CVE-2026-41089: Netlogon RCE, 현재 활발히 악용 중
Microsoft의 Netlogon 프로토콜에서 발견된 심각한 취약점(CVE-2026-41089)이 패치된 상태에서 현재 적극적인 공격으로 전환되었습니다. 여러 국가 사이버 보안 기관의 경고에 따르면, 공격자들은 이제 이 버그를 기업 네트워크를 대상으로 한 실제 공격에 사용하고 있습니다. 성공적인 침투의 결과는 심각합니다: 도메인 컨트롤러에서 인증 없이 SYSTEM 수준의 원격 코드 실행이 가능하며, 이는 조직의 전체 Active Directory 포리스트에 대한 완전한 제어권으로 이어질 수 있습니다. 귀사가 Windows 도메인 컨트롤러를 운영 중이고 아직 2026년 5월 패치 주기를 적용하지 않았다면, 지금 당장 조치가 필요한 5단계 비상 상황입니다.
CVE-2026-41089의 작동 방식과 도메인 컨트롤러가 가장 높은 가치의 표적인 이유
Netlogon은 도메인 내에서 사용자와 컴퓨터를 인증하는 Windows 프로토콜입니다. 이는 클라이언트와 도메인 컨트롤러 간의 보안 채널을 포함하여 모든 Windows 네트워크에서 가장 권한이 높은 통신을 처리합니다. CVE-2026-41089는 인증이 전혀 필요 없는 원격 코드 실행 경로를 도입합니다. 도메인 컨트롤러에 네트워크 수준으로 접근할 수 있는 공격자는 조작된 Netlogon 메시지를 전송하여 취약점을 트리거하고, 어떠한 자격 증명도 제시하지 않은 채 SYSTEM 수준의 셸을 획득할 수 있습니다.
도메인 컨트롤러는 모든 Windows 환경의 핵심 자산입니다. 네트워크의 모든 사용자 계정, 그룹 정책, 인증 토큰 및 신뢰 관계의 키를 보유합니다. 일반적으로 하나의 도메인 컨트롤러를 장악하면 전체 Active Directory 포리스트가 침해당하는 것을 의미합니다. SYSTEM 권한을 가진 공격자는 도메인 데이터베이스를 복제하고, 자격 증명 해시를 추출하며, Kerberos 티켓을 마음대로 위조할 수 있기 때문입니다. 이는 낮은 권한의 거점에서 시작하여 권한 상승을 노리는 공격이 아니라, 처음부터 완전한 제어를 확보하는 것입니다.
이 심각성은 과거의 Netlogon 문제를 연상시키며, 공격 표면도 마찬가지로 광범위합니다. Netlogon RPC(일반적으로 TCP 445 포트 또는 동적 RPC 범위)를 신뢰할 수 없는 네트워크 세그먼트에 노출하는 모든 시스템이 공격 대상 후보가 됩니다.
적극적 공격의 전개: 무인증 접근에서 전체 AD 포리스트 장악까지
공격 체인은 놀랍도록 짧으며, 이 때문에 이 취약점이 더욱 위험합니다. 노출된 도메인 컨트롤러를 스캔하는 공격자는 대상을 식별하고, 악의적인 Netlogon RPC 요청을 조작하여 단 한 번의 인증 없는 교환만으로 SYSTEM 수준의 코드 실행을 달성할 수 있습니다. 사용자 피싱, 비밀번호 탈취, 또는 여러 시스템을 거치는 피벗이 모두 필요하지 않습니다.
도메인 컨트롤러에서 SYSTEM 권한을 확보한 후의 공격자 행동은 잘 알려져 있습니다. NTDS.dit 데이터베이스(Active Directory 자격 증명 저장소)를 덤프하고, KRBTGT 계정 해시를 추출하여 골든 티켓을 위조하며, 비밀번호 변경 후에도 살아남는 영구적인 백도어 계정을 생성할 수 있습니다. 그 상태에서 전체 포리스트로의 측면 이동은 간단해집니다.
이러한 신속한 권한 상승은 최근 Microsoft 관련 위협 활동에서 반복적으로 나타나는 주제입니다. 패치된 Windows PC에서 SYSTEM 접근을 허용하는 MiniPlasma 제로데이도 유사한 권한 상승 논리를 따르며, 위협 행위자들은 고가치 표적에 빠르게 도달하기 위해 여러 Windows 취약점을 함께 연계할 의지를 보였습니다. 한편, Storm-2949의 Microsoft 365 캠페인을 주도하는 클라우드 중심 행위자들은 온프레미스 포리스트가 침해될 경우 하이브리드 Azure AD 구성이 클라우드 테넌트까지 피해 범위를 확대할 수 있음을 보여주었습니다.
네트워크 세분화와 VPN 기반 제로 트러스트, 즉각적 완화 계층으로
패치만이 완전한 해결책이지만, 네트워크 아키텍처 선택은 패치가 배포되거나 확인되기 전까지 악용 가능성을 크게 줄일 수 있습니다.
