CISA, KEV 카탈로그 업데이트로 4개 활발히 악용되는 취약점 경고

CISA, KEV 카탈로그에 4개 활발히 악용되는 취약점 추가

미국 사이버보안 및 인프라 보안국(CISA)은 Known Exploited Vulnerabilities(KEV) 카탈로그에 4개의 새로운 취약점을 추가했다고 발표했습니다. 2026년 2월 17일에 발표된 이번 업데이트는 조직이 신속하게 대응 조치를 취해야 할 긴급성을 강조합니다.

취약점 기술 세부 사항

새롭게 추가된 취약점은 다음과 같습니다:

1. CVE-2008-0015 – Microsoft의 Server Message Block(SMB) 프로토콜 구현에서 발생하는 버퍼 오버플로우 결함으로, 시스템 수준 권한으로 원격 코드 실행(RCE)을 허용합니다. 이 레거시 취약점은 최신 패치가 적용되지 않은 시스템을 대상으로 한 지속적인 악용 시도로 인해 재부각되었습니다.

2. CVE-2024-21412 – Microsoft Windows 인터넷 바로가기 파일(Internet Shortcut Files)의 보안 기능 우회 취약점입니다. 이 결함을 악용하면 공격자가 Mark-of-the-Web(MotW) 보호를 우회하여 악의적인 .url 파일을 통해 악성 페이로드를 전달할 수 있습니다.

3. CVE-2024-21410 – Microsoft Exchange Server의 권한 상승 취약점으로, cmdlet 인수 검증 미흡으로 인해 발생합니다. 성공적인 악용 시 공격자는 시스템 권한을 상승시켜 전체 시스템 침해로 이어질 수 있습니다.

4. CVE-2024-21413 – Microsoft Outlook의 원격 코드 실행 취약점으로, 특별히 조작된 이메일을 부적절하게 처리함으로써 발생합니다. 공격자는 이 결함을 악용하여 피해자의 사용자 세션 컨텍스트에서 임의 코드를 실행할 수 있습니다.

영향 분석

이번 KEV 카탈로그 추가로 인해, 이러한 취약점들이 APT(Advanced Persistent Threat) 그룹 및 랜섬웨어 운영자 등 위협 행위자에 의해 활발히 악용되고 있음을 알 수 있습니다. 특히 Exchange Server, Outlook, 레거시 Windows 시스템 등 패치가 적용되지 않은 Microsoft 제품을 사용하는 조직은 다음과 같은 위험에 노출될 수 있습니다:

• RCE 또는 권한 상승을 통한 무단 시스템 접근
• 네트워크 내 횡적 이동으로 인한 데이터 유출 또는 랜섬웨어 배포
• MotW 보호 우회 등 보안 제어 회피로 인한 은밀한 악성코드 전달

보안 팀을 위한 권고 사항

CISA는 Binding Operational Directive(BOD) 22-01에 따라 연방 민간 집행 기관(FCEB)에 2026년 3월 10일까지 이러한 취약점을 패치할 것을 명령했습니다. 민간 조직 역시 다음과 같은 조치를 취할 것을 강력히 권고합니다:

• 영향을 받는 모든 Microsoft 제품에 대해 즉시 패치를 적용하며, 특히 인터넷에 노출된 시스템을 우선시합니다.
• CISA의 KEV 카탈로그를 검토하여 추가적인 맥락과 완화 지침을 확인합니다.
• 네트워크를 모니터링하여 이러한 CVE와 연관된 침해 지표(IoC)를 탐지합니다. 특히 비정상적인 SMB 트래픽(CVE-2008-0015) 또는 의심스러운 .url 파일 다운로드(CVE-2024-21412)를 주의 깊게 관찰합니다.
• 최소 권한 원칙을 적용하고 중요 시스템을 분리하여 잠재적 악용의 영향을 제한합니다.

자세한 내용은 CISA의 공식 경보를 참조하십시오.