CISA, KEV 카탈로그 업데이트로 두 가지 활발히 악용되는 취약점 경고

CISA, KEV 카탈로그에 두 가지 활발히 악용되는 취약점 추가

미국 사이버보안 및 인프라 보안국(CISA)은 알려진 악용 취약점(KEV) 카탈로그에 두 가지 새로운 취약점을 추가했습니다. 이 업데이트는 2026년 2월 20일에 발표되었으며, 실제 환경에서 활발한 악용 증거가 확인됨에 따라 연방기관과 조직이 신속하게 조치를 취해야 함을 강조하고 있습니다.

취약점 기술적 세부 사항

1. CVE-2024-21412 (CVSS: 8.1) – Microsoft Windows 인터넷 바로가기 파일 보안 기능 우회

   • 영향을 받는 소프트웨어: Microsoft Windows
   • 취약점 유형: 악의적인 인터넷 바로가기(.URL) 파일을 통한 보안 기능 우회
   • 악용 벡터: 공격자는 특별히 조작된 .URL 파일을 만들어 '웹의 표시(Mark of the Web, MotW)' 보호를 우회할 수 있으며, 이로 인해 보안 경고 없이 악성 스크립트가 실행될 수 있습니다.
   • 영향: 성공적인 악용 시 사용자 수준 권한으로 임의 코드 실행이 가능하며, 이로 인해 영향을 받는 시스템이 추가로 침해될 수 있습니다.

2. CVE-2023-29360 (CVSS: 7.8) – Microsoft Streaming Service Proxy 권한 상승

   • 영향을 받는 소프트웨어: Microsoft Windows Streaming Service Proxy
   • 취약점 유형: 로컬 권한 상승
   • 악용 벡터: 취약한 시스템에 접근 권한을 가진 저권한 공격자는 Streaming Service Proxy의 결함을 악용하여 SYSTEM 수준 권한으로 상승할 수 있습니다.
   • 영향: 이 취약점으로 인해 공격자는 침해된 호스트를 완전히 제어할 수 있으며, 네트워크 내에서의 횡적 이동(lateral movement) 또는 지속성(persistence)을 확보할 수 있습니다.

영향 분석

두 취약점 모두 현재 활발히 악용되고 있어, 패치되지 않은 시스템에 중대한 위험을 초래합니다. 특히 CVE-2024-21412는 피싱 또는 드라이브 바이 다운로드 공격을 통한 초기 접근(initial access)에 악용될 가능성이 높아 우려됩니다. 반면, CVE-2023-29360은 다른 취약점과 연계하여 시스템 완전 침해로 이어질 수 있습니다. CISA의 Binding Operational Directive(BOD) 22-01에 따른 연방기관은 2026년 3월 13일까지 이러한 취약점을 해결해야 하며, 모든 조직은 패치를 최우선으로 진행할 것을 강력히 권고합니다.

권장 사항

• 즉시 패치 적용: 조직은 CVE-2024-21412 및 CVE-2023-29360에 대한 Microsoft의 공식 패치를 지체 없이 배포해야 합니다.
• MotW 보호 강화: CVE-2024-21412의 경우, '웹의 표시(Mark of the Web, MotW)' 보안 기능을 활성화하고 적절히 구성하여 악성 .URL 파일을 차단해야 합니다.
• 악용 시도 모니터링: 네트워크 및 엔드포인트 탐지 규칙을 구현하여 비정상적인 프로세스 실행 또는 권한 상승 시도와 같은 잠재적 악용 시도를 식별해야 합니다.
• CISA KEV 카탈로그 정기 검토: KEV 카탈로그를 정기적으로 확인하여 활발히 악용되는 취약점에 대한 업데이트를 파악하고, 이에 따른 대응을 우선적으로 진행해야 합니다.

CISA가 이러한 취약점을 KEV 카탈로그에 추가한 것은 기업 환경에서 사전 예방적 취약점 관리의 중요성을 강조합니다. 이러한 취약점을 해결하지 않으면 조직이 고급 위협 행위자에 의한 표적 공격에 노출될 수 있습니다.