10년 전 Microsoft 레거시 취약점이 다시 위험해지는 이유: CISA KEV 등재와 기업 대응 전략

서론

CISA(Cybersecurity and Infrastructure Security Agency)는 10년 이상된 4가지 Microsoft 취약점을 KEV(Known Exploited Vulnerabilities) 카탈로그에 등록했습니다. 이는 한때 사라진 것으로 여겨졌던 레거시 취약점들이 다시 위험해지고 있음을 시사합니다. 특히 국내 기업·기관에서는 ERP 시스템 호환성, 내부망 격리, 자원 관리 부족 등의 이유로 여전히 레거시 시스템을 운영 중인 경우가 많아, 이번 CISA 조치는 즉각적인 대응이 필요합니다.

본 분석에서는 등록된 4가지 취약점의 기술적 특성과 현실적 위협, 그리고 기업 보안 담당자를 위한 실무적 대응 전략을 다룹니다.

독자 타겟

본 분석은 다음과 같은 기업 보안 담당자를 대상으로 작성되었습니다:
- 레거시 시스템(Windows XP, Server 2003, IE 6/7/8)을 운영 중인 기업
- ERP/시스템 호환성 문제로 최신 OS로 마이그레이션하지 못한 환경
- 내부망 격리 환경에서 보안 관리를 담당하는 인력
- 제한된 리소스와 예산으로 보안을 수행해야 하는 기업

본론

기술적 분석: 등록된 4가지 취약점

1. CVE-2010-0249 (Internet Explorer Use-After-Free)

기술적 세부사항:
- 취약점 유형: Use-After-Free (CWE-416)
- CVSS 3.1 점수: 8.8 (HIGH)
- 영향 제품: Internet Explorer 6, 7, 8
- 영향 운영체제: Windows 2000 SP4, Windows XP SP2/SP3, Windows Server 2003 SP2, Windows Vista, Windows Server 2008, Windows 7
- 악용 가능성: 원격 코드 실행 (Remote Code Execution)

취약점 메커니즘:
메모리에서 객체가 삭제된 후에도 해당 객체에 대한 포인터를 계속 참조하는 Use-After-Free 취약점입니다. 특히 HTML Object 처리 과정에서 메모리가 부적절하게 초기화되고 객체가 잘못 처리될 때 발생합니다.

역사적 악용 사례:
2010년 Operation Aurora 공격에서 활용된 바 있으며, 당시 Google, Adobe, Juniper Networks 등 다양한 기업들이 타겟이 되었습니다.

CISA 조치 기한: 2026년 6월 3일

기업 보안 담당자를 위한 실무적 의미:
ERP 시스템에서 IE 6/7/8을 사용하는 경우, 내부 사용자가 악성 웹사이트를 방문하거나 피싱 이메일 첨부파일을 실행하면 원격 코드 실행이 가능합니다. 내부망 격리가 되어 있어도 사용자의 실수로 악성코드가 유입될 수 있습니다.

2. CVE-2010-0806 (Internet Explorer Peer Objects)

기술적 세부사항:
- 취약점 유형: 자원 관리 오류 (CWE-399) / Use-After-Free (CWE-416)
- CVSS 3.1 점수: 8.8 (HIGH)
- 영향 제품: Internet Explorer 6, 6 SP1, 7
- 악용 가능성: 원격 코드 실행

취약점 메커니즘:
Peer Objects 처리 과정에서 메모리 관리 오류가 발생하여, 삭제된 객체에 대한 포인터를 계속 참조하는 취약점입니다. 특정 웹페이지를 방문하거나 악성 HTML 콘텐츠를 렌더링할 때 트리거될 수 있습니다.

CISA 조치 기한: 2026년 6월 3일

기업 보안 담당자를 위한 실무적 의미:
IE 기반 인증 시스템이나 레거시 웹 애플리케이션을 사용하는 기업에서, 악성 웹사이트 방문 또는 피싱 이메일 클릭 시 원격 코드 실행이 가능합니다.

