Microsoft Defender 제로데이 취약점 실제 악용: 두 개는 아직 패치 불가, 대응 방안은?

사건 개요: Microsoft Defender 제로데이 3종 실전 악용 경고

보안 기업 Huntress는 최근 Microsoft Defender에서 발견된 3가지 보안 취약점이 해커들에 의해 실제 활용되고 있음을 경고했습니다. 이번 제로데이(패치 이전에 정보가 공개된 취약점)는 연구원 Chaotic Eclipse가 발견 후 공개했으며, 해킹 공격자들이 이를 이용해 침해된 시스템에서 관리자 권한을 획득하고 있습니다.

특히, 세 취약점 중 두 개는 아직 Microsoft에서 공식 패치가 제공되지 않아 Windows 사용자들의 노출 위험이 높은 상황입니다.

취약점 상세: BlueHammer, RedSun, UnDefend의 특징

각 제로데이 취약점은 고유한 특성과 공격 방식이 있습니다.

BlueHammer는 Microsoft Defender 보안 영역을 역이용해 관리자 권한 획득에 악용됩니다.

RedSun은 시스템 프로세스 사이의 통신 결함을 이용해 보호된 영역에 접근할 수 있습니다.

UnDefend는 Defender의 실시간 보호 기능을 우회하거나 비활성화해 검열 및 감지를 무력화합니다.

모두 Chaotic Eclipse가 독립적으로 발견 후 커뮤니티에 공개했으며, 곧바로 높은 관심을 받았습니다.

공격 시나리오: 권한 상승 및 침해 위험성

최근 발생한 공격 사례는 일정한 흐름을 따릅니다. 우선, 공격자는 이미 취약하거나 피싱 등으로 침해된 시스템에 초기 접근 권한을 얻습니다.

이후, 확보한 접근 권한을 토대로 앞서 언급한 취약점 중 하나를 악용해 관리자 권한으로 올라섭니다(BlueHammer, RedSun이 특히 권한 상승에 활용됨).

마지막으로, SYSTEM 권한을 얻게 된 해커는 민감 정보 탈취, 추가 악성코드 유포, 조직 내부 다른 시스템 침투까지 가능합니다.

Huntress 보고에 의하면 실제 공격자들이 이미 취약점 활용 코드를 변형해 사용하고 있어, 미패치 상태는 심각한 위험을 의미합니다.

패치 및 대응 현황: Microsoft와 보안 커뮤니티의 조치

Microsoft 보안 대응 센터는 취약점 인지 및 패치 개발에 집중하고 있습니다. 하지만 현재 RedSun, UnDefend는 여전히 공식 업데이트가 나오지 않았습니다.

보안 업계는 임시로 탐지 규칙 및 침해 지표(IOC)를 공유하고, 모니터링을 강화하는 상태입니다. Microsoft도 공식 블로그를 통해 대응 상황을 공지하는 한편, 사용자 대상 임시 보안 설정 가이드를 제공 중입니다.

권고사항: 실무자 및 조직이 취할 실질적 대응책

보안 실무와 조직 담당자가 실천할 실질 대응법은 다음과 같습니다.

• 최신 보안 업데이트 확인 및 적용: Microsoft가 제공한 업데이트가 있다면 즉시 적용, 미패치 취약점에 대해선 지속 감시 필요.
• 탐지 규칙 반영 강화: Huntress 등 보안 기업의 권고를 근거로 공격 탐지 정책을 즉시 갱신(관리자 권한 상승 등 의심 로그 상시 점검).
• 이상 행위 모니터링 강화: PowerShell 실행, 레지스트리, 서비스 생성 등 변동사항에 대한 로깅과 정기적 검토 필수.
• 최소 권한 원칙 준수: 필요 없는 관리자 권한 부여는 제한해 피해 범위 축소.
• 침해 대응 체계 점검: 사고 발생 시 대응 절차(격리, 증거 수집, 복구 등)를 준비해 신속한 조치가 가능해야 함.

결론 및 보안 인사이트

Antivirus·보안 솔루션조차 공격 표면이 될 수 있음을 이번 사건이 여실히 보여줍니다. 결국, 취약점 패치 불가 상황에선 실질적 예방과 선제적 탐지, 피해 최소화가 더욱 중요해졌습니다.

현시점에서 RedSun, UnDefend 취약점이 실제로 이용되고 있다는 점을 무겁게 받아들이고, 즉각적인 보안 조치를 권고합니다. 앞으로도 제로데이 보안 위협에 늘 경계심을 갖고, 신속 대응 역량을 갖추는 것이 핵심입니다.

참고 출처: The Hacker News, Microsoft Security Response Center (MSRC), Huntress Threat Report