 대응 센터(MSRC)가 과거 자신들의 취약점 신고를 부당하게 처리한 것에 대한 항의 표시로 이번 연쇄 유출을 단행했다고 주장했다. 이 연구원은 지난달에도 관리자 권한을 탈취하는 ‘블루해머’(BlueHammer)와 ‘레드선’(RedSun) 제로데이 취약점을 무단 유출한 바 있으며, 최근에는 윈도우 디펜더의 백신 업데이트를 강제로 차단하는 ‘언디펜드’(UnDefend) 등 해킹용 도구를 잇달아 공개하며 도발을 이어가고 있다.
MS는 이번 옐로우키 결함에 공식 식별 번호 CVE-2026-45585를 부여하고, 정식 패치가 출시되기 전까지 시스템을 보호할 수 있는 긴급 예방 조치를 공유했다. 이와 함께 공인된 취약점 조율 관행(Coordinated Vulnerability Disclosure)을 위반하고 공격 코드가 무단 공개된 점에 대해 강한 우려를 표명했다.
MS가 제시한 임시 우회 조치에 따르면, 사용자들은 윈도우 복구 환경 실행 시 특정 자동 복구 도구인 ‘autofstx.exe’의 구동을 차단하기 위해 시스템 레지스트리 값을 직접 수정해야 한다. MS 보안 전문가들은 해당 조치를 적용해야 트랜잭션 NTFS(TxF) 재실행 과정에서 시스템 내부의 핵심 보안 설정 파일이 무단 삭제되는 우회 공격 경로를 원천 차단할 수 있다고 설명했다.
또 암호화된 기기의 보안 수준을 하드웨어 단독 인증(TPM 전용) 방식에서 암호 입력 단계가 추가된 다중 인증(TPM+PIN) 방식으로 변경해야만 실질적인 공격을 막을 수 있다고 덧붙였다.
이번 사건은 윈도우 비트락커의 근간을 흔든 치명적인 결함으로 진단된다. 기업 및 기관의 시스템 관리자들은 해커들의 표적이 되기 전에, 그룹 정책(Group Policy) 도구를 활용해 사내 전체 PC에 다중 인증 체계를 강제로 발동하는 등 선제적인 방어 조치를 취해야 할 것으로 보인다.
[김형근 기자(editor@boannews.com)]
제보 처리 방식에 항의하는 보복성 공격 코드 유출
정식 패치 전 레지스트리 수정 및 다중 인증 권고
[보안뉴스 김형근 기자] 마이크로소프트(MS)가 윈도우의 핵심 드라이브 암호화 기능인 비트락커(BitLocker)를 무력화하는 제로데이 취약점 ‘옐로우키’(YellowKey)에 대한 긴급 완화 조치를 발표했다.
[출처: gettyimagesbank]
이번 결함은 ‘나이트메어 이클립스’(Nightmare Eclipse)라는 별칭을 쓰는 익명의 보안 연구원이 MS의 취약점 제보 처리 방식에 항의하며, 공격실행코드(PoC)를 인터넷에 전격 공개함에 따라 폭로됐다.
취약점의 공격 방식은 단순하면서도 치명적이다. 공격자가 특수 제작한 악성 파일을 USB에 담아 기기에 연결한 뒤, 윈도우 복구 환경(WinRE) 진입 시 컨트롤(Ctrl) 키를 누르고 있는 것만으로 비트락커 암호화 장벽이 무너진다.
문제를 제기한 연구원은 MS 보안 대응 센터(MSRC)가 과거 자신들의 취약점 신고를 부당하게 처리한 것에 대한 항의 표시로 이번 연쇄 유출을 단행했다고 주장했다. 이 연구원은 지난달에도 관리자 권한을 탈취하는 ‘블루해머’(BlueHammer)와 ‘레드선’(RedSun) 제로데이 취약점을 무단 유출한 바 있으며, 최근에는 윈도우 디펜더의 백신 업데이트를 강제로 차단하는 ‘언디펜드’(UnDefend) 등 해킹용 도구를 잇달아 공개하며 도발을 이어가고 있다.
MS는 이번 옐로우키 결함에 공식 식별 번호 CVE-2026-45585를 부여하고, 정식 패치가 출시되기 전까지 시스템을 보호할 수 있는 긴급 예방 조치를 공유했다. 이와 함께 공인된 취약점 조율 관행(Coordinated Vulnerability Disclosure)을 위반하고 공격 코드가 무단 공개된 점에 대해 강한 우려를 표명했다.
MS가 제시한 임시 우회 조치에 따르면, 사용자들은 윈도우 복구 환경 실행 시 특정 자동 복구 도구인 ‘autofstx.exe’의 구동을 차단하기 위해 시스템 레지스트리 값을 직접 수정해야 한다. MS 보안 전문가들은 해당 조치를 적용해야 트랜잭션 NTFS(TxF) 재실행 과정에서 시스템 내부의 핵심 보안 설정 파일이 무단 삭제되는 우회 공격 경로를 원천 차단할 수 있다고 설명했다.
또 암호화된 기기의 보안 수준을 하드웨어 단독 인증(TPM 전용) 방식에서 암호 입력 단계가 추가된 다중 인증(TPM+PIN) 방식으로 변경해야만 실질적인 공격을 막을 수 있다고 덧붙였다.
이번 사건은 윈도우 비트락커의 근간을 흔든 치명적인 결함으로 진단된다. 기업 및 기관의 시스템 관리자들은 해커들의 표적이 되기 전에, 그룹 정책(Group Policy) 도구를 활용해 사내 전체 PC에 다중 인증 체계를 강제로 발동하는 등 선제적인 방어 조치를 취해야 할 것으로 보인다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
