핵심 요약
- Microsoft가 2026-06-10 패치 화요일에 YellowKey, GreenPlasma, MiniPlasma 제로데이 세 건을 동시에 패치했다.
- YellowKey와 GreenPlasma는 완전 패치된 Windows에서 SYSTEM 권한을 탈취할 수 있고, MiniPlasma는 BitLocker 보호 드라이브 접근을 허용한다.
- 세 취약점 모두 공개 시점 이전에 실제 공격에서 익스플로잇된 정황이 확인되어, 6월 정기 업데이트는 가용 즉시 배포가 권고된다.
익스플로잇이 입증된 세 종의 제로데이가 권한 모델과 디스크 암호화라는 두 축을 동시에 흔든다는 점에서 이번 패치 묶음의 우선순위는 평년 6월보다 한 단계 상향된다.
2026년 6월 Microsoft의 정기 보안 업데이트에는 이름이 비슷한 제로데이 세 건이 묶여 포함됐다. SYSTEM 권한 상승을 허용하는 YellowKey와 GreenPlasma, BitLocker로 잠긴 드라이브 접근을 허용하는 MiniPlasma는 모두 패치 공개 이전에 공격 현장에서 사용된 흔적이 확인됐다. 이번 글은 세 취약점의 기술적 경로와 영향 범위를 정리하고, 실무자가 패치 배포와 보완 통제에서 어떤 순서를 따라야 하는지 단계적으로 안내한다.
배경: 6월 패치 화요일과 제로데이 세 건의 의미
격식체에서 ‘묶인 것’은 피동 표현이 어색하므로 ‘묶여 배포된’으로 조정하고, 팩트 ‘배포’ 사실을 반영 Microsoft Security Response Center의 공지에 따르면 세 취약점은 각각 다른 권한 경로를 뚫기 때문에, 어느 한 쪽만 차단해도 나머지 표면이 남는 구조다.
왜 SYSTEM 권한과 BitLocker 우회가 동시에 중요한가
SYSTEM 권한은 Windows의 최상위 운영 권한으로, 이를 탈취한 공격자는 EDR 정책, 레지스트리 보호, AMSI 등 대부분의 클라이언트 측 보안 통제를 사실상 무력화할 수 있다. 여기에 BitLocker 우회까지 결합되면, 디스크 이미지를 추출해 오프라인에서 추가 크리덴셜을 복원하는 시나리오가 가능해진다. 권한 탈취와 정적 데이터 접근이 한 패치 묶음 안에서 함께 다뤄진다는 점에서 단일 취약점 합산 대비 위협 가치가 커지는 것으로 분석된다.
익스플로잇 확인 시점과 패치 공개까지의 타임라인
Bleeping Computer의 1차 보도에 따르면 세 취약점 모두 패치 배포일인 2026-06-10 이전에 실제 공격 환경에서 익스플로잇이 관찰됐다. 즉, 익스플로잇 코드나 PoC가 공개된 제로데이가 아니라 Microsoft가 내부 보고와 위협 인텔리전스 협력을 통해 사전에 인지한 사안이다. 패치 배포 시점과 익스플로잇 관찰 시점 사이의 시간 차이는 크지 않을 가능성이 있으며, 공개 후 이차 익스플로잇이 빠르게 늘 수 있다는 점에서 노출 시간이 길어질수록 위험이 커지는 것으로 보인다.
취약점별 기술 분해
세 취약점은 명명만 비슷할 뿐 트리거 지점과 결과가 다르다. 운영 환경에서 어떤 코드 경로가 표적이 되는지 구분해 이해해야 우선순위가 정확해진다.
YellowKey: SYSTEM 권한 상승 경로와 트리거 조건
YellowKey는 Windows 커널 구성 요소에서 권한 검증이 충분하지 않은 경로를 통해 SYSTEM 권한으로 상승을 허용하는 취약점으로 분류된다. 로컬에서 낮은 권한 셸을 확보한 공격자가 인증된 사용자 세션에 트리거를 실행하면, 시스템 프로세스의 토큰 컨텍스트로 작업이 재개될 수 있다. 익스플로잇이 확인된 만큼 사용자 계정에서 시스템 계정으로의 횡적 이동이 가능한 전형적인 권한 상승 패턴을 따른다.
GreenPlasma: SYSTEM 권한 상승 경로와 트리거 조건
GreenPlasma는 YellowKey와 마찬가지로 SYSTEM 권한 상승을 허용하지만, 영향을 미치는 코드 경로가 다르다. 공개된 정보를 종합하면 서비스 제어 경로의 권한 위임 단계에서 정상 사용자 토큰과 시스템 토큰의 경계가 깨지는 형태에 가까우며, 특정 서비스의 시작 옵션을 변조해 시스템 컨텍스트에서 임의 코드가 실행되도록 유도할 수 있다. 두 취약점이 동시에 존재하는 환경에서는 한쪽이 패치되지 않는 한 다른 쪽의 경로가 살아남는다는 점에서 묶음 패치의 의미가 커진다.
MiniPlasma: BitLocker 보호 드라이브 접근 메커니즘과 데이터 노출 범위
MiniPlasma는 권한 상승이 아니라 BitLocker로 암호화된 드라이브에 대한 접근 권한을 얻는 방향의 취약점이다. 정상적으로는 볼륨 마운트와 복호화 키 핸들이 시스템 보호 컨텍스트에서만 처리되지만, 해당 경로의 검증이 약화될 경우 권한이 낮은 사용자도 보호 볼륨에 대한 읽기 접근을 시도할 수 있다. 결과적으로 노트북 분실·탈취 시나리오뿐 아니라, 도메인에 가입된 엔드포인트가 침해된 뒤 오프라인 분석용 디스크 이미지를 추출하는 흐름이 현실화된다.