3. CVE-2009-1537 (Microsoft DirectX QuickTime Movie Parser)

기술적 세부사항:
- 취약점 유형: 메모리 손상 (Memory Corruption)
- CVSS 3.1 점수: 8.8 (HIGH)
- 영향 제품: DirectX 7.0, 8.1, 9.0c
- 영향 운영체제: Windows 2000 SP4, Windows XP SP2/SP3, Windows Server 2003 SP2
- 악용 가능성: 원격 코드 실행
- Microsoft Security Bulletin: MS09-028

취약점 메커니즘:
DirectX 렌더링 엔진에서 QuickTime Movie Parser Filter(quartz.dll)를 사용하여 특수하게 조작된 QuickTime 미디어 파일이나 악성 웹콘텐츠를 처리할 때 버퍼 오버플로우가 발생하여 원격 코드 실행이 가능합니다. 특히 게임, 멀티미디어 콘텐츠, 웹 기반 3D 그래픽 등에서 악용될 수 있습니다.

CISA 조치 기한: 2026년 6월 3일

기업 보안 담당자를 위한 실무적 의미:
DirectX 기반 그래픽 렌더링을 사용하는 레거시 애플리케이션이나 멀티미디어 콘텐츠를 처리하는 시스템에서, 악성 미디어 파일 재생 시 원격 코드 실행이 가능합니다.

4. CVE-2008-4250 (Windows Server Service)

기술적 세부사항:
- 취약점 유형: 원격 코드 실행 (Remote Code Execution)
- CVSS 3.1 점수: 9.8 (CRITICAL)
- 영향 제품: Windows Server Service (srvsvc.dll)
- 영향 운영체제: Windows 2000 SP4, Windows XP SP2/SP3, Windows Server 2003 SP1/SP2, Windows Vista Gold/SP1, Windows Server 2008, Windows 7 Pre-Beta
- 악용 가능성: SMB 프로토콜을 통한 네트워크 공격

취약점 메커니즘:
SMB(Server Message Block) 프로토콜을 통해 원격 공격자가 특수하게 조작된 RPC 요청을 전송하여 Windows Server Service에서 원격 코드 실행이 가능합니다. 이 취약점은 Conficker 웜을 포함한 다양한 악성코드에 의해 악용된 바 있습니다.

CISA 조치 기한: 2026년 6월 3일

기업 보안 담당자를 위한 실무적 의미:
네트워크 공격자가 내부망에 침투하면, SMB 포트(445, 139)를 통해 다른 레거시 시스템으로 수평 이동(Lateral Movement)이 가능합니다. 내부망 격리가 되어 있어도, 한 대가 감염되면 전파될 수 있습니다.

레거시 시스템이 여전히 위험한 이유

국내 기업·기관에서 레거시 시스템이 여전히 운영되는 주요 이유는 다음과 같습니다:

1. ERP 호환성 문제

많은 기업 ERP 시스템은 특정 버전의 Internet Explorer나 DirectX에 의존합니다. 특히:
- ActiveX 기반 인증 시스템
- 레거시 웹 애플리케이션 (IE 전용)
- DirectX 기반 그래픽 렌더링 모듈
- OLE(Object Linking and Embedding) 기반 데이터 통합

이러한 시스템은 최신 브라우저나 DirectX 버전과 호환되지 않아, 시스템 개체가 어렵습니다.

기업 보안 담당자가 직면한 현실:
- ERP 시스템을 교체하는 데 수십억 원 이상의 비용이 소요
- 개발사가 해산하거나 기술 지원이 중단된 레거시 ERP 운영
- 호환성 테스트와 검증에 몇 달 이상 소요
- 업무 연속성을 위해 시스템 교체가 불가능한 경우

2. 내부망 격리의 오해

많은 기업이 내부망에서 레거시 시스템을 운영하며 "외부와 격리되어서 안전하다"고 생각합니다. 그러나:
- 내부 사용자의 악성 이메일 첨부파일 실행
- USB 드라이브를 통한 악성코드 유입
- VPN 연결을 통한 공격 경로
- 피싱 공격자 중심 공격(Targeted Attack)
- 내부자 위협 (Insider Threat)

내부망 격리는 보안의 첫 번째 방어선이지만, 완전한 해결책은 아닙니다.

