서론
Microsoft Defender에서 서비스 거부(DoS) 취약점(CVE-2026-45498)이 발견되었습니다. 이 취약점은 NVD(National Vulnerability Database)에서 CVSS v3.1 기준 7.5 HIGH 점수를 부여했으나, Microsoft는 4.0 MEDIUM 점수로 평가하는 등 평가 기관 간에 차이가 있습니다. CISA KEV(취약점 카탈로그)에 등록되어 적극적인 조치가 필요합니다.
본론
1. 취약점 기술적 분석
CVE-2026-45498은 Microsoft Defender 내부의 지정되지 않은(unspecified) 취약점으로, 공격자가 이를 악용하여 서비스 거부(DoS)를 유발할 수 있습니다.
DoS(Denial of Service) 원리:
DoS 공격은 시스템의 리소스를 고갈시키거나 비정상적인 동작을 유도하여 정상적인 서비스를 중단시키는 공격 방식입니다. Microsoft Defender의 경우, 보안 스캐너/백신 엔진의 취약점을 악용하여 다음과 같은 DoS 상황을 유발할 수 있습니다.
- CPU 과부하: 악의적인 파일이나 명령어를 통해 스캔 작업을 반복시켜 CPU 사용량을 급격히 높임
- 메모리 누수: 버퍼 오버플로우나 잘못된 메모리 처리로 시스템 메모리를 고갈
- 프로세스 멈춤: Defender 서비스(예: MsMpEng.exe, Sense.exe)가 충돌하거나 응답하지 않음
- 시스템 응답 지연: 보안 검사 과정에서 무한 루프나 처리 지연 발생
2. 영향 범위
이 취약점은 Microsoft Defender가 설치된 모든 시스템에 영향을 줄 수 있습니다.
영향받는 시스템:
- Windows 10/11 기본 제공 Windows Defender
- Microsoft Defender for Endpoint (엔터프라이즈 환경)
- Microsoft Defender Antivirus (Microsoft 365, Exchange, SharePoint 등 포함)
- 클라우드 기반 Microsoft Defender 서비스 (영향 여부 확인 필요)
구체적 영향 버전 범위:
NVD에 따르면, 이 취약점은 다음 버전 범위에 영향을 줍니다.
- 제품: microsoft:defender_antimalware_platform
- 시작 버전: 4.18.26030.3011 (포함)
- 종료 버전: 4.18.26040.7 (미포함)
영향 범위 특성:
- 공격 벡터 차이: NVD는 네트워크(AV:N)로 평가하나, Microsoft는 로컬(AV:L)로 평가
- 권한 불필요: 공격에 사용자 권한(PR:N)이 필요 없음
- 사용자 상호작용 불필요: 사용자 클릭이나 실행(UI:N)을 요구하지 않음
3. CVSS 점수 및 심각도
이 취약점은 평가 기관에 따라 점수 차이가 있습니다.
NVD(National Vulnerability Database) 평가:
CVSS v3.1 주요 점수: 7.5 HIGH
CVSS 벡터: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
| 구분 | 점수 | 설명 |
|---|---|---|
| Attack Vector (AV) | Network (N) | 네트워크를 통한 원격 공격 가능 |
| Attack Complexity (AC) | Low (L) | 공격 복잡도가 낮음 |
| Privileges Required (PR) | None (N) | 공격에 권한 불필요 |
| User Interaction (UI) | None (N) | 사용자 상호작용 불필요 |
| Scope (S) | Unchanged (U) | 영향 범위가 확장되지 않음 |
| Confidentiality (C) | None (N) | 기밀성에 영향 없음 |
| Integrity (I) | None (N) | 무결성에 영향 없음 |
| Availability (A) | High (H) | 가용성에 높은 수준의 영향 |
Microsoft 평가:
CVSS v3.1 하위 점수: 4.0 MEDIUM
CVSS 벡터: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
| 구분 | 점수 | 설명 |
|---|---|---|
| Attack Vector (AV) | Local (L) | 로컬 시스템에서만 공격 가능 |
| Attack Complexity (AC) | Low (L) | 공격 복잡도가 낮음 |
| Privileges Required (PR) | None (N) | 공격에 권한 불필요 |
| User Interaction (UI) | None (N) | 사용자 상호작용 불필요 |
| Scope (S) | Unchanged (U) | 영향 범위가 확장되지 않음 |
| Confidentiality (C) | None (N) | 기밀성에 영향 없음 |
| Integrity (I) | None (N) | 무결성에 영향 없음 |
| Availability (A) | Low (L) | 가용성에 낮은 수준의 영향 |
평가 차이 분석:
두 기관 간 평가 차이는 다음과 같습니다.
