YellowKey란 무엇이며 무엇을 표적으로 삼나요?

YellowKey는 Windows 10, 11 및 Windows Server 2022와 2025에 내장된 전체 디스크 암호화 기능인 BitLocker를 표적으로 삼는 미패치 Windows 제로데이 취약점입니다. Windows 복구 환경의 취약점을 악용하여 물리적 접근 권한을 가진 공격자가 BitLocker 보호를 우회하고 암호화된 드라이브 내용을 읽을 수 있게 합니다.

GreenPlasma 취약점은 무엇을 하나요?

GreenPlasma는 텍스트 입력, 필기 인식, 언어 설정을 관리하는 Windows 백그라운드 프로세스인 CTFMON을 표적으로 삼습니다. 로컬 권한 상승을 가능하게 하여, 이미 시스템에 침투한 공격자가 권한을 관리자 또는 SYSTEM 수준의 접근 권한으로 올릴 수 있게 합니다.

Microsoft가 YellowKey와 GreenPlasma에 대한 패치를 발표했나요?

아니요, 이 글이 작성된 시점에서 Microsoft는 두 취약점 중 어느 것에 대해서도 패치를 발행하지 않았습니다. 개념 증명 익스플로잇 코드가 이미 공개적으로 제공되고 있어, 숙련도가 낮은 위협 행위자들의 익스플로잇 장벽이 낮아진 상태입니다.

YellowKey를 악용하려면 물리적 접근이 필요한가요?

네, YellowKey는 공격자가 BitLocker 보호를 우회하기 위해 표적 기기에 물리적으로 접근해야 합니다. 현실적인 위협 시나리오로는 도난된 노트북, 공유 사무 공간에 있는 기기, 국경에서 압수된 기기 등이 있습니다.

GreenPlasma는 실제 공격에서 어떻게 사용될 수 있나요?

GreenPlasma는 다른 공격 기법과 연계될 수 있습니다. 예를 들어, 낮은 권한의 초기 페이로드를 전달하는 피싱 이메일에 이어 GreenPlasma 익스플로잇을 사용하여 전체 시스템 제어권을 획득할 수 있습니다. 기업 환경, 정부 기관, 민감한 파일을 다루는 개인 모두 위험에 처한 것으로 간주됩니다.

YellowKey와 GreenPlasma: BitLocker를 겨냥한 두 가지 Windows 제로데이 취약점

보안 연구원들이 BitLocker 암호화와 CTFMON 입력 프레임워크를 각각 표적으로 삼는 YellowKey와 GreenPlasma라는 이름의 두 가지 미패치 Windows 제로데이 취약점을 공개적으로 공개했습니다. 개념 증명(PoC) 익스플로잇 코드가 이미 공개된 상태로, Windows BitLocker 제로데이 취약점은 단순한 이론에 그치지 않습니다. 데이터 보호 전략의 핵심으로 BitLocker에 의존하는 수백만 명의 사용자와 조직에게 이번 공개는 심각한 경고입니다.

YellowKey와 GreenPlasma가 실제로 하는 일

YellowKey는 두 취약점 중 더 즉각적으로 우려되는 것입니다. Windows 10 및 11과 Windows Server 2022 및 2025에 내장된 전체 디스크 암호화 기능인 BitLocker를 표적으로 삼습니다. Windows 복구 환경의 취약점을 악용하여, 머신에 물리적으로 접근할 수 있는 공격자가 기본 BitLocker 보호를 우회하고 암호화된 드라이브의 내용에 접근할 수 있게 합니다. 실질적으로는, 이전에 BitLocker 암호화로 안전하다고 여겨지던 도난된 노트북의 데이터를 올바른 PIN이나 비밀번호 없이도 읽을 수 있게 됩니다.

GreenPlasma는 텍스트 입력, 필기 인식, 언어 설정을 관리하는 Windows 백그라운드 프로세스인 CTFMON을 표적으로 삼습니다. 이 취약점은 로컬 권한 상승을 가능하게 하는데, 이는 이미 시스템에 침투한 공격자가 권한을 더 높은 수준으로 올려 잠재적으로 관리자 또는 SYSTEM 수준의 접근 권한을 획득할 수 있다는 의미입니다. 두 취약점을 합치면 위험한 조합이 됩니다. 하나는 저장된 데이터를 보호하는 장벽을 무너뜨리고, 다른 하나는 공격자가 시스템 내부에 침투한 후 더 깊은 시스템 침해를 가능하게 합니다.

이 글을 작성하는 시점에서 Microsoft는 두 취약점 중 어느 것에 대해서도 패치를 발행하지 않았습니다. 개념 증명 코드가 공개적으로 제공되고 있어, 숙련도가 낮은 위협 행위자들의 익스플로잇 장벽이 크게 낮아진 상태입니다.

위험에 처한 대상과 노출된 데이터

BitLocker가 활성화된 Windows 11 시스템 또는 Windows Server 2022 및 2025를 실행하는 모든 사용자가 YellowKey의 잠재적 영향을 받습니다. 물리적 접근 요건이 완전한 원격 익스플로잇에 비해 공격 표면을 제한하긴 하지만, 이 조건이 큰 안심을 제공해서는 안 됩니다. 하이브리드 근무 환경에서 직원들이 사용하는 노트북, 공유 사무 공간에 보관된 기기, 국경에서 압수되거나 검사된 기기 모두 현실적인 위협 시나리오입니다.

