윈도 제로데이 미니플라즈마, PoC 익스플로잇 코드도 공개

미니플라즈마(MiniPlasma)로 명명된 윈도 취약점의 개념 증명용 익스플로잇 코드가 공개됐다. 윈도 클라우드 파일 미니 필터 드라이버인 cldfit.sys에 영향을 미치며, HsmOsBlockPlaceholderAccess라는 루틴 내에 존재한다. 익스플로잇 코드 공개일은 최근이지만 취약점 자체는 2020년 9월 구글 프로젝트 제로 소속 연구원인 제임스 포쇼(James Forshaw)가 MS에 처음 보고한 것이다. 

이번에 개념 증명용 코드를 처음 공개한 건 카오틱 에클립스(Chaotic Eclipse)라는 보안 연구원이다. 해당 인물은 얼마 전윈도에서 옐로키(YellowKey)와 그린플라즈마(GreenPlasma)라는 취약점을 발견해 공개하기도 했다. 미니플라즈마는 그의 최근 세 번째 행적이다.

2020년 9월에 처음 알려졌으나

위에서 언급했다시피 미니플라즈마 취약점 정보 자체는 2020년 9월에 처음 MS에 제보됐다. MS는 이를 접수해 동년 12월 패치를 배포했다. 당시 CVE-2020-17103이라는 취약점 관리 번호로 패치가 진행된 것으로 추정된다. 하지만 카오틱 에클립스가 조사한 결과 해당 취약점이 실제로는 패치되지 않은 것으로 파악됐다. “MS가 문제를 건드리지 않은 것인지, 아니면 어떤 시점에 패치가 롤백된 것인지는 알 수 없습니다. 확실한 건 당시 구글이 공개했던 개념 증명용 익스플로잇이 그대로 작동한다는 겁니다.” 그의 설명이다.

그래서 그는 이번 기회를 통해 문제를 보다 시끄럽게 공론화하고자 했다. “원래 존재하고 있던 개념 증명용 익스플로잇을 가져다가 개량함으로써 시스템(SYSTEM) 셸을 실행하도록 만들었습니다. 다만 ‘경합 조건(race condition)’이 붙는 취약점이라는 특성상 컴퓨터와 환경에서마다 다른 성공률을 보일 수 있습니다. 제 컴퓨터에서는 안정적으로 작동하는 것을 확인했습니다.”

미니플라즈마의 영향을 받는 윈도 버전은 ‘모두’라고 그는 경고했다. 하지만 일부 전문가들은 최신 윈도 11 인사이더 프리뷰 카나리(Insider Preview Canary) 버전에서는 해당 익스플로잇이 작동하지 않는다는 내용의 글을 커뮤니티 등에 게시하기도 했다. 아무튼 대부분의 윈도에서는 취약점이 유효하다는 건 분명해 보인다.

어떤 취약점인가?

미니플라즈마는 한 마디로 표현해 공격자가 윈도 환경 내에서 피해자의 권한을 가져갈 수 있게 해 주는 취약점이다. 로컬 권한 상승 취약점으로 분류된다. “공격자가 이 취약점을 통해 시스템(SYSTEM) 권한을 가져가게 된다는 것으로 모든 설명은 끝납니다. 이 권한을 가져간 공격자는 각종 보안 프로그램을 무력화한 후 여러 위험한 행위를 자유롭게 할 수 있게 됩니다.”

로컬 권한 상승은 ‘실제 해킹 공격’이라는 맥락에서 대단히 위험하다. 일반인에게도 악명 높은 멀웨어인 랜섬웨어의 경우 권한 상승 공격을 동반하지 못할 경우 중요한 시스템 파일에 손상을 주지 못한다. 그러므로 공격의 효과가 크게 줄어들며, 아주 예외적인 경우가 아니라면 피해자들은 공격자와 협상하는 대신 시스템 복구를 실행한다. 