기업 보안 담당자가 직면한 현실:
- 내부 사용자 보안 인식 교육 부족
- USB 포트 차단이 어려운 업무 환경
- VPN 접속 모니터링 리소스 부족
- 피싱 이메일 필터링 정교도 부족
- 내부자 악의적 행위 감지 어려움

3. 자원 관리 부족

IT 자원 관리가 미흡한 기업에서는 다음과 같은 문제가 발생합니다:
- 공급 보안 패치 적용 여부 불확실
- 잊혀진 서버 및 워크스테이션 존재
- 섀도우 IT(Shadow IT) 운영
- 보안 점검에서 제외되는 시스템
- EOL(End of Life)된 운영체제 운영

기업 보안 담당자가 직면한 현실:
- 보안 패치 적용을 위한 테스트 환경 부족
- 자산 관리 시스템이 도입되지 않음
- 보안 전담 인력 부족 (통합 IT 인력)
- 보안 예산이 최우선 순위가 아님
- 보안 점검 결과에 대한 후속 조치 부족

기업 보안 담당자를 위한 실무적 체크리스트

즉시 대응 (24시간 이내)

[ ] 취약한 시스템 식별

CVE-2010-0249, CVE-2010-0806: IE 6/7/8 사용 시스템 스캔

# 레지스트리에서 IE 버전 확인
Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Internet Explorer" | Select-Object Version

CVE-2009-1537: DirectX 7/8/9 사용 시스템 확인

# DirectX 버전 확인
Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\DirectX" | Select-Object Version

CVE-2008-4250: Windows Server Service 취약 버전 확인

# 운영체제 버전 확인
Get-WmiObject Win32_OperatingSystem | Select-Object Caption, Version

네트워크 스캔 및 자산 관리 도구 활용
- Nmap, Nessus, OpenVAS 등을 사용하여 네트워크 스캔
- LAN Sweep, Advanced IP Scanner 등으로 내부망 IP 스캔
[ ] 인터넷 연결 차단
레거시 시스템의 인터넷 연결 일시차단

프록시 서버 또는 방화벽에서 특정 시스템의 인터넷 접속 차단

# 방화벽 규칙 추가 (특정 IP 차단)
New-NetFirewallRule -DisplayName "Block Legacy System Internet" -Direction Outbound -RemoteAddress "0.0.0.0/0" -Action Block

VPN 접속 제한
[ ] SMB 포트 차단 (CVE-2008-4250)

방화벽에서 TCP 445, 139 포트 차단

# 방화벽 규칙 추가
New-NetFirewallRule -DisplayName "Block SMB (TCP 445)" -Direction Inbound -Protocol TCP -LocalPort 445 -Action Block
New-NetFirewallRule -DisplayName "Block SMB (TCP 139)" -Direction Inbound -Protocol TCP -LocalPort 139 -Action Block

내부 서버 간 SMB 통신 필터링

SMB 서비스 비활성화 검토

# SMB 서비스 비활성화
Stop-Service -Name LanmanServer -Force
Set-Service -Name LanmanServer -StartupType Disabled

단기 대응 (72시간 이내)

[ ] 패치 적용 현황 확인
Microsoft Security Bulletin 확인 (MS10-002, MS10-018, MS09-028, MS08-067)
- MS10-002: https://docs.microsoft.com/en-us/security-updates/securitybulletins/2010/ms10-002
- MS10-018: https://docs.microsoft.com/en-us/security-updates/securitybulletins/2010/ms10-018
- MS09-028: https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-028
- MS08-067: https://docs.microsoft.com/en-us/security-updates/securitybulletins/2008/ms08-067

패치 적용 여부 검토

# 설치된 업데이트 확인
Get-HotFix | Where-Object {$_.HotFixID -like "KB*"} | Sort-Object InstalledOn -Descending

패치 적용 불가 시 완화 조치(Mitigation) 검토
[ ] IE 사용 금지 (CVE-2010-0249, CVE-2010-0806)
Internet Explorer 사용 금지 정책 수립
최신 브라우저(Edge, Chrome)로 마이그레이션
- Edge: https://www.microsoft.com/edge
- Chrome: https://www.google.com/chrome
레거시 웹 애플리케이션 현대화 계획 수립

그룹 정책(GPO)을 통한 IE 사용 금지

# 그룹 정책 설정
# Computer Configuration > Administrative Templates > Windows Components > Internet Explorer
# Disable Internet Explorer 11: Enabled
# Disable Internet Explorer 10: Enabled

