기술

마이크로소프트, 한 달 만에 윈도우 보안 취약점 570개 수정 — 대부분 AI가 발견

Adrian Kessler

마이크로소프트가 역대 최대 규모의 보안 업데이트를 발표했습니다. 더욱 특이한 점은 이렇게 대규모 업데이트가 가능했던 배경에 공격자를 앞서기 위해 수비수가 사용해야 할 바로 그 도구가 사용됐다는 사실입니다. 이번 패치 화요일(Patch Tuesday)은 윈도우 및 관련 제품 전반에 걸쳐 570개의 보안 취약점을 해결했는데, 이는 지금까지의 월간 릴리스 중 가장 큰 폭으로 앞선 수치입니다. 마이크로소프트는 이러한 급증세를 2025년 초부터 자사 코드베이스를 스캔해 온 AI 기반 취약점 발견 도구 덕분이라고 설명했습니다.

이러한 스캐닝의 실질적인 결과는 빠르게 누적됐습니다. 2026년 첫 7개월 동안 마이크로소프트는 1,308개의 취약점을 패치했는데, 이는 지난해 같은 기간 해결한 약 650개에 비해 거의 두 배에 달하는 수치입니다. 마이크로소프트 엔지니어링 부사장 톰 갤러거(Tom Gallagher)는 5월 AI 도구가 계속해서 문제를 찾아내면서 고객은 더 큰 월간 업데이트를 기대해야 한다고 경고한 바 있습니다. 7월 수치는 그 예측을 그대로 입증했습니다.

570개의 취약점이 모두 동일한 위험을 지니는 것은 아니지만, 그중 3개는 제로데이(패치가 나오기 전에 이미 알려진 버그)로 분류됩니다. 이 중 2개는 이미 공격자에 의해 악용되고 있습니다. CVE-2026-56164는 셰어포인트 서버(SharePoint Server)의 권한 상승 취약점으로, 미국 사이버보안 및 인프라 보안국(CISA)이 마이크로소프트 패치 전부터 활발히 악용되고 있다고 경고한 바 있습니다. CVE-2026-56155는 액티브 디렉터리 페더레이션 서비스(Active Directory Federation Services)에서 유사한 권한 상승 문제입니다. 세 번째 제로데이는 공개적으로 알려졌으나 아직 활발히 악용되지는 않았습니다.

570개 취약점 중 26개는 CVSS 기본 점수가 10점 만점에 9.0 이상이며, 그중 13개는 9.8점입니다. 특히 눈에 띄는 것은 CVE-2026-48561입니다. 마이크로소프트 코파일럿(Microsoft Copilot)의 원격 코드 실행 취약점으로 점수는 9.6점이며, 이는 원격 공격자가 사용자 상호작용 없이 영향을 받는 시스템에서 임의 코드를 실행할 수 있음을 의미합니다. 마이크로소프트는 이 취약점의 악용 가능성을 ‘더 높음’으로 설명했습니다.

AI 기반 발견 스토리에는 한 가지 주의점이 있습니다. 버그를 더 빨리 찾는 것이 더 빨리 또는 더 안전하게 수정한다는 것을 의미하지는 않는다는 점입니다. 이 정도 규모의 월간 업데이트는 그 자체로 위험을 수반합니다. 패치 패키지가 더 커지면 테스트 시간이 더 많이 필요하고, 호환성 문제가 발생할 가능성이 높아지며, 기업 환경 전반에 배포하는 데 더 많은 IT 리소스가 필요합니다. 예측 가능한 월간 주기에 맞춰 패치 배포를 자동화한 조직은 이제 훨씬 더 무거운 부담을 관리하고 있습니다.

마이크로소프트의 윈도우 리더십은 이러한 추세가 곧바로 역전되지 않을 것이라고 밝혔습니다. AI 스캐닝 도구가 개선되고 코드베이스의 오래된 부분에 적용됨에 따라 새로 발견되는 레거시 취약점의 수는 당분간 높은 수준을 유지할 것으로 예상됩니다. 2026년 업데이트 이력을 보면 마이크로소프트 자체도 이를 예상하고 있었음을 알 수 있습니다. 패치 수가 공개적으로 급증하기 오래전인 2024년 말부터 AI 기반 코드 검토를 점진적으로 확대해 왔기 때문입니다.

2026년 7월 패치는 윈도우 업데이트(Windows Update)를 통해 제공됩니다. 기업 환경의 경우 마이크로소프트는 활발히 악용되는 두 개의 제로데이와 코파일럿 RCE를 가장 시급한 수정 사항으로 우선 지정했습니다. 셰어포인트 또는 AD FS(액티브 디렉터리 페더레이션 서비스) 배포 환경을 패치하지 않은 조직은 표준 패치 주기와 관계없이 이를 최우선 업데이트로 처리해야 합니다.

태그: , , , , ,

토론

댓글 0개가 있습니다.