CVE-2026-8863: 믿었던 서명이 발목 잡다—시큐어 부트 우회 취약점의 전말

실제로 Positve Technologies의 조사에 따르면, 이 취약한 심을 포함한 제품 목록에는 WhiteCanyon WipeDrive, Baramundi Management Suite, PC-Doctor Service Center, 핀란드 대학입학 자격시험 시스템 ‘Abitti’ 등이 포함되어 있습니다 . 이러한 도구들은 한 번 설치되면 지워지지 않고 EFI 시스템 파티션에 영구적인 백도어가 될 수 있는 오래된 부트로더를 남깁니다.

이들이 여전히 위험한 이유는 SBAT(Secure Boot Advanced Targeting) 미지원 때문입니다. SBAT는 보안에 문제가 생긴 부트로더의 특정 버전만 콕 집어 차단하는 ‘철회 프레임워크’인데, 0.9 이하 구버전 심들은 이걸 아예 이해하지 못합니다 . 그 결과, 아무리 보안 업데이트로 새로운 정책을 내려보내도 이 ‘구닥다리’ 심들은 무시하고 멀쩡하게 실행되어 버리는 것입니다.

부트로더판 ‘취약점 가져오기(BYOVD)’ 공격

이 취약점을 악용하는 방법은 원격에서 뚫는 해킹과는 거리가 멉니다. 공격자는 반드시 먼저 시스템의 관리자 권한을 확보하거나 부팅 과정 자체를 변조할 수 있는 물리적/논리적 접근 권한을 가지고 있어야 합니다 .

이후 공격은 ‘취약한 드라이버 직접 가져오기(BYOVD)’ 기법과 판박이입니다. 공격자는 멀쩡한 윈도우의 구성 요소를 감염시키는 대신, 마이크로소프트 서명이 남아있는 (그래서 보안 검사를 그냥 통과하는) 오래된 심 부트로더를 가져와 부팅 과정에 심습니다. PC가 켜질 때 UEFI 펌웨어는 이 낡은 심의 디지털 서명이 유효하다고 판단하고 아무 의심 없이 실행 권한을 줍니다. 바로 그 순간부터 공격자는 PC의 모든 주도권을 쥐게 되며, 이를 OS 로드 전 임의 코드 실행(arbitrary pre-OS code execution) 이라고 부릅니다 .

OS 밑바닥을 노리는 공격, 그 파괴력과 탐지의 어려움

이러한 사전 부팅 단계 공격의 목표는 흔히 부트킷(Bootkit) 으로 이어집니다 (MITRE ATT&CK T1542.003). 부트킷은 운영체제보다 먼저 실행되어 커널이나 파일 시스템 아래에 몸을 숨기므로, 윈도우를 다시 설치해도 살아남을 수 있고 대부분의 백신 탐지를 우회합니다 .

이 취약점을 통해 공격자가 실제로 할 수 있는 짓은 무궁무진합니다:

• 윈도우 디스크 암호화 비트로커(BitLocker)를 무력화
• 부팅할 때마다 자동으로 악성 커널 드라이버를 주입하여 지속적 감시/정보 탈취
• 완전한 시스템 장악 후 랜섬웨어를 실행하거나 전체 네트워크로 수평 이동을 위한 교두보 확보

이러한 감염을 완전히 치료하려면 OS 재설치로는 부족하고 시스템의 UEFI 펌웨어 자체를 완전히 초기화(리플래시) 해야 하는 경우가 많습니다. 그만큼 근본적이고 위험한 취약점입니다. Rapid7의 평가에 따르면 이 취약점의 CVSS v3.1 기본 점수는 7.8(High) 로, 기밀성, 무결성, 가용성에 모두 심각한 영향을 미칠 수 있다고 판단했습니다 .

‘또 한 번’의 데자뷔: 끝나지 않은 UEFI 신뢰 싸움

CVE-2026-8863은 결코 동떨어진 사건이 아닙니다. 지난 몇 년간 UEFI를 노린 공격은 꾸준히 진화해 왔습니다.