다행히 미니플라즈마로 인한 실제 피해 사례는 아직 보고된 바 없다. 이는 문제의 개념증명 코드가 깃허브 등을 통해 공개되고서 시간이 얼마 지나지 않았기 때문인 것으로 보인다. 그가 앞서 공개했던 취약점들인 블루해머(BlueHammer, CVE-2026-33825)나 레드선(RedSun) 등은 실제 해킹 공격에 활발히 악용되는 중이다. 이는 며칠 내에 미니플라즈마 익스플로잇 사례가 나타날 가능성이 높다는 걸 의미한다.

여러 보안 전문가들이 미니플라즈마 정보를 독립적으로 테스트하고 있다는 것도 좋은 소식은 아니다. 보안 연구원 윌 도먼(Will Dormann)과 보안 기업 윈스(WINS) 등은 각자의 소통 채널을 통해 익스플로잇이 윈도 11 프로 환경에서 잘 실행된다는 걸 확인했다고 발표했다. 이런 소식은 해커들에게 해당 코드를 공격용 무기로 개발할 동기가 된다. 

Cldflt.sys?

앞서 언급했다시피 미니플라즈마 취약점은 윈도 내 cldflt.sys라는 요소와 관련이 있다. 윈도 OS에 내장된 핵심 시스템 파일 중 하나로, ‘윈도 클라우드 파일 미니 필터 드라이버(Windows Cloud Files Mini Filter Driver)’의 준말이다. 이름 그대로 클라우드와 윈도를 연동하여 사용할 때 꼭 필요한 요소이며, 그래서 최근 공격자들 사이에서 주요 표적 중 하나로 취급된다. 2025년 12월에도 MS는 “실제 공격 사례가 존재한다며 해당 드라이버에서 발견된 취약점인 CVE-2025-62221을 패치했었다.

Cldflt.sys의 핵심 기능은 ‘요청 기반 파일 관리(Files On-Demand)’다. 과거에는 클라우드에 저장된 100GB짜리 파일을 열람하려면 로컬 시스템에도 같은 용량의 공간이 있어야 가능했는데, 요즘은 그렇지 않다. 그 이유가 바로 cldflt.sys가 구현하는 ‘요청 기반 파일 관리’ 기능이다. 실제 파일의 ‘껍데기’만 가지고 오기 때문에 가능하게 되는 것으로 이것이 가능하려면 몇 가지 전제 조건이 성립돼야 한다.

1) 커널 레벨에서 작동해야 한다. 그래야 클라우드 내 파일을 로컬 파일시스템 사이에서 윈도가 끼어들어 해당 파일을 처리할 수 있다. 장악하는 순간 커널 레벨의 권한을 가져가게 되므로 공격자가 선호한다. 로컬 권한 상승 공격이 가능한 이유도 여기에 있다.

2) 매우 복잡하게 코딩돼 있다. 클라우드 환경, 사용자 요청, 로컬 하드디스크 상황을 실시간으로 조율하는 기능이기 때문이다. 미니플라즈마도 이 복잡한 로직 중 파일 접근 차단과 관련된 특정 루틴인 HsmOsBlockPlaceholderAccess이 꼬이는 현상에 기인한다. ‘경합 조건’이라는 단서가 붙는 이유다.

경합 조건이 존재한다는 건 공격자 입장에서 ‘특정 조건이 맞아떨어져야 공격이 성공한다’는 의미로, 공격 성공률과 직결되는 문제라 할 수 있다. 공격 성공률을 제한하는 요소가 하나라도 없어야 공격자에게 좋은 것이기 때문에 미니플라즈마와 같은 조건부 취약점은 공격자에게 불리한 요소로서 작용하며, 실제 해커들 중 이런 류의 취약점을 선호하지 않는 경우가 많다.

하지만 이건 하나만 알고 둘은 모르는 공격자들의 이야기다. 오히려 이런 취약점을 선호하는 부류들도 존재하는데, 이는 ‘경합 조건’을 믿고 경계를 소홀히 하는 방어자들이 꽤나 많이 존재하기 때문이다. 즉 ‘조건부 성공률만 보장하는 취약점인데 어느 바보가 이걸 굳이 익스플로잇 하겠어?’라고 믿고 우선순위상 뒤로 밀어두는 보안 담당자들이 적지 않다는 것이고, 일부 공격자들은 이를 잘 이해하고 있다는 걸 시사한다. 방어자 심리에 대한 높은 이해도를 바탕으로 한 익스플로잇 공격은, 취약점의 CVSS 점수 높낮이와 상관없이 위험할 때가 많다.

