긴급 패치 필요한 윈도 제로클릭 취약점

MS의 윈도에서 제로클릭 취약점이 발견돼 긴급 패치가 이뤄졌다. 문제의 취약점은 CVE-2025-59287로, 이미 실제 해킹 공격에 악용되는 중이라고 MS는 경고했다. 이 취약점은 데이터 역직렬화 때문에 발동되는 것으로, 원격 코드 실행 공격으로 이어질 수 있다. WSUS에서 발견됐기 때문에 파급력이 더 크며, 따라서 더 빠른 취약점 패치 적용이 필요하다.

취약점 상세 정보

WSUS는 ‘윈도 서버 업데이트 서비스(Windows Server Update Services)’의 준말이다. 여러 컴퓨터에서 윈도 업데이트를 보다 안전하고 효율적으로 관리하는 데 사용된다. 회사 내 각 직원이 각자 컴퓨터에 필요한 업데이트를 다운로드 받아 개별 적용하는 게 아니라, 중앙에서 일괄적으로 업데이트를 실시할 수 있게 해 준다. WSUS만 있으면 기업 보안 담당자는 네트워크에 연결된 모든 컴퓨터에 업데이트를 배포 및 적용할 수 있게 된다.

CVE-2025-59287은 아직 다 확인도 되지 않은 데이터를 역직렬화 하는 취약점이다. 역직렬화는 간략히 말해 데이터 구조를 변경한다는 의미인데, 신뢰하기 힘든 데이터 혹은 확인하지 않은 데이터의 구조를 임의로 변경하는 과정에서 악성 스크립트가 실행될 수 있다. 이 때문에 역직렬화 취약점은 정보보안에서 자주 등장하는 편이다. 

WSUS가 업데이트를 대량 배포할 수 있다는 것과 CVE-2025-59287이 아무 데이터나 처리하는 취약점이라는 사실을 합하면 어떻게 될까? 공격자가 악성 코드가 포함된 데이터를 피해자에게 보냈을 때, 피해자가 이 데이터를 역직렬화 하면 그 악성 코드가 실행되면서 그 악영향이 대량으로 퍼지는 상황이 발생한다. 심지어 데이터 역직렬화는 사용자가 압축 파일 풀듯이 뭔가를 실행해야만 발동되는 것이 아니다. 그러므로 이 취약점 익스플로잇 공격은 사용자의 직접적인 조작을 전혀 필요로 하지 않는다.

다만 MS의 설명에 의하면 “WSUS 서버 기능이 활성화 된 윈도 서버에만 CVE-2025-59287이 문제를 일으킨다”고 한다. 즉 WSUS 서버 기능을 비활성화 하면 해결될 수 있는 문제라는 것인데, MS는 “기본적으로 비활성화 되어 있다”고 말한다. 업무상 부득이 WSUS를 활성화 한 조직들이라면 이번 취약점 소식에 귀를 기울여야 한다.

MS는 10월 정기 패치를 통해 CVE-2025-59287을 한 차례 업데이트 했었다. 하지만 이 첫 번째 픽스는 불완전했고, 문제가 온전히 해결되지 않았던 것으로 전해진다. 이에 MS는 다시 한 번 긴급 패치를 개발 및 배포하게 된 것이다. 

개념증명용 익스플로잇 공개돼

사실 이번 취약점은 실제 문제가 되어서는 안 된다는 이론상의 특징을 가지고 있다. WSUS가 방화벽 뒤에서 보호를 받은 채 사용되어야 하기 때문이다. 즉 WSUS는 인터넷에 곧바로 연결되어 있지 않아야 정상이다. 하지만 실제 사용자들이 이러한 수칙을 잘 지키지는 않는다. 보다 빠른 업무 처리와 생산성 향상 등을 위해서 WSUS를 인터넷에 직접 연결해 사용하는 곳이 많고, 이 때문에 이번 취약점이 대대적인 문제가 된 것이다.

이번 취약점만 유독 문제가 된 건 아니다. WSUS는 조직 내 모든 컴퓨터에 업데이트를 한꺼번에 배포하는 도구며, 실제로는 인터넷에 직접 연결된 채 운영된다는 사실 때문에 이전부터 사이버 공격자들의 관심과 사랑을 독차지 해왔었다. WSUS만 장악하면, 조직 내 모든 장비들에 가짜 업데이트를 내보낼 수 있고, 이를 통해 원하는 악성 코드를 배포할 수 있는데, 관심이 없을 수가 없다.