- 공격 벡터(AV): NVD는 네트워크(AV:N)로 평가하나, Microsoft는 로컬(AV:L)로 평가
- NVD 관점: 원격 공격 가능성을 고려
- Microsoft 관점: 로컬 환경에서의 공격만 가능하다고 판단
- 가용성 영향도(A): NVD는 높음(A:H)으로 평가하나, Microsoft는 낮음(A:L)으로 평가
- NVD 관점: 시스템 전체 가용성에 중대한 영향
- Microsoft 관점: 부분적이고 일시적인 서비스 중단만 발생
- 최종 점수: NVD 7.5 HIGH vs Microsoft 4.0 MEDIUM
심각도 해석:
- NVD HIGH 등급은 원격 공격 가능성과 높은 가용성 영향을 고려한 엄격한 평가
- Microsoft MEDIUM 등급은 로컬 공격 제한과 낮은 가용성 영향을 고려한 보수적 평가
- 양측 모두 권한 없는 사용자가 공격 가능하다고 인정하고 있어 내부 보안 위협에 주의 필요
4. 패치 정보
Microsoft Security Update:
- CVE 번호: CVE-2026-45498
- 제품: Microsoft Defender (Windows, Microsoft 365, Endpoint 등)
- 조치 기한: 2026년 6월 3일 (CISA 권장 사항)
- 업데이트 방법: Windows Update, Microsoft Update, WSUS, Intune 등
업데이트 확인 방법:
- Windows Update 확인:
- 설정 > 업데이트 및 보안 > Windows Update 실행
-
"보안 업데이트" 또는 "누적 업데이트" 확인
-
PowerShell로 확인:
Get-HotFix | Where-Object {$_.Description -like "*Security*"} | Select-Object HotFixID, InstalledOn -
Microsoft Update 카탈로그 확인:
- Microsoft Security Response Center(MSRC)에서 CVE-2026-45498 관련 업데이트 검색
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45498
5. 즉시 대응 조치 및 완화 방안
CISA 권장 사항에 따라 다음 순서로 대응해야 합니다.
즉시 대응 조치:
- 보안 업데이트 적용 (최우선)
- Windows Update를 통해 최신 보안 업데이트 즉시 설치
- Microsoft Defender for Endpoint 정책으로 자동 업데이트 강제 설정
-
업데이트 완료 후 시스템 재부팅
-
클라우드 서비스는 BOD 22-01 가이드라인 준수
- CISA BOD 22-01(Binding Operational Directive 22-01) 가이드라인에 따라 클라우드 서비스의 Microsoft Defender 보안 설정 강화
-
클라우드 인스턴스의 보안 그룹 및 네트워크 액세스 제한 검토
-
완화 조치 불가 시 제품 사용 중단 (최후 수단)
- Microsoft Defender 업데이트가 불가능한 레거시 시스템에서는 대체 안티바이러스 솔루션 사용 고려
- Microsoft Defender가 중요하지 않은 테스트/개발 환경에서는 서비스 일시 중단
완화 방안 (단기/장기):
| 대응 유형 | 내용 | 우선순위 |
|---|---|---|
| 단기 대응 (72시간 이내) | 보안 업데이트 설치 완료, 로그 모니터링 강화 | HIGH |
| 단기 대응 (1주 이내) | Microsoft Defender for Endpoint 정책 재검토, 인시던트 대응 절차 확인 | MEDIUM |
| 장기 대응 (1개월 이내) | 보안 업데이트 자동화 프로세스 구축, 정기 취약점 스캔 도입 | LOW |
추가 보안 조치:
- 액세스 제어 강화: 로컬 관리자 권한 제한, 최소 권한 원칙 적용
- 모니터링 강화: Defender 서비스 로그(WinDefend, MsMpEng) 정기 확인
- 백업 점검: DoS 공격 시 데이터 손실 방지를 위한 백업 확인
- 사용자 교육: 의심스러운 파일 실행 자제, 보안 업데이트 적중성 교육
결론
CVE-2026-45498은 Microsoft Defender의 서비스 거부 취약점으로, NVD와 Microsoft가 상이한 점수를 부여했습니다. NVD는 네트워크 공격 가능성과 높은 가용성 영향을 고려하여 7.5 HIGH로 평가했으나, Microsoft는 로컬 공격 제한과 낮은 가용성 영향을 고려하여 4.0 MEDIUM으로 평가했습니다.
두 기관 모두 권한 없는 사용자가 공격 가능하다고 판단하고 있어 내부 보안 위협에 주의가 필요합니다. 특히 NVD의 높은 점수는 원격 공격 가능성을 고려한 엄격한 평가이므로, 네트워크 환경에서의 위험성을 간과해서는 안 됩니다.
CISA는 2026년 6월 3일까지 보안 업데이트를 완료할 것을 권장하며, 완화 조치가 불가능한 경우 제품 사용 중단을 제안했습니다. 기업 및 기관 보안 담당자는 즉시 Windows Update를 통해 패치를 적용하고, Microsoft Defender for Endpoint 정책을 재검토하여 재발 방지에 힘써야 합니다.
참고자료
-
CISA Known Exploited Vulnerabilities Catalog
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-45498 -
NVD (National Vulnerability Database)
https://nvd.nist.gov/vuln/detail/CVE-2026-45498 -
Microsoft Security Response Center
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45498 -
CISA Binding Operational Directive 22-01
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
본 콘텐츠는 AI 기술로 생성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하시시면 댓글을 통해 소중한 의견 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.
댓글 (0)
댓글을 작성하려면 로그인이 필요합니다.
로그인아직 댓글이 없습니다.
첫 번째 댓글을 작성해보세요!