서론
국가 사이버 보안국(CISA)가 2026년 5월 20일, 10년 이상 된 4가지 구형 Microsoft 취약점을 KEV(Known Exploited Vulnerabilities) 카탈로그에 등록했다. CVE-2010-0249(IE), CVE-2010-0806(IE), CVE-2009-1537(DirectX), CVE-2008-4250(Windows Server Service)가 새롭게 KEV 목록에 포함되었다. 과거에 이미 활발히 악용된 취약점들이지만, 국내 기업 환경에서는 여전히 레거시 자산으로 운영되는 시스템이 많아 실제 보안 위험으로 남아 있다.
본론
취약점 분석 및 영향 범위
CVE-2010-0249 (Internet Explorer)
- 유형: Use-after-free 취약점
- 영향 범위: IE 6, 6 SP1, 7, 8 (Windows 2000~Windows 7)
- 공격 이력: 2009년 12월~2010년 1월 Operation Aurora 공격에 악용
- 패치: MS10-002 (2010년 1월 발표)
CVE-2010-0806 (Internet Explorer Peer Objects)
- 유형: Use-after-free 취약점 (iepeers.dll)
- 영향 범위: IE 6, 6 SP1, 7
- 공격 이력: 2010년 3월 야생에서 확인된 공격
- 패치: MS10-018 (2010년 3월 발표)
CVE-2009-1537 (Microsoft DirectX)
- 유형: NULL 바이트 오버라이드 취약점
- 영향 범위: DirectX (DirectShow QuickTime 파서)
- 공격 이력: QuickTime 미디어 파일을 통한 원격 코드 실행 가능
- 패치: MS09-028 (2009년 6월 발표)
CVE-2008-4250 (Windows Server Service)
- 유형: 버퍼 오버플로우 취약점
- 영향 범위: Windows 2000 SP4, XP SP2/SP3, Server 2003, Vista, Server 2008, Windows 7 Pre-Beta
- 공격 이력: 2008년 10월 Gimmiv.A 악성코드에 악용
- 패치: MS08-067 (2008년 10월 발표, Conficker 웜과 관련된 유명한 취약점)
왜 다시 위험해졌는가
국내 기업 환경에서 이러한 취약점이 계속해서 위협이 되는 이유는 세 가지다.
첫째, 레거시 애플리케이션 호환성 문제다. ERP, 금융 시스템 등 일부 구형 업무용 애플리케이션은 특정 버전의 IE나 DirectX에 의존한다. 패치나 업그레이드 시 애플리케이션이 작동하지 않을 가능성이 있어 보안 팀조차 수정을 주저하게 된다.
둘째, 내부망 격리 오류다. 인터넷 접속이 차단된 내부망이라 외부 공격이 불가능하다고 판단해 패치를 미룬다. 하지만 내부망에 감염된 USB나 노트북이 유입되면 횡적 전파(Lateral Movement)가 일어나 내부망 전체가 위험해진다.
셋째, 자산 관리 부재다. 어떤 시스템이 어떤 버전의 OS나 브라우저를 사용하는지 명확히 파악되지 않는다. 보안 팀은 "그런 시스템 있는 줄 몰랐다"는 변명을 하게 된다.
공격 시나리오
공격자가 이 취약점을 악용하는 시나리오는 다음과 같다.
시나리오 1: 피싱 메일 악용 (CVE-2010-0249, CVE-2010-0806)
- 공격자가 피싱 메일에 악성코드가 포함된 HTML 파일 첨부
- 직원이 파일을 IE 6~8로 열면 원격 코드 실행 발생
- 공격자는 내부망 진입 후 도메인 관리자 권한 탈취
- 랜섬웨어 배포 및 데이터 유출 실행
시나리오 2: 웹 사이트 악용 (CVE-2009-1537)
- 악성코드가 포함된 QuickTime 파일을 호스팅하는 사이트 방문 유도
- DirectX 취약점을 통해 원격 코드 실행
- 악성코드 설치 및 백도어 생성
- C2(Command & Control) 서버와 통신 시작
시나리오 3: 내부망에서의 전파 (CVE-2008-4250)
- 한 대가 감염되면 Server Service 취약점을 이용해 내부망 확산
- SMB 포트를 통해 다른 시스템으로 자동 전파
- Conficker 스타일의 웜이 전체 네트워크 감염
점검 및 대응 체크리스트
국내 기업 보안 담당자가 바로 적용할 수 있는 점검 및 대응 체크리스트를 제공한다.