가장 중요한 즉각적 조치는 Netlogon 관련 포트를 통해 도메인 컨트롤러에 도달할 수 있는 시스템을 제한하는 것입니다. 도메인 컨트롤러는 일반 워크스테이션, 게스트 네트워크, 외부 당사자가 접근할 수 있는 모든 세그먼트에서 직접 연결 가능해서는 절대 안 됩니다. 정당하게 Netlogon 통신이 필요한 특정 명명된 서버(멤버 서버)만 해당 포트에서 도메인 컨트롤러로 연결하도록 허용하는 방화벽 규칙은 공격 표면을 해당 시스템으로만 축소합니다.
VPN 아키텍처가 여기서 직접적인 역할을 합니다. 원격 사용자나 지사가 내부 도메인 인프라에 도달하기 전에 VPN 터널을 통해 트래픽을 라우팅하도록 허용하는 조직은 자연스러운 시행 지점을 갖습니다. 내부 관리 프로토콜이 검사 또는 접근 제어를 통과하지 않고 노출되도록 하는 스플릿 터널링 구성은 이러한 이점을 없앱니다. 각 연결이 네트워크 접근이 허용되기 전에 세션별로 인증 및 권한 부여되는 제로 트러스트 VPN 모델을 사용하면, 공격자가 추가 검증 계층을 먼저 통과하지 않고서는 손상된 엔드포인트를 통해 도메인 컨트롤러에 접근할 수 없습니다.
네트워크 계층의 마이크로 세그멘테이션(소프트웨어 정의 네트워킹 또는 물리적 VLAN 분리를 통한)은 내부 네트워크에서 침해된 워크스테이션조차 도메인 컨트롤러 포트에 직접 연결하지 못하도록 보장합니다. 이는 공격자가 이미 다른 곳에 거점을 확보한 경우에도 피해 범위를 제한합니다.
패치 상태, 탐지 지표 및 장기적 인프라 강화
Microsoft는 2026년 5월 패치 화요일 주기의 일부로 CVE-2026-41089에 대한 패치를 발표했습니다. 조직은 특히 도메인 컨트롤러가 이 업데이트를 받아 성공적으로 적용했는지 확인해야 합니다. 도메인 컨트롤러는 가동 시간 문제로 인해 표준 패치 관리 워크플로에서 제외되는 경우가 있어, 조용히 패치되지 않은 상태로 남아 있을 수 있습니다.
탐지를 위해 보안 팀은 예상치 못한 소스 IP, 특히 알려진 관리 서브넷 외부에서 발생하는 비정상적인 Netlogon RPC 활동을 모니터링해야 합니다. 알려진 관리 활동과 일치하지 않는 도메인 컨트롤러에서의 SYSTEM 수준 프로세스 생성 이벤트는 공격 후 활동의 강력한 지표입니다. 비표준 소스에서의 디렉터리 복제 요청과 관련된 이벤트 ID에도 플래그를 지정해야 합니다.
장기적으로는 연이어 악용되는 심각한 Windows 취약점들의 패턴이 보다 복원력 있는 인프라 자세의 필요성을 시사합니다. Pwn2Own Berlin 2026의 연구원들은 Windows 11과 Edge에 대한 실시간 익스플로잇을 시연하며 Windows 취약점 발견 파이프라인이 여전히 활발함을 강조했습니다. 도메인 컨트롤러 관리가 인터넷 접근이 없는 전용 관리 워크스테이션으로 격리되는 계층화된 관리 모델은 공격자가 환경 내 가장 민감한 시스템에 접근하는 경로의 수를 줄여줍니다.
이것이 의미하는 것
엔터프라이즈 Windows 네트워크를 관리하거나 자문하는 경우, CVE-2026-41089은 미룰 수 있는 취약점이 아닙니다. 익스플로잇의 무인증, 사전 인증 특성으로 인해 경계 방어만으로는 충분하지 않습니다. 2026년 5월 패치가 환경 내 모든 도메인 컨트롤러에 적용되었는지 확인하고 검증해야 하며, 단순히 적용했다고 가정해서는 안 됩니다.
패치 외에도, 이제 VPN 및 세분화 제어가 실제로 임의의 내부 호스트가 도메인 컨트롤러 포트에 도달하지 못하도록 막고 있는지 감사해야 할 때입니다. 침해된 엔드포인트가 추가 검증 없이 Netlogon 연결을 시작할 수 있는 제로 트러스트 정책의 공백을 점검하십시오. 하이브리드 Azure AD 구성이 온프레미스 포리스트 침해를 클라우드 리소스로 확장시킬 수 있는지 검토하십시오.
현재의 적극적 공격 물결을 인프라 손상 없이 통과하는 조직은 네트워크 세분화와 패치 검증을 일회성 확인이 아닌 지속적인 규율로 다루어 온 곳일 것입니다. 패치부터 시작하십시오. 그런 다음 아키텍처 검토로 이어가십시오.