영향 범위와 우선 패치 대상
세 취약점은 모두 Windows 플랫폼 전반에 영향을 줄 수 있어, 단순히 최신 에디션 여부보다 배포 채널과 워크로드 특성에 따라 우선순위를 다르게 책정해야 한다.
영향 Windows 버전과 에디션 정리
Microsoft Security Update 가이드(2026-06 기준)에 따르면 영향 범위는 데스크톱 클라이언트와 서버 SKU를 모두 포함한다. 아래 표는 실무자가 우선순위를 잡을 때 참고할 수 있는 요약이다.
- 클라이언트: Windows 11 24H2/23H2, Windows 10 LTSC 계열이 모두 영향 권역 안에 포함된다.
- 서버: Windows Server 2022/2025 핵심 에디션과 Datacenter Azure Edition이 패치 대상이다.
- 가상화: Hyper-V 호스트와 게스트 통합 서비스가 활성화된 가상 머신에서도 SYSTEM 권한 상승 시나리오가 유효하다.
서버·엔드포인트·원격 근무 환경별 노출 시나리오
서버 환경에서는 관리자 권한으로 로그인된 세션이 드물지 않다는 점에서 권한 상승의 가치가 낮아 보일 수 있으나, Microsegmentation이 미흡한 데이터센터에서는 횡적 이동의 시발점이 된다. 엔드포인트 환경에서는 로컬 사용자 셸을 확보한 랜섬웨어 행위자가 SYSTEM 권한과 BitLocker 접근을 동시에 손에 넣을 수 있어 피해 규모가 커진다. 원격 근무 환경은 분실·도난 단말이 디스크 이미징에 그대로 노출된다는 점에서 MiniPlasma의 영향이 특히 두드러진다.
실무 대응 절차
패치 배포만으로 충분하지 않다는 판단이 지배적이다. 통제 다층화와 키 보호 강화를 함께 추진해야 잔여 위험을 관리 가능한 수준으로 끌어내릴 수 있다.
패치 배포 우선순위 가이드
- 1순위(72시간 이내): 외부에 노출된 엔드포인트, 도난·분실 위험이 높은 노트북 및 모바일 단말을 우선 패치한다.
- 2순위(1주 이내): 도메인 컨트롤러, 인증 서버, Hyper-V 호스트 등 횡적 이동 가치가 높은 인프라를 묶음 패치한다.
- 3순위(다음 정기 윈도우): 폐쇄망과 OT 게이트웨이, 변경 관리 승인 사이클이 엄격한 시스템은 검증 후 적용한다.
컴파일먼트 통제: EDR 정책, 권한 분리, BitLocker 키 보호 강화
EDR 정책 측면에서는 SYSTEM 토큰을 사용하는 신규 프로세스 생성 이벤트를 베이스라인과 비교하는 탐지 규칙을 강화할 필요가 있다. 권한 분리 측면에서는 로컬 관리자 그룹을 최소화하고, 표준 사용자 모델과 LAPS(Local Admin Password Solution) 도입을 점검해야 한다. BitLocker 키 보호 측면에서는 TPM + PIN 모드를 활성화하고, 복구 키는 Entra ID 또는 전용 키 관리 시스템에 분리 보관해 MiniPlasma 시나리오의 데이터 노출 범위를 축소한다.
향후 모니터링 포인트
이번 묶음의 명명 컨벤션과 익스플로잇 관찰 사실은 향후 업데이트 사이클의 우선순위 판정에 단서를 제공한다.
유사 명명 제로데이의 출현 패턴과 명명 컨벤션 관찰
YellowKey, GreenPlasma, MiniPlasma는 임의의 별칭처럼 보이지만, 한 패치 묶음 안에서 두 글자 단어 + 명사 형태의 명명이 반복되는 패턴은 위협 인텔리전스 측의 분류와 맞물려 있다. 향후 정기 업데이트에서도 동일 컨벤션을 따르는 제로데이 묶음이 등장할 가능성이 있으며, 동일 명명군이 한 사이클 안에 동시 출현하면 권한·암호화·네트워크 중 최소 두 축을 흔든다고 해석할 수 있다.
익스플로잇 후속 활동 추적 지표와 탐지 아이디어
SYSTEM 권한이 확보된 직후에는 보통 svchost, lsass, winlogon 등 시스템 프로세스의 자식 프로세스가 비정상적인 위치에서 생성되는 패턴이 관측된다. BitLocker 접근 시나리오는 보호 볼륨에 대한 handle 요청이 낮은 무결성 수준에서 발생하는 이벤트와, 정상 사용 시간대가 아닌 시점의 디스크 I/O 급증을 동시에 잡으면 탐지 신뢰도를 높일 수 있다. 위협 헌팅에서는 YellowKey, GreenPlasma의 익스플로잇 관련 IoC가 추가 공개되는 즉시 차단 규칙에 반영해야 한다.
정리
2026년 6월 패치 화요일의 핵심은 익스플로잇 입증이 끝난 제로데이 세 건이 한 묶음으로 처리된다는 점이다. YellowKey와 GreenPlasma는 SYSTEM 권한 상승 경로를, MiniPlasma는 BitLocker 보호 드라이브 접근 경로를 제공하기 때문에, 어느 한 쪽만 패치해서는 권한 모델과 디스크 암호화가 동시에 흔들리는 잔여 위험이 남는다. 클라이언트 우선 패치와 인프라 단계적 적용, EDR 탐지 강화, BitLocker 키 분리 보관까지를 한 사이클에 묶어 추진하는 것이 이번 6월의 합리적인 대응 절차로 판단된다.