• 부트홀(BootHole, CVE-2020-10713, 2020년): 리눅스 부트로더 ‘GRUB2’의 취약점으로 시큐어 부트를 우회한 사례
• 블랙 로터스(BlackLotus, 2022년): 윈도우 부트 매니저의 취약점을 파고들어 UEFI 부트킷을 심은 악명 높은 공격 툴

더 큰 그림을 보면, 이번 사태는 때마침 마이크로소프트의 2011년판 UEFI CA 인증서 만료(2026년 6월 27일) 라는 거대한 변화와도 맞물려 있습니다 . 마이크로소프트는 2026년을 기점으로 2023년판 새 인증서로 생태계 전체를 이주시키려 하고 있지만, 전 세계 조직들의 대응 속도는 제각각입니다. 이 인증서 만료와 심 취약점의 동시 대응은 기업 IT 담당자들에게 연쇄적 혼란을 야기할 수 있는 위험 요소입니다 .

해결의 실마리, 하지만 쉬운 길은 없다: DBX 업데이트와 기업의 생존 가이드

이 취약점을 해결하는 방법은 일반적인 윈도우 업데이트 설치와는 궤가 다릅니다. 핵심 대책은 UEFI 금지 서명 데이터베이스(DBX) 업데이트를 적용해 취약한 구형 심의 암호화 해시 값을 펌웨어 차원에서 등록하고, 부팅 시 실행 자체를 원천 차단하는 것입니다 .

하지만 무턱대고 적용했다간 듀얼 부팅 시스템이 멈추거나, 특정 산업용 도구가 부팅되지 않는 대참사가 벌어질 수 있습니다. 기업 IT 팀이 꼭 따라야 할 6단계 필수 조치를 정리했습니다.

1. 사전 시범 배포(파일럿 테스트): 실제 업무 환경 적용 전, 비업무용 테스트 그룹에서 DBX 업데이트를 미리 배포하세요. 오래된 심에 의존하던 진단 도구나 복구 도구는 없는지 반드시 확인해야 합니다 .
2. 써드파티 부트로더 전수 감사: 자산 관리 도구를 이용해 모든 PC의 EFI 시스템 파티션을 스캔하고, 취약한 심을 지닌 것으로 확인된 제품(디스크 초기화 툴, 시스템 관리 에이전트 등)이 없는지 교차 검증하세요 .
3. 듀얼 부팅(윈도우+리눅스) 시스템 사전 점검: 특히 구버전 리눅스 배포판을 함께 사용하는 시스템은 DBX 업데이트 후 부팅이 완전히 막힐 위험이 매우 큽니다. 배포판 제조사가 제공하는 최신 ‘심’ 패키지로 업데이트를 먼저 완료해야 합니다 .
4. 소프트웨어 벤더와 직접 협력: 취약한 심을 사용 중인 벤더(WhiteCanyon, Baramundi 등)에게 연락해 시큐어 부트와 호환되는 업데이트된 부트로더 버전을 먼저 확보하세요. 구버전 부트로더를 DBX로 차단하기 전에 새 버전을 설치해야 합니다 .
5. 비트로커 복구 키 사전 확보: 시큐어 부트 정책의 어떤 변경도 비트로커 복구 모드 진입을 유발할 수 있습니다. 전사 배포 전에 모든 시스템의 복구 키가 안전하게 백업되고 헬프데스크에서 접근 가능한지 꼭 확인하세요.
6. 단계적 배포 전략(업데이트 링): IT 부서 → 일부 파일럿 부서 → 전체 조직 순으로 단계를 나누어 배포하고, 매 단계마다 부팅 무결성 문제가 없는지 철저히 모니터링해야 합니다.

CVE-2026-8863은 ‘서명’이라는 신뢰의 증표가 오히려 독이 될 수 있음을 보여준 결정적 교훈입니다. 시큐어 부트의 견고함은 결국 그 신뢰 체인에 묶여 있는 수많은 써드파티 코드들의 건강함에 달려 있습니다. 이제 기업 보안 담당자에게 부팅 전 환경에 대한 감시와 신속한 DBX 철회 적용은 선택이 아닌, 시스템 무결성을 지키기 위한 필수 과제가 되었습니다.