윈도우 넷로그온 심각 취약점 CVE-2026-41089, 이제 실제 공격에 악용 중

공개 개념 증명(PoC) 익스플로잇 코드가 깃허브에 등장했으며, 이는 과거 사례를 볼 때 보통 24~72시간 내에 대규모 자동 스캔 및 공격 확산을 초래하곤 합니다 . 조직들은 이미 자동화된 스캐닝 툴과 공격 코드가 유포되고 있다고 가정해야 합니다.

영향받는 윈도우 서버 버전

이 취약점은 2026년 5월 12일 이후 패치되지 않은, 넷로그온 서비스를 실행하는 모든 지원 대상 윈도우 서버 버전에 영향을 줍니다 . 여러 보안 업체와 NVD에 공개된 제품 목록에 따르면 다음과 같은 에디션이 취약합니다 :

• 윈도우 서버 2012 및 2012 R2 (Server Core 설치 포함)
• 윈도우 서버 2016
• 윈도우 서버 2019 (Server Core 포함)
• 윈도우 서버 2022 (21H2, 22H2, 23H2 에디션, Server Core 포함)
• 윈도우 서버 2025

이 문제는 MS-NRPC 핸들러에 존재하며 TCP 포트 445 또는 UDP 포트 389(CLDAP DC-로케이터 포트)를 통해 트리거될 수 있습니다. 즉, 인터넷에 직접 노출되었거나 네트워크에 연결된 표준 DC라면 공격 경로가 충분히 열려 있다는 뜻입니다 .

패치 현황

마이크로소프트 공식 보안 업데이트

마이크로소프트는 2026년 5월 12일자 보안 업데이트를 통해 CVE-2026-41089에 대한 패치를 출시했습니다 . 기업들은 윈도우 서버 빌드에 해당하는 업데이트를 지금 즉시 적용해야 합니다. Rapid7의 취약점 데이터베이스에 등록된 지원 대상 배포판별 KB 식별자는 다음과 같습니다 :

• 윈도우 서버 2012: KB5087470
• 윈도우 서버 2012 R2: KB5087471
• 윈도우 서버 2016 (1607): KB5087537
• 윈도우 서버 2019 (1809): KB5087538
• 윈도우 서버 2022 (21H2/22H2): KB5087545
• 윈도우 서버 2022 (23H2): KB5087541
• 윈도우 서버 2025 (24H2): KB5087539

이 취약점은 인증을 거치지 않고 악용되며 현재 활발하게 공격이 이루어지고 있으므로, 가능하다면 모든 DC를 단일 긴급 유지보수 시간 내에 한꺼번에 패치하는 것이 중요합니다 .

레거시 시스템을 위한 0patch 마이크로패치

공식 지원이 종료되어 더 이상 마이크로소프트 업데이트를 받을 수 없는 구형 윈도우 서버 운영 조직을 위해, Acros Security가 0patch 플랫폼을 통해 무료 마이크로패치를 배포했습니다 . 이 마이크로패치는 최소한의 수술적 수정을 가하는데, 관련 처리 과정에서 공격자가 통제하는 사용자명(Username) 문자열의 최대 크기를 절반으로 줄여 스택 오버플로우를 무력화합니다 .

0patch는 다음 버전에 대해 마이크로패치를 제공하고 있습니다:

• 윈도우 서버 2012 (Extended Security Update 미적용)
• 윈도우 서버 2012 R2 (Extended Security Update 미적용)

마이크로패치는 0patch 에이전트를 통해 배포되며 시스템 재부팅 없이 메모리 내에서 적용되므로, DC 재부팅 일정을 신중하게 조율해야 하는 환경에서 특히 유용할 수 있습니다. 0patch는 오랫동안 윈도우 서버 2008 R2, 2012, 2012 R2 등 지원 종료된 버전의 치명적인 취약점들에 대해 이와 같은 방식으로 대응해 왔습니다 .

