윈도우 메모장 앱에서 치명적 보안 취약점 발견...마이크로소프트, 긴급 패치 배포

마크다운 파일 통해 원격 코드 실행 가능, CVSS 8.8점의 고위험 취약점으로 분류돼

[한국정보기술신문] 마이크로소프트가 윈도우 메모장 애플리케이션에서 발견된 고위험 보안 취약점에 대한 긴급 패치를 배포했다. CVE-2026-20841로 추적되는 이 취약점은 공격자가 특수하게 조작된 마크다운 파일을 통해 원격으로 코드를 실행할 수 있게 하는 심각한 결함으로, CVSS 3.1 기준 8.8점의 높은 위험도로 평가됐다.

마이크로소프트는 2월 10일 월례 보안 업데이트인 패치 화요일을 통해 이 취약점에 대한 수정 사항을 공개했다. 이번 2월 업데이트에서는 총 58개의 보안 결함이 해결됐으며, 그 중 6개는 패치 배포 전에 이미 악용되고 있던 제로데이 취약점이었다.

마크다운 기능이 만든 공격 경로

CVE-2026-20841은 윈도우 메모장 앱이 마크다운 파일의 하이퍼링크를 처리하는 과정에서 발생하는 명령 주입 취약점이다. CWE-77(명령어에 사용되는 특수 요소의 부적절한 무력화)로 분류되는 이 결함은 메모장이 외부에서 제어되는 입력값을 제대로 검증하지 않아 발생한다.

공격자는 악의적으로 조작된 마크다운 파일에 특수하게 제작된 링크를 삽입하고, 사용자가 메모장에서 이 파일을 열어 링크를 클릭하도록 유도할 수 있다. 이 과정에서 메모장은 검증되지 않은 프로토콜 핸들러를 실행하게 되며, 이를 통해 원격 파일을 다운로드하고 실행할 수 있게 된다. 공격이 성공하면 공격자는 로그인한 사용자의 권한으로 임의의 코드를 실행할 수 있다.

CVSS 벡터 문자열(CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)을 분석하면 이 취약점의 특성을 명확히 알 수 있다. 네트워크 기반 공격이 가능하고, 공격 복잡도가 낮으며, 권한이 필요하지 않다는 점에서 위협적이다. 다만 사용자의 상호작용, 즉 링크 클릭이 필요하다는 점이 유일한 제한 요소다. 기밀성, 무결성, 가용성 모두에 높은 영향을 미치며, 공격 가능성 점수는 2.8, 영향 점수는 5.9로 평가됐다.

더욱 우려스러운 점은 이 취약점에 대한 개념 증명 코드가 이미 깃허브를 통해 공개됐다는 것이다. 이는 공격자들이 악용할 수 있는 장벽을 크게 낮추며, 기존 피싱 캠페인에 통합될 가능성이 높다.

메모장의 진화가 낳은 역설

이번 취약점은 윈도우 메모장의 현대화 과정에서 발생한 부작용이다. 과거 메모장은 단순한 오프라인 텍스트 편집기로, 로컬 파일만 다루는 안전한 도구였다. 그러나 최근 윈도우에서 메모장은 마이크로소프트 스토어를 통해 배포되는 현대적인 애플리케이션으로 변모했다. 탭 기능, 마크다운 미리보기, 클라우드 기반 AI 기능 통합 등 다양한 기능이 추가되면서 사용성은 향상됐지만, 동시에 공격 표면도 확대됐다.

보안 연구자들은 메모장에 네트워크 기능을 추가한 마이크로소프트의 결정에 대해 의문을 제기하고 있다. 일부는 코파일럿 통합을 위해 인터넷 접속이 필요한 점을 지적하며, 단순한 텍스트 편집기에 이러한 기능이 과연 필요한지 논쟁이 벌어지고 있다.

이번 사건은 메모장만의 문제가 아니라, 윈도우 기본 애플리케이션 전반에서 나타나는 패턴이다. 오프라인 텍스트 편집기에서 네트워크 연결 생산성 도구로의 전환은 보안 관점에서 새로운 도전 과제를 제시한다.