[ ] DirectX 렌더링 비활성화 (CVE-2009-1537)
DirectX 기반 콘텐츠 차단
렌더링 엔진 비활성화 또는 업데이트
대안 소프트웨어 고려

그룹 정책을 통한 DirectX 변환 비활성화

# 그룹 정책 설정
# User Configuration > Administrative Templates > Windows Components > Internet Explorer
# Turn off DirectX transformations: Enabled

[ ] 보안 모니터링 강화
이상 행위 탐지 규칙 추가
IDS/IPS 시그니처 업데이트

로그 분석 및 이벤트 모니터링

# 이벤트 로그 수집
Get-WinEvent -LogName Security | Where-Object {$_.Id -eq 4624} | Select-Object TimeCreated, Id, Message

장기 대응 (1주 이내)

[ ] 레거시 시스템 현대화 계획
ERP 시스템 최신 브라우저 호환성 개발
ActiveX 기반 기술 HTML5/JavaScript로 마이그레이션
레거시 운영체제 업그레이드 또는 교체
[ ] 보안 정책 수립
레거시 시스템 운영 가이드라인 수립
정기적 보안 점검 프로세스 확립
자산 수명주기 관리 정책 도입
[ ] 보안 인식 교육
레거시 시스템 위험성 교육
피싱 및 악성코드 탐지 교육
보안 사고 대응 훈련

즉시 대응 가능한 조치

1. IE 사용 금지 (CVE-2010-0249, CVE-2010-0806)

그룹 정책(Group Policy) 적용:

Computer Configuration > Administrative Templates > Windows Components > Internet Explorer
- Disable Internet Explorer 11: Enabled
- Disable Internet Explorer 10: Enabled

대안:
- Microsoft Edge (IE 호환 모드)
- Google Chrome
- Mozilla Firefox

실무적 팁:
- ERP 시스템에서 IE가 필수인 경우, IE 호환 모드(Enterprise Mode) 사용
- 점진적으로 레거시 웹 애플리케이션을 Edge/Chrome으로 이전

2. SMB 포트 차단 (CVE-2008-4250)

Windows 방화벽 규칙:

# 방화벽 규칙 추가
New-NetFirewallRule -DisplayName "Block SMB (TCP 445)" -Direction Inbound -Protocol TCP -LocalPort 445 -Action Block
New-NetFirewallRule -DisplayName "Block SMB (TCP 139)" -Direction Inbound -Protocol TCP -LocalPort 139 -Action Block

레지스트리 설정:

# NetBIOS 비활성화
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\NetBT\Parameters" -Name "TransportBindName" -Value "" -Type String

실무적 팁:
- 내부 서버 간 SMB 통신이 필요한 경우, IP 주소 기반 필터링 적용
- SMBv3 이상 사용 (레거시 시스템에서는 어려울 수 있음)

3. DirectX 렌더링 비활성화 (CVE-2009-1537)

그룹 정책 적용:

User Configuration > Administrative Templates > Windows Components > Internet Explorer
- Turn off DirectX transformations: Enabled

대안:
- HTML5 Canvas 또는 WebGL 기술 활용
- 최신 그래픽 라이브러리 사용

실무적 팁:
- DirectX가 필수인 레거시 애플리케이션의 경우, 가상화 환경(VDI)에서 격리 운영

결론

CISA가 10년 이상된 Microsoft 레거시 취약점을 KEV 카탈로그에 등록한 것은, 이러한 취약점이 여전히 악용되고 있으며 기업에 실질적 위협이 있음을 시사합니다. 특히 국내 기업·기관에서 ERP 호환성, 내부망 격리, 자원 관리 부족 등의 이유로 레거시 시스템을 운영 중인 경우, 즉각적인 대응이 필요합니다.

보안 담당자는 본 체크리스트를 활용하여 자산 식별부터 장기 대응까지 체계적으로 대응해야 하며, 특히 즉시 대응 가능한 조치(IE 사용 금지, SMB 포트 차단, DirectX 렌더링 비활성화)는 우선적으로 수행해야 합니다.

