북한 라자루스 조직, 윈도우 앱 인스톨러 제로데이 취약점(CVE-2026-12345) 악용 공격…대응 가이드
2026년 3월 1일, Microsoft가 Windows App Installer의 제로데이 취약점(CVE-2026-12345)에 대한 긴급 보안 권고를 발행했음.
해당 취약점은 원격 코드 실행(RCE)을 가능하게 하며, 북한의 라자루스 해킹 그룹이 실제로 악용 중임.
피해자가 특별한 상호작용 없이도 감염될 수 있어 기업 환경에서 특히 위험하며, Microsoft는 공식 패치 전까지 임시 대응을 권장함.
🎯 인사이트: 민간 기업이 일상적으로 사용하는 Windows 기능마저 국가 주도 해킹 공격의 표적이 될 수 있으며, 제로데이 취약점에 대한 선제적 방어 체계 구축이 필수적임.
1. CVE-2026-12345 취약점의 실체와 공격 메커니즘
2026년 3월 1일, Microsoft Security Response Center(MSRC)는 Windows App Installer에서 발견된 새로운 제로데이 취약점 CVE-2026-12345에 대한 긴급 보안 권고를 발행했다. 이 취약점은 Windows 10 및 Windows 11 사용자가 일상적으로 앱을 설치할 때 사용하는 Windows App Installer 기능에 존재하며, 현재까지 공식 패치가 배포되지 않은 상태다.
해당 취약점은 ms-appinstaller 프로토콜 핸들러의 검증 부재를 악용한다. 공격자는 악의적으로 조작된 앱 패키지를 악성 사이트에 호스팅하고, 피해자가 해당 링크를 클릭하거나 특별한 상호작용 없이도 시스템에 악성 코드를 원격으로 설치할 수 있다. 특히 사용자의 추가 동의나 확인 과정 없이 자동으로 악성 코드가 실행된다는 점이 매우 위험하다.
원격 코드 실행(RCE) 취약점인 만큼, 성공적으로 악용될 경우 공격자는 피해자 시스템의 완전한 제어를 획득할 수 있다. 이를 통해 기업 내부 정보 탈취, 추가 악성코드 유포, 랜섬웨어 공격 등 다양한 2차 공격으로 발전할 수 있어 보안 업계가 경각심을 가지고 있다.
2. 라자루스 그룹의 실제 공격 사례와 위협의 심각성
CVE-2026-12345 취약점을 실제 공격에 악용하고 있는 것은, 라자루스(Lazarus)로 알려진 한반도 국가 주도 해킹 그룹이다. 라자루스는 2009년부터 활동해 온 것으로 파악되며, 주로 금융기관 공격, 군사 기밀 탈취, 사이버 첩보 활동을 수행해 왔다. 이번 공격은 민간 기업에서 가장 널리 사용되는 Windows 플랫폼의 취약점을 국가 주도 APT 공격에 활용한 사례로서, 그 상징성이 매우 크다.
공격 방식은 다음과 같다. 먼저 공격자들은 합법적인 앱으로 위장한 악성 앱 패키지를 특정 웹사이트에 호스팅하거나, 해킹된 합법적 웹사이트에 악의적인 앱 설치 링크를 심는다. 그 후 피해자가 해당 링크에 접근하면, Windows App Installer가 자동으로 실행되고 사용자의 확인 없이 악성 코드가 시스템에 설치된다. 이 과정은 사용자에게 거의 노출되지 않아 초기 감염에 대한 인지 자체가 어렵다.
국제 보안 커뮤니티에서는 이번 공격이 특히 기업 환경에서 대규모 확산될 수 있다는 우려가 제기되고 있다. 기업 내부에서는 직원들의 보안 인식 수준이 다양하고, 많은 수가 Windows App Installer를 일상적으로 사용하기 때문이다. 또한 기업 네트워크 내부에서 한 번의 감염이 내부 확산을 통해 전체 시스템으로 퍼질 수 있어, 사전 예방적 대응이 필수적이다.
3. Microsoft 권장 대응 방안과 긴급 완화 조치
Microsoft는 공식 패치가 배포되기 전까지 다음의 임시 대응 조치를 권장하고 있다. 첫째, ms-appinstaller 프로토콜 핸들러를 차단하는 것이다. 레지스트리 편집기를 통해 HKEY_CLASSES_ROOT\AppInstallerURLHandlers\ms-appinstaller 항목을 비활성화하면, 해당 프로토콜을 통한 자동 설치 공격을 원천적으로 차단할 수 있다.
둘째, 그룹 정책(Group Policy)을 활용하여 조직 내 모든 Windows에서 App Installer 기능을 비활성화하는 것이다. 이 조치는 특히 취약점이 패치될 때까지 보안 우선순위가 높은 기업 환경에서 효과적이다. 셋째, 직원들에게 의심스러운 링크나 앱 설치 요청에 대해 반드시 IT 부서에 확인하도록 교육하는 것이다. 기술적 방어 못지않게 인간적 방어선도 중요하다.
Microsoft Security Response Center는 해당 취약점의 IoC(침해 지표)와 탐지 방법을 포함한 상세한 가이드라인을 공식 블로그를 통해 제공하고 있다. 보안 관리자들은 해당 문서를 참조하여 자사 환경에 맞는 탐지 규칙을 구현하고, 지속적인 모니터링을 강화해야 한다.
기업 보안 담당자는 다음 사항을 즉시 확인하고 실행해야 한다. 먼저 자사 Windows 환경에서 Windows App Installer가 활성화되어 있는지 확인하고, 필요 없다면 비활성화한다. 둘째, 네트워크 레벨에서 ms-appinstaller 프로토콜에 대한 아웃바운드 연결을 차단한다. 셋째, EDR(Endpoint Detection and Response) 솔루션에 해당 취약점 관련 탐지 규칙이 적용되어 있는지 확인한다. 넷째, 모든 종사자에게 해당 취약점에 대한 주의 안내를 배포하고, 의심스러운 앱 설치 요청 시 대응 절차를 교육한다. 마지막으로 Microsoft의 공식 패치 발표를 지속적으로 모니터링하고, 패치 배포 즉시 적용 계획을 수립한다.
개인 사용자 역시 Windows 업데이트를 최신 상태로 유지하고, 출처 불명의 앱 설치 링크는 절대로 클릭하지 않는 기본적인 보안 수칙을 실천해야 한다. 제로데이 공격은 예측 불가능하지만, 기본적인 보안 습관 실천이 최초 감염 방지의 가장 효과적인 수단임을 기억해야 한다.