영향받는 버전과 패치

이 취약점은 마이크로소프트 스토어를 통해 배포되는 현대적인 윈도우 메모장 앱에 영향을 미친다. 기존 윈도우에 포함된 레거시 Notepad.exe는 영향을 받지 않는다. 이러한 구분은 운영상 중요한 의미를 갖는다. 스토어 앱은 자동 업데이트가 비활성화되거나 기업에서 앱 버전 준수를 강제하지 않을 경우 업데이트가 지연될 수 있기 때문이다.

마이크로소프트는 스토어를 통해 메모장 빌드 11.2510 이상으로 업데이트를 배포했다. 윈도우 11과 윈도우 10 사용자는 KB5077181 또는 KB5075912 업데이트를 통해 시스템 전반의 보안 패치를 받을 수 있다. 마이크로소프트는 이 취약점에 대해 고객 조치가 필요하다고 표시했으며, 조직들은 메모장 버전이 수정된 빌드로 업데이트됐는지 확인해야 한다.

현재까지 야생에서의 실제 악용 사례는 보고되지 않았다. 그러나 공격 복잡도가 낮고 공개 익스플로잇 코드가 존재한다는 점을 고려하면, 신속한 패치 적용이 필수적이다.

보안 전문가들의 권고

보안 기업 SOC Prime은 기업 환경에서 이 취약점을 최우선 과제로 다룰 것을 권고했다. 단순한 마크다운 파일과 한 번의 클릭만으로 코드 실행 경로가 만들어지는 8.8점짜리 원격 코드 실행 취약점을 일상적인 중요 패치로 취급해서는 안 된다는 것이다.

방어 전략으로는 신속한 패치 적용이 최우선이다. 자동 업데이트가 활성화된 소비자 환경에서는 마이크로소프트 스토어를 통한 신속한 패치가 노출 기간을 줄였지만, 기업의 업데이트 관리 정책과 사용자 행동을 고려하면 방어자들은 여전히 빠르게 대응해야 한다.

추가적인 방어 계층으로는 외부 발신자로부터의 마크다운 첨부 파일을 메일 게이트웨이에서 플래그 지정하거나 격리하는 방법이 있다. 엔드포인트 프로세스 생성 로그를 모니터링하여 메모장이 프로토콜 핸들러를 실행한 후 네트워크 호스트에 접속하거나 실행 가능한 콘텐츠를 디스크에 쓰는 예상치 못한 자식 프로세스를 감지하는 것도 중요하다.

기업 보안팀은 앱 관리 도구를 통해 메모장 업데이트를 배포하고, 메모장에서 생성된 쉘에 대한 EDR 탐지를 조정하며, 실무적으로 가능한 경우 메일 게이트웨이에서 마크다운 첨부 파일을 차단하거나 플래그 지정해야 한다.

취약점 발견과 공개 과정

보안 연구자 Delta Obscura가 이 취약점을 최초로 발견했다. 마이크로소프트는 업계 표준 공개 관행에 따라 2월 10일 보안 권고를 발표했다. 이는 2025년 한 해 동안 마이크로소프트가 해결한 총 1130개의 CVE 중 하나이며, 원격 코드 실행 취약점이 전체 수정 사항의 30.8퍼센트를 차지한다는 Tenable의 패치 화요일 2025 리뷰 결과는 방어자들이 직면한 위협의 규모를 보여준다.

이번 사건은 기능 확장이 공격 표면 증가를 의미한다는 점을 다시 한번 상기시킨다. 마이크로소프트의 스토어를 통한 신속한 패치는 긍정적이지만, 엔터프라이즈 업데이트 제어와 사용자 행동의 현실은 방어자들이 여전히 빠르게 움직여야 함을 의미한다. 이는 단순히 메모장의 이야기가 아니라, 기능 팽창, 기본 신뢰, 그리고 이전에 로컬 도구였던 것이 네트워크 인식 기능을 갖게 될 때마다 보안 설계 원칙이 지속적으로 필요하다는 경고이다.

한국정보기술신문 정보보안분과 오상진 기자 news@kitpa.org