기업 보안 담당자를 위한 핵심 권고사항:
1. 자산 식별: 레거시 시스템을 명확히 식별하고 자산 관리
2. 즉시 완화: 패치 적용이 어려운 경우 완화 조치 우선 적용
3. 점진적 현대화: 장기적으로 시스템 현대화 계획 수립 및 실행
4. 보안 인식: 내부 사용자 보안 인식 교육 강화
5. 모니터링: 이상 행위 탐지 및 대응 체계 구축

참고자료

CISA Known Exploited Vulnerabilities Catalog
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
NVD National Vulnerability Database - CVE-2010-0249
https://services.nvd.nist.gov/rest/json/cves/2.0?cveId=CVE-2010-0249
NVD National Vulnerability Database - CVE-2010-0806
https://services.nvd.nist.gov/rest/json/cves/2.0?cveId=CVE-2010-0806
NVD National Vulnerability Database - CVE-2009-1537
https://services.nvd.nist.gov/rest/json/cves/2.0?cveId=CVE-2009-1537
NVD National Vulnerability Database - CVE-2008-4250
https://services.nvd.nist.gov/rest/json/cves/2.0?cveId=CVE-2008-4250
Microsoft Security Bulletin MS10-002
https://docs.microsoft.com/en-us/security-updates/securitybulletins/2010/ms10-002
Microsoft Security Bulletin MS10-018
https://docs.microsoft.com/en-us/security-updates/securitybulletins/2010/ms10-018
Microsoft Security Bulletin MS09-028
https://docs.microsoft.com/en-us/security-updates/securitybulletins/2009/ms09-028
Microsoft Security Bulletin MS08-067
https://docs.microsoft.com/en-us/security-updates/securitybulletins/2008/ms08-067

본 콘텐츠는 AI 기술로 생성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하시시면 댓글을 통해 소중한 의견 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.

10년 전 Microsoft 레거시 취약점이 다시 위험해지는 이유: CISA KEV 등재와 기업 대응 전략

10년 전 Microsoft 레거시 취약점이 다시 위험해지는 이유: CISA KEV 등재와 기업 대응 전략

서론

독자 타겟

본론

기술적 분석: 등록된 4가지 취약점

1. CVE-2010-0249 (Internet Explorer Use-After-Free)

2. CVE-2010-0806 (Internet Explorer Peer Objects)

3. CVE-2009-1537 (Microsoft DirectX QuickTime Movie Parser)

4. CVE-2008-4250 (Windows Server Service)

레거시 시스템이 여전히 위험한 이유

1. ERP 호환성 문제

2. 내부망 격리의 오해

3. 자원 관리 부족

기업 보안 담당자를 위한 실무적 체크리스트

즉시 대응 (24시간 이내)

단기 대응 (72시간 이내)

장기 대응 (1주 이내)

즉시 대응 가능한 조치

1. IE 사용 금지 (CVE-2010-0249, CVE-2010-0806)

2. SMB 포트 차단 (CVE-2008-4250)

3. DirectX 렌더링 비활성화 (CVE-2009-1537)

결론

참고자료

댓글 (0)

IT 도구 서랍

10년 전 Microsoft 레거시 취약점이 다시 위험해지는 이유: CISA KEV 등재와 기업 대응 전략

10년 전 Microsoft 레거시 취약점이 다시 위험해지는 이유: CISA KEV 등재와 기업 대응 전략

서론

독자 타겟

본론

기술적 분석: 등록된 4가지 취약점

1. CVE-2010-0249 (Internet Explorer Use-After-Free)

2. CVE-2010-0806 (Internet Explorer Peer Objects)

3. CVE-2009-1537 (Microsoft DirectX QuickTime Movie Parser)

4. CVE-2008-4250 (Windows Server Service)

레거시 시스템이 여전히 위험한 이유

1. ERP 호환성 문제

2. 내부망 격리의 오해

3. 자원 관리 부족

기업 보안 담당자를 위한 실무적 체크리스트

즉시 대응 (24시간 이내)

단기 대응 (72시간 이내)

장기 대응 (1주 이내)

즉시 대응 가능한 조치

1. IE 사용 금지 (CVE-2010-0249, CVE-2010-0806)

2. SMB 포트 차단 (CVE-2008-4250)

3. DirectX 렌더링 비활성화 (CVE-2009-1537)

결론

참고자료

인사이트를 이메일로 받아보세요

약관

댓글 (0)

IT 도구 서랍