나이트메어 이클립스 제로데이 연쇄 공격: 윈도우 취약점 6건 중 3건 여전히 미패치

익스플로잇 요약 및 패치 현황

2026년 5월 말까지 6개 중 3개의 취약점이 패치되었다. 나머지 세 개는 미해결 상태로 남아 있으며, 특히 MiniPlasma가 가장 직접적인 운영 리스크를 제기한다.

MiniPlasma는 특히 위험한데, 2026년 5월 최신 업데이트를 모두 적용한 시스템에서 표준 사용자가 SYSTEM 레벨의 권한을 획득할 수 있게 해주기 때문이다. 이 익스플로잇은 BlueHammer가 공략했던 동일한 cldflt.sys 클라우드 파일 드라이버를 노리며, 마이크로소프트가 2020년에 완전히 패치했다고 주장했지만 연구원은 결코 완전히 고쳐지지 않았다고 주장하는 기존 취약점을 다시 촉발한다.

연구원의 동기: MSRC에 대한 저항

연구원은 이번 공개가 MSRC의 부당한 대우에 대한 보복임을 노골적으로 밝혔다. 공개 성명과 보도에 따르면, 이전에 비공개로 제출했던 보고서들이 묵살되거나, 지나치게 더디게 처리되었으며, 심지어 익스플로잇에 대한 영상 시연을 요구하는 등 연구자가 과도하다고 느낄 만한 요구를 받았다고 한다. 연구원의 발언으로 반복적으로 인용되는 문구에는 "MSRC가 내 인생을 망치겠다고 말했고, 실제로 그렇게 했다"라는 주장이 포함되어 있다.

이후 공개 시점이 철저히 계산적이었다는 점도 주목할 만하다. YellowKey와 GreenPlasma는 5월 패치 화요일 직후인 5월 12일에 공개되었고, MiniPlasma는 5월 17일에 공개되어 가용한 패치가 없는 상태에서 노출을 극대화하고 압박을 가하도록 설계된 것이 명백하다.

마이크로소프트의 대응과 법적 위협

5월 27일, 마이크로소프트는 *"함께 지켜야 할 책임: 협력적 취약점 공개(Coordinated Vulnerability Disclosure)를 통한 고객 보호"*라는 제목의 블로그 게시물을 게재했다. 이 게시물은:

• 공개된 6가지 익스플로잇을 모두 "책임감 없는 공개"라고 명명했다.
• 보안 커뮤니티에 협력적 취약점 공개(CVD) 관행을 준수할 것을 촉구했다.
• 무기화된 익스플로잇의 공개가 법적 결과를 초래할 수 있다는, 마이크로소프트 디지털 범죄 대응 부서의 은근한 위협을 포함했다.

마이크로소프트의 이러한 강경한 발언은 갈등을 격화시켰을 뿐, 핵심 문제를 해결하지는 못했다. 세 개의 제로데이는 여전히 패치되지 않은 채로 남아 있었던 것이다. 코드가 호스팅되던 플랫폼들, 즉 5월 23일경의 깃허브와 며칠 후의 깃랩은 해당 연구원의 계정을 정지시키는 방식으로 조치를 취했다.

실제 악용 사례와 기관의 비상 경고

4월 중순까지, 처음 공개된 세 가지 디펜더 익스플로잇은 모두 실제 공격에 사용되고 있었다. 헌트레스와 바라쿠다는 위협 행위자들이 깃허브 공개 저장소에서 PoC 코드를 직접 가져와 사용하며, 러시아에 위치한 것으로 추정되는 인프라를 활용한 정황을 포착했다.

CISA는 신속히 대응했다. BlueHammer는 4월 22일에 KEV 목록에 추가되었으며, 연방 기관에는 5월 6일까지 패치 기한이 주어졌다. RedSun과 UnDefend도 이후 추가되어 6월 3일 기한이 설정되었다. 이러한 조치는 깊은 우려를 반영한다. 보안 도구 자체가 공격 벡터가 되는 순간, 전통적인 방어 모델은 근본적인 균열을 맞게 된다.

커뮤니티의 반응: 붕괴된 취약점 공개 절차

사이버 보안 커뮤니티는 엇갈린 평가를 내놓았다.

연구원에 대한 비판은 바라쿠다, 쓰렛락커, 레벨블루 등에서 제기되었으며, 이 캠페인을 위험하고 역효과를 낳는 행위로 규정했다. 패치가 존재하지 않는 상태에서 무기화된 익스플로잇을 공개적으로 배포하는 것은 기업 사용자들을 즉각적인 위험에 빠뜨리는 행위이기 때문이다.

마이크로소프트에 대한 비판 또한 만만치 않았다. 많은 연구원들은 이 모든 사태가 좀 더 존중하고 신속하게 반응하는 MSRC 프로세스만 있었다면 피할 수 있었을 것이라고 지적했다. 이번 사건은 느린 분류, 불투명한 의사소통, 기업의 포상금 제도에 맞지 않는 제보자에 대한 적대적인 태도 등 MSRC에 대한 오랜 불만들을 재점화했다.

하나의 극적인 아이러니가 존재한다. 마이크로소프트는 세 개의 익스플로잇이 패치되지 않은 상태에서 한 연구원을 상대로 법적 조치를 위협했다. 이에 대해 여러 해설자들은 이 행동이 실질적 해결보다 보여주기 식에 가깝고, 우선순위가 잘못되었다고 비판했다.

향후 전망

연구원은 잠잠해졌지만 완전히 침묵한 것은 아니다. 플랫폼 접근 권한을 잃은 후, 그들은 개인 블로그로 이동했으며, 다음 패치 화요일인 7월 14일에 또 한 번의 대량 공개를 하겠다고 노골적으로 위협했다. 그 위협의 신빙성은 아직 알 수 없지만, 그 패턴은 이미 확립되었다.

보안 팀들에게 당장의 최우선 과제는 명확하다. 디펜더 긴급 패치를 적용하고, YellowKey 완화 조치( WinRE 이미지의 BootExecute 레지스트리 값에서 autofstx.exe 항목을 제거하고 BitLocker에 TPM+PIN 보호 활성화)를 이행하며, MiniPlasma를 아직 공식 수정 사항이 없는 실존하는 위협으로 간주해야 한다. 향후 패치 화요일에 맞춰 추가적인 PoC가 배포될 가능성에 대비하고, 공격자들이 이제 체계적으로 노리고 있는 디펜더 구성 요소에 대한 보완 통제 수단을 준비해야 한다.

나이트메어 이클립스 사건은 단순히 여섯 개의 취약점에 관한 것이 아니다. 이 사건은 플랫폼 공급업체와 그들이 의존하는 연구원들 간의 관계에 대한 극한의 내구성 시험이다. 그 관계가 붕괴될 때, 그 결과는 공개적이고, 악용 가능하며, 그리고 심각하다.