그래서인지 보안 전문가들 사이에서도 WSUS는 요주의 관심 대상이었다. 이번 주 초 한 보안 전문가는 CVE-2025-59287의 기술 상세 내용과 개념 증명용 익스플로잇까지 공개했다. 개념 증명용 익스플로잇 코드는 취약점을 공격자 입장에서 이해하고, 그 이해를 바탕으로 방어 계획을 정교히 수립하는 데 도움을 주려는 목적으로 개발된다. 하지만 현실에서는 해커들에게  중요한 힌트를 제공하는 역할을 더 잘 수행한다. 해커들은 이 개념 증명용 코드를 가져다가 자신들의 공격 무기를 완성시킨다.

그래서 개념 증명용 코드가 공개된 순간, 패치는 더욱 시급히 적용해야 할 것이 된다. 하지만 이미 늦었다. 실제 공격 사례가 접수되기 시작했기 때문이다. 네덜란드의 국가 사이버보안센터(NCSC-NL)는 “10월 24일, CVE-2025-59287의 실제 익스플로잇 사례를 보고 받았다”고 발표했다. 다만 누가 누구를 공격했고, 어떤 규모의 피해가 있었는지 등 사건의 세부 내용은 아직 공개되지 않고 있다.

미국 사이버 보안 인프라 보안국(CISA)은 이 취약점을 KEV 목록에 추가하기도 했다. KEV는 CISA가 운영하는 취약점 데이터베이스로, 여기에는 실제 익스플로잇 공격이 존재하는 것들만 등재된다. 즉 패치 우선순위가 가장 높은 취약점들로만 구성돼 있다는 것이다. CISA 역시 네덜란드 사이버보안센터처럼 이유를 명확히 밝히지는 않았지만, 실제 공격 사례를 제보 받은 것으로 보인다.

방어, 어떻게 하나?

시급한 문제가 된 CVE-2025-59287 사태는, 긴급 업데이트만 적용하면 해결된다. 하지만 이 업데이트라는 게 쉬운 결정이 아닌 경우가 많다. 윈도 서버의 가동을 잠시 중단해야 하고, 업데이트 후 시스템을 재부팅 해야 한다는 게 서비스를 다운타임 없이 지속시켜야 하는 회사 입장에서는 부담스럽기 때문이다. 사정에 따라 수개월이나 뒤에 적용해야 할 수도 있다. 

이에 MS는 즉각 업데이트가 불가능한 조직들을 위해 대체 방안을 내놓기도 했다. “WSUS 서버의 기능을 잠시 비활성화 시키고, 호스트 방화벽에서 포트 8530과 8531에 대한 인바운드 트래픽을 차단하여 WSUS를 작동 불능 상태로 만들어야 합니다. 다만 이 경우 클라이언트들은 서버로부터 업데이트를 받을 수 없게 되므로, 새로운 업데이트는 각 컴퓨터에서 개별적으로 진행해야 합니다.”

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• Newly Patched Critical Microsoft WSUS Flaw Comes Under Active Exploitation (CVE-2025-59287), The Hacker News, 2024년
• Microsoft Releases Emergency Patch for Exploited Critical Vulnerability CVE-2025-59287, Arctic Wolf, 2024년
• Microsoft Releases Urgent Fix for Actively Exploited WSUS Vulnerability (CVE-2025-59287), HelpNet Security, 2024년
• Microsoft Issues Emergency Windows Server Security Patch for CVE-2025-59287, TechRadar Pro, 2024년

포티넷, 초고위험도 취약점 패치하며 “실제 공격 발생” 경고

💡Editor’s Pick - 포티시엠에서 초고위험도 취약점 나와 - 실제 공격 있다는 경고도...하지만 구체적 내용은 없어 - 취약점 정보, 덮고 숨기는 게 아니라 공유하고 패치해야 보안 업체 포티넷(Fortinet)이 자사 제품에서 발견된 초고위험도 취약점을 패치하며, 고객들에게 “시급히 적용할 것”을 촉구하고 있다. 이 취약점은 CVE-2025-25256이며, CVSS 기준 10점 만점에

The Tech Edge문가용 기자

CISA, 2년 전 패치된 페이퍼컷 취약점 관련 새 권고문 발표

💡Editor’s Pick - 페이퍼컷, 2년 전 고위험군 취약점 패치 - 최근 이 취약점 익스플로잇 하는 공격 등장 - CISA가 KEV에 등재 미국 사이버 보안 전담 기관인 CISA가 새로운 취약점에 대한 보안 권고문을 발표했다. 새로 발견된 취약점은 아니다. CVE-2023-2533으로, 이미 2년 전에 패치된 바 있는 것인데, 최근 해커들이 활발히 익스플로잇 하기

The Tech Edge문가용 기자