어떻게 방어해야 하나?

해당 취약점은 현재 ‘제로데이 취약점’인 상태다. 따라서 MS의 공식 패치를 통한 해결책은 존재하지 않는다. 아직 실제 익스플로잇이 발견되지 않았다는 게 유일한 위안거리이나, 이 역시 그리 길게 유지되지 않을 가능성이 높다. 

때문에 공식 패치 발표 이전까지 보안 담당자들이 취해야 할 방법은 다음 몇 가지로 추려진다.

1) cldflt.sys 드라이버의 비활성화 : 관리자 권한으로 명령 프롬프트나 파워셸을 실행하여 [sc config cldflt start= demand]를 실행한다. 이 때 demand 대신 disabled를 입력하면 해당 드라이버가 완전히 꺼진다. 그 다음 시스템 재부팅으로 마무리한다.

2) 윈도 11 인사이더 프리뷰 카나리 빌드로 업데이트 한다. 아직 공식 버전은 아니지만 일부 보안 전문가들 사이에서 이 버전에서만큼은 익스플로잇이 통하지 않는다는 증언이 나오고 있으니 정말 위험이 예견된다면 이를 설치하는 것도 해봄직하다.

3) 이상 징후가 나타나는지 유심히 살핀다. 이 취약점은 ‘경합 조건’을 수반한다. 즉 공격 성공률이 높지 않다는 것이며, 조건에 맞추기 위해 공격자들이 무리하게 익스플로잇을 시도할 수 있다. 그 과정에서 컴퓨터가 갑자기 멈추거나 느려지거나 심지어 블루스크린이 뜰 수도 있다. 만약 이런 현상이 빈번해졌다면 즉시 컴퓨터를 끄고 네트워크로부터 분리해야 한다. 

4) 기본 보안 수칙을 지킨다. 특히 수상한 파일은 절대 열지 않는다는 보안 수칙을 기억할 필요가 있다. 조만간 윈도 업데이트가 진행될 텐데, 이 역시 즉각 적용하는 게 안전하다.🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• Microsoft Says Recent Windows Vulnerability Exploited as Zero-Day - SecurityWeek, 2024년
• Windows spoofing flaw exploited in earlier zero-day attacks - TechTarget, 2024년
• How a Windows zero-day was exploited in the wild for months (CVE-2024-43451) - Help Net Security, 2024년
• Windows Kernel Zero-day Patched after Six Months of Active Exploitation - Heimdal Security, 2024년

윈도 사용자 노린 SEO 포이즈닝, “가짜가 너무 진짜 같아”

💡Editor’s Pick - SEO 포이즈닝으로 소프트웨어 검색 결과 조작 - 다운로드 페이지, 진짜 가짜 구분 가지 않아 - 도메인 철자까지 교묘하게 바꿔...o대신 0 쓰기도 SEO 포이즈닝 기법을 통해 멀웨어를 유포하는 캠페인이 적발됐다. 이 공격은 중국어 윈도 사용자들을 노리고 있다고 보안 업체 포티넷(Fortinet)이 자사 블로그를 통해 경고했다. 발견된

더테크엣지(The Tech Edge)문가용 기자

윈도 생태계 겨냥한 대규모 악성 캠페인 주의보...아무 이메일 열면 안 돼

💡Editor’s Pick - 이메일로 악성 HTML 파일 전파돼 - 다운로드 버튼이 핵심...누르면 멀웨어 감염 - HTML이 파워셸 발동시켜...파워셸 완화가 중요 윈도 사용자들을 겨냥한 대규모 악성코드 유포 캠페인이 발견됐다. 보안 업체 포티넷(Fortinet)에서 발견해 세상에 알린 것으로, 이 공격에 당할 경우 피해자는 시스템 권한을 공격자에게 완전히 빼앗길 수

더테크엣지(The Tech Edge)문가용 기자