실제 공격에 사용된 Microsoft Defender 제로데이 취약점 2건

2026년 5월, 미국 사이버보안 및 인프라 보안국(CISA)은 Microsoft Defender 관련 취약점 두 건을 실제 공격에서 악용되고 있다는 근거를 확인한 뒤 Known Exploited Vulnerabilities(KEV) 카탈로그에 추가했다. 문제의 취약점은 CVE‑2026‑41091과 CVE‑2026‑45498으로, 각각 **권한 상승(Privilege Escalation)**과 서비스 거부(Denial‑of‑Service) 공격을 가능하게 한다.

두 취약점 모두 이미 공격에 사용된 정황이 확인되었기 때문에 보안 기관과 기업 보안팀에 긴급 패치 적용 권고가 내려졌다.

CVE‑2026‑41091: 링크 처리 오류로 발생하는 로컬 권한 상승

CVE‑2026‑41091은 Microsoft Defender의 핵심 구성요소인 Microsoft Malware Protection Engine에서 발견된 로컬 권한 상승(Local Privilege Escalation, LPE) 취약점이다. 문제의 원인은 파일 접근 전에 심볼릭 링크를 잘못 해석하는 ‘link following’ 취약점이다.

심각도

• CVSS 점수: 7.8 (High)
• 공격 유형: 로컬 권한 상승
• 악용 여부: 실제 공격에서 사용 확인

취약점 동작 방식

Malware Protection Engine은 파일을 검사하는 과정에서 파일 경로 대신 심볼릭 링크가 가리키는 실제 파일을 잘못 처리할 수 있다. 공격자가 이 동작을 악용하면 Defender 엔진이 수행하는 파일 접근 작업을 조작할 수 있다.

이 취약점을 성공적으로 이용하면 공격자는 SYSTEM 권한을 획득할 수 있으며, 이는 Windows 시스템에서 가장 높은 수준의 권한이다. 결국 시스템의 기밀성, 무결성, 가용성 전체가 손상될 가능성이 있다.

취약한 엔진 버전은 다음과 같다.

• Microsoft Malware Protection Engine: 1.1.26030.3008 ~ 1.1.26040.7

이 엔진은 Defender의 탐지·검사 기능을 담당하며 높은 권한으로 실행되기 때문에 취약점 악용 시 시스템 전체가 장악될 수 있다.

CVE‑2026‑45498: Microsoft Defender 서비스 거부 취약점

두 번째 취약점인 CVE‑2026‑45498은 Microsoft Defender에서 서비스 거부(DoS) 상태를 유발할 수 있는 문제다.

심각도

• CVSS 점수: 약 4.0 (Medium)
• 공격 유형: 서비스 거부
• 악용 여부: 패치 이전 실제 공격 확인

취약점 영향

공개된 기술 세부 사항은 제한적이지만, 공격자는 해당 취약점을 이용해 Microsoft Defender가 정상적으로 동작하지 못하도록 만들 수 있다.

이 경우 보안 소프트웨어가 중단되거나 비정상 상태에 빠져 엔드포인트 보호 기능이 약화될 수 있다. 공격자는 이를 이용해 추가 악성코드 실행이나 침입 활동을 진행할 가능성이 있다.

영향받는 Defender 및 엔진 버전

보안 권고에 따르면 다음 버전 이전의 Defender 구성요소가 영향을 받을 수 있다.

• Microsoft Malware Protection Engine: 1.1.26040.8 이전 버전
• Microsoft Defender 플랫폼: 4.18.26040.7 이전 버전

해당 버전보다 최신 업데이트를 설치하면 취약점이 해결된다.

Microsoft 패치 배포 방식

Microsoft는 2026년 5월 보안 업데이트를 통해 두 취약점을 수정했다. 패치는 Defender의 자동 보안 인텔리전스 및 플랫폼 업데이트 메커니즘을 통해 배포됐다.

대부분의 Windows 시스템에서는 Defender 업데이트가 자동으로 적용되기 때문에 사용자가 별도 조치를 하지 않아도 최신 버전으로 업데이트되는 경우가 많다. 하지만 기업 환경에서는 업데이트 정책 때문에 패치 적용이 지연될 수 있어 관리자 확인이 필요하다.

CISA KEV 등록과 정부 기관 대응 기한

CISA는 2026년 5월 20일 두 취약점을 Known Exploited Vulnerabilities 카탈로그에 공식 등록했다.

미국 연방 민간 행정부(FCEB) 기관은 **Binding Operational Directive 22‑01(BOD 22‑01)**에 따라 다음 기한까지 조치를 완료해야 했다.

• 패치 적용 마감: 2026년 6월 3일

이 지침은 취약한 시스템에 대해 다음 중 하나를 수행하도록 요구한다.

• 공급업체 패치 적용
• 완화 조치 적용
• 완화가 불가능할 경우 취약 제품 사용 중단

더 큰 맥락: Microsoft 제품을 노리는 지속적 공격

2026년 동안 Microsoft 제품을 노린 취약점 악용 사례는 계속 증가하고 있다. 보안 연구자와 정부 기관들은 Windows와 기업용 소프트웨어를 대상으로 한 다양한 공격 캠페인을 보고했다.

2026년 5월 CISA KEV 업데이트에서도 Defender 취약점과 함께 과거 Windows 및 Adobe 취약점이 동시에 추가되었다. 이는 오래된 취약점과 새 취약점 모두가 여전히 공격에 활용되고 있다는 현실을 보여준다.

보안팀이 기억해야 할 핵심 포인트

이번 사건은 중요한 사실을 다시 보여준다. 보안 소프트웨어 자체도 공격 대상이 될 수 있다는 점이다.

Defender처럼 시스템 전반에서 높은 권한으로 실행되는 보안 도구에 취약점이 존재하면 공격자는 그 취약점을 이용해 전체 시스템을 장악할 수 있다.

따라서 조직은 다음을 우선적으로 점검해야 한다.

• Defender 플랫폼 및 엔진 자동 업데이트 활성화
• 엔드포인트 보안 구성요소 최신 패치 유지
• KEV 카탈로그 취약점의 패치 우선순위 지정

특히 이번 사례처럼 취약점이 공개되기 전에 이미 공격에 사용된 경우, 패치 이전 기간 동안 시스템이 노출되었을 가능성도 고려해야 한다.