Windows 메모장에서 발견된 치명적 취약점, 클릭 한 번에 컴퓨터 장악

무슨 일이 있었나

마이크로소프트는 2026년 2월 패치 화요일(Patch Tuesday)을 통해 Windows 메모장(Notepad)의 심각한 보안 취약점을 긴급히 패치했다. 이 취약점은 CVE-2026-20841로 등록되었으며, 발견 즉시 심각도 상위권으로 분류되었다.

제로 데이 이니셔티브(Zero Day Initiative)의 분석에 따르면, 이 취약점은 마크다운 파일을 처리할 때 링크 검증이 부적절하게 수행되면서 발생했다. 공격자는 특수하게 조작된 마크다운 파일을 만들고, 사용자가 이를 메모장에서 열어 링크를 클릭하도록 유도하면 된다. 그뿐이다. 사용자의 컴퓨터에서 마음대로 코드가 실행된다.

취약점의 기술적 상세

메모장은 오래전부터 단순한 텍스트 편집기였다. 그러나 최신 Windows 버전에서는 개선된 메모장이 기본 제공되며, 마크다운 렌더링, Copilot 강화 기능 등이 추가되었다. 바로 이 새로운 기능들이 문제를 낳았다.

마크다운 파일의 확장자가 .md일 때 메모장은 자동으로 렌더링 모드로 전환한다. 이 과정에서 링크를 처리할 때 sub_140170F60() 함수가 관여하는데, 이 함수가 링크 값을 필터링하면서 ShellExecuteExW() 호출로 전달한다. 문제는 이 필터링이 불충분하다는 것이다.

특히 문제가 되는 것은 file:// 및 ms-appinstaller:// 프로토콜이다. 정상적인 마크다운 링크는 웹 URL을 위해 사용되지만, 공격자는 file:// 프로토콜을 통해 로컬 파일을 실행하거나, ms-appinstaller://를 통해 악의적인 앱을 설치할 수 있다.

영향을 받는 버전

이번 취약점은 다음 Windows 버전에 영향을 미친다:

• Windows 11 24H2 및 이전 버전
• Windows 10 최신 패치 미적용 환경

마이크로소프트는 이번 패치로 CVE-2026-20841을 포함해 총 70개 이상의 보안 취약점을 해결했다.

보안 대응 방안

1. 즉시 Windows 업데이트 적용: 설정 → Windows 업데이트에서 최신 패치를 다운로드하고 설치한다. 이것이 가장 효과적인 방어 수단이다.

2. 출처 불명의 .md 파일 주의: 인터넷에서 다운로드한 마크다운 파일, 특히 출처를 알 수 없는 파일은 메모장으로 열지 않는다. 필요하다면 메모장 대신 VS Code나 일반 텍스트 편집기를 사용한다.

3. 안티바이러스 실시간 보호 활성화: 대부분의 보안 소프트웨어가 유사한 공격을 탐지할 수 있다. 실시간 보호가 켜져있는지 확인한다.

4. 링크 클릭 주의: 모르는 파일을 메모장에서 열었을 때 렌더링된 링크는 절대 클릭하지 않는다.

전문가들의 분석

보안 전문가들은 이번 취약점이 ‘사용자 참여 필요’ 공격이라는 점에서 피싱이나 랜섬웨어보다 탐지가 어렵다고 경고한다. 사용자가 직접 파일을 열고 링크를 클릭해야 한다는 조건이 필요하지만, 일단 성공하면 시스템 전체가 침해될 수 있다.

특히 기업 환경에서는 직원들이 업무 문서로 위장한 악의적인 마크다운 파일을 받을 가능성이 있다. IT 관리자들은 내부 사용자에게 이번 취약점에 대한 경고를 즉시 전해야 한다.

향후 전망

이번 사건은 단순한 앱의 버그가 심각한 보안 사고로 이어질 수 있음을 보여주는 사례다. 평범한 도구일수록 사람들은 경계를 낮추기 마련인데, 해커들은 바로 이 점을 공략한다. 앞으로 유사한 기본 앱 취약점이 더 발견될 가능성이 있다. 시스템을 최신 상태로 유지하는 것이 유일한 방어다.