긴급 완화 및 대응 지침

가장 중요한 점은, 패치는 취약한 코드 경로를 제거할 뿐이지 패치 전에 이미 CVE-2026-41089를 악용한 공격자를 찾아내거나 몰아내지는 못한다는 것입니다. CCB는 패치가 앞으로의 공격을 막아줄 뿐, 과거의 침해(past compromise)를 복구해 주지는 않는다고 명확히 경고하고 있습니다 .

CCB의 주요 권고 조치

1. 즉시 패치, 최우선 조치 — 마이크로소프트 2026년 5월 보안 업데이트를 모든 DC에 적용하십시오. 이는 현재 진행 중인 공격 시나리오이므로 다음 정기 점검 창까지 기다려서는 안 됩니다 .
2. 모니터링 및 탐지 강화 — DC를 겨냥한 의심스러운 활동, 특히 비정상적인 넷로그온 트래픽이나 평소와 다른 RPC 및 LDAP 패턴에 대한 모니터링을 대폭 강화하십시오 .
3. 이전 침해 가능성 가정 — 5월 12일 이후 패치를 적용하기 전까지 네트워크에 노출되어 있던 모든 DC는 침해 징후가 있는지 법의학적(Forensic) 관점에서 철저히 검토해야 합니다 .
4. 패치 윈도우 단축 — 가능한 한 짧은 유지보수 주기 내에 모든 DC를 신속하게 업데이트하십시오. 절반만 패치된 Active Directory 포레스트는 공격에 취약한 포레스트나 다름없습니다 .
5. 패치 후 재검증 — 패치 검증 스캔과 노출 평가를 다시 실행하여 취약한 DC가 여전히 접근 가능한 상태로 남아 있지 않은지 확인하십시오 .

추가 전문가 방어 조치

• DC 네트워크 분리 — 명시적으로 승인된 관리 및 인프라 트래픽만 DC에 도달할 수 있도록 네트워크 접근을 제한하십시오. 비신뢰 구간 및 인터넷 연결 세그먼트에서는 네트워크 경계와 내부 방화벽에서 넷로그온 관련 포트(TCP 445, UDP 389)를 차단하십시오.
• 네트워크 계층에서 넷로그온 트래픽 제한 — 호스트 방화벽을 넘어, 네트워크 수준의 접근 제어를 통해 취약한 프로토콜로 DC에 연결 시도 자체를 제한하십시오.
• 권한 접근 경로 강화 — DC에 대한 권한 접근 계정을 검토하고 최소화하십시오. DC의 SYSTEM 권한이 탈취되면 보통 곧바로 자격증명 탈취 및 내부 확산으로 이어집니다 .
• 공격 후 활동 모니터링 — 비정상적인 서비스 동작, 예기치 않은 DC 재부팅, LSASS(Local Security Authority Subsystem Service) 크래시 발생 여부, 새로운 관리자 계정 생성 시도, 비정상적인 커버로스 티켓 요청 등을 주시하십시오. 이는 익스플로잇 및 후속 공격 단계를 암시할 수 있습니다 .
• 완전한 '침해 가정' 태세 전환 — 철저한 법의학적 검토가 완료될 때까지, 이전에 패치되지 않았던 모든 DC를 잠재적으로 침해된 것으로 간주하고 대응하십시오.

참고 사항: EPSS 점수와 인식의 함정

CVE-2026-41089의 EPSS(공격 예측 점수 시스템) 확률이 한때 0.09%로 낮게 보고된 바 있지만 , EPSS는 과거 데이터를 기반으로 훈련된 확률 모델일 뿐입니다. 이미 실제 공격에서 악용 중인 것이 확인된 상황을 고려하지 못합니다. CCB와 같은 국가 사이버보안 기관이 실제 악용 경고를 발령하면, 조직들은 통계적 예측보다는 확인된 위협 활동에 기반하여 우선순위를 매겨 즉각 대응해야 합니다.