1단계: 자산 식별 (1일 이내)
- [ ] IE 6~8, DirectX 9.x, Windows XP/2003/Server 2008 사용 시스템 목록 작성
- [ ] 시스템별 패치 여부 확인 (MS08-067, MS09-028, MS10-002, MS10-018)
- [ ] 시스템별 업무 애플리케이션 호환성 확인
- [ ] 내부망에서만 사용하는 시스템인지 확인
2단계: 위협 평가 (1~3일 이내)
- [ ] 시스템별 중요도 분류 (Critical/High/Medium/Low)
- [ ] 인터넷 접속 여부 확인 (직접 연결/프록시/완전 격리)
- [ ] 사용자 권한 확인 (일반 사용자/관리자)
- [ ] 최근 30일 동안 보안 이벤트 로그 검토 (의심스러운 네트워크 활동)
3단계: 완화 조치 (1~2주 이내)
즉시 적용 가능한 조치 (24시간 이내)
- [ ] IE 사용 제어 (그룹 정책으로 IE 실행 차단 또는 대체 브라우저 강제)
- [ ] SMB 포트(445) 차단 (방화벽 및 호스트 기반 방화벽)
- [ ] DirectX 렌더링 비활성화 (애플리케이션별 레지스트리 설정)
- [ ] 사용자 권한 최소화 (관리자 권한 사용 제한)
단기 대응 (1주 이내)
- [ ] 가능한 시스템에 패치 적용 (테스트 환경에서 먼저 검증)
- [ ] 애플리케이션 호환성 문제 해결 (버전 업그레이드 또는 가상화)
- [ ] 네트워크 세분화 (레거시 시스템을 격리된 VLAN으로 이동)
- [ ] 끝점 보안 솔루션 강화 (행위 기반 탐지 룰 추가)
장기 대응 (1개월 이내)
- [ ] 레거시 시스템 교체 계획 수립 (마이그레이션 타임라인 작성)
- [ ] 애플리케이션 리팩토링 (최신 브라우저 호환성 확보)
- [ ] 정기 패치 관리 프로세스 확립 (월간/분기별 패치 주기)
- [ ] 보안 교육 실시 (피싱 메일 인지 및 신고 프로세스)
4단계: 모니터링 및 확인 (지속)
- [ ] EDR/AV 탐지 로그 모니터링 (의심스러운 프로세스 및 네트워크 연결)
- [ ] 네트워크 트래픽 분석 (비정상적인 SMB, HTTP 트래픽)
- [ ] 엔드포인트 무결성 검사 (파일 해시 확인)
- [ ] CISA KEV 카탈로그 주기적 확인 (신규 등록 취약점 모니터링)
결론
10년 전의 취약점이 2026년에도 새롭게 위협으로 등장한 것은 레거시 자산 관리의 어려움을 보여준다. 패치가 나왔다고 해서 모든 시스템이 즉시 적용되는 것이 아니며, 실제 현장에서는 호환성, 비용, 업무 중단 우려 등 여러 이유로 미룰 수 있다. 하지만 CISA가 이 취약점들을 KEV 카탈로그에 등록했다는 것은 실제 공격이 발생하고 있음을 의미한다.
국내 기업 보안 담당자는 자사의 레거시 자산 목록을 확보하고, 즉시 적용 가능한 완화 조치부터 실행해야 한다. 패치 적용이 어렵다면 네트워크 격리, 포트 차단, 사용자 권한 최소화 등 다층적 방어 접근이 필요하다. 레거시 시스템은 언젠가 교체해야 하며, 지금이 그 계획을 세우고 실행할 때다.
참고자료
-
NVD - CVE-2010-0249
https://nvd.nist.gov/vuln/detail/CVE-2010-0249 -
NVD - CVE-2010-0806
https://nvd.nist.gov/vuln/detail/CVE-2010-0806 -
NVD - CVE-2009-1537
https://nvd.nist.gov/vuln/detail/CVE-2009-1537 -
NVD - CVE-2008-4250
https://nvd.nist.gov/vuln/detail/CVE-2008-4250 -
CISA Known Exploited Vulnerabilities Catalog
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
본 콘텐츠는 AI 기술로 생성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하시시면 댓글을 통해 소중한 의견 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.
댓글 (0)
댓글을 작성하려면 로그인이 필요합니다.
로그인아직 댓글이 없습니다.
첫 번째 댓글을 작성해보세요!