GreenPlasma의 경우, 위험 프로필은 어떤 면에서 더 광범위합니다. 로컬 권한 상승 취약점은 다른 공격 기법과 함께 자주 연계됩니다. 예를 들어, 낮은 권한의 초기 페이로드를 전달하는 피싱 이메일에 이어 GreenPlasma 익스플로잇이 사용되어 전체 시스템 제어권을 획득할 수 있습니다. 기업 환경, 정부 기관, 민감한 파일을 다루는 개인 모두 위험에 처해 있습니다.

노출되는 데이터는 개인 문서와 재무 기록부터 기업 지식재산 및 디스크에 저장된 자격 증명에 이르기까지 다양합니다. HIPAA, GDPR, CMMC 같은 컴플라이언스 프레임워크에 따라 운영되는 조직은 이러한 취약점이 규제 의무에 영향을 미치는지 평가해야 할 것입니다.

BitLocker 사용자가 디스크 암호화만으로는 의존할 수 없는 이유

YellowKey의 공개는 프라이버시를 중시하는 사용자들이 종종 간과하는 근본적인 한계를 보여줍니다. 암호화는 암호화 메커니즘 자체가 손상되지 않는 한에서만 데이터를 보호합니다. BitLocker는 주로 드라이브를 분리해 다른 기기에서 읽는 시나리오인 오프라인 공격으로부터 보호하도록 설계되었습니다. 드라이브 잠금 해제를 관리하는 바로 그 프로세스를 표적으로 삼는 제로데이 익스플로잇을 보유한 정교한 공격자에 대한 난공불락의 요새로는 설계되지 않았습니다.

이것이 심층 방어의 핵심 논리입니다. 아무리 신뢰할 수 있더라도 단일 보안 통제에만 의존하면 단일 실패 지점이 생깁니다. 그 통제가 우회되면, 공격자와 데이터 사이에 남아 있는 것이 아무것도 없습니다. 같은 논리가 네트워크 계층 위협에도 적용됩니다. VPN을 통해 전송 중인 트래픽을 암호화하더라도 엔드포인트가 이미 침해된 경우에는 보호되지 않으며, 엔드포인트를 보호하더라도 신뢰할 수 없는 네트워크를 통해 암호화되지 않고 흐르는 데이터는 보호되지 않습니다.

이 두 취약점의 등장은 위협 행위자들이 심각한 피해를 입히기 위해 반드시 정교한 인프라가 필요하지는 않다는 사실을 다시 한번 상기시켜 줍니다. 전 세계 시민을 표적으로 삼는 가짜 정부 사이트와 같은 캠페인에서 문서화된 것처럼, 소셜 엔지니어링과 일반 도구는 공개적으로 이용 가능한 익스플로잇과 자주 결합되어 치명적인 효과를 냅니다. BitLocker 우회를 위한 공개 PoC는 기술 수준의 진입 장벽을 상당히 낮춥니다.

심층 방어 단계: 패치, VPN, 그리고 계층적 보안

Microsoft가 공식 패치를 발표할 때까지 사용자와 관리자는 다음 조치를 취해야 합니다.

Microsoft 보안 업데이트를 모니터링하세요. Windows 업데이트를 활성화 상태로 유지하고, 특히 PoC 코드가 공개적으로 제공되는 상황을 고려해 대역 외 패치를 확인하세요. 패치가 출시되면 배포를 우선시하세요.

PIN을 사용하여 BitLocker를 활성화하세요. 기본 TPM 전용 BitLocker 구성은 이 유형의 공격에 더 취약합니다. 사전 부팅 PIN을 요구하도록 BitLocker를 구성하면 물리적 공격자에 대한 진입 장벽을 높이는 마찰 계층이 추가됩니다.

물리적 접근을 제한하세요. 고가치 기기의 경우 물리적 보안 통제가 중요합니다. 잠긴 서버실, 노트북용 케이블 잠금장치, 무인 기기에 대한 명확한 정책 모두 YellowKey에 대한 공격 표면을 줄입니다.

보안 통제를 계층화하세요. 디스크 암호화는 하나의 계층일 뿐, 완전한 전략이 아닙니다. 엔드포인트 탐지 및 대응 도구, 전송 중인 데이터를 위한 네트워크 수준 암호화, 강력한 인증, 네트워크 세그멘테이션과 결합하세요. VPN은 공격자가 침해된 엔드포인트에서 피벗하더라도 아웃바운드 데이터가 네트워크에서 평문으로 노출되지 않도록 보장합니다.

권한 있는 계정을 감사하세요. GreenPlasma 권한 상승 위험을 고려하여, 엔드포인트에서 로컬 관리자 권한을 가진 계정을 검토하세요. 불필요한 권한을 줄이면 익스플로잇이 사용될 경우 피해 반경을 제한할 수 있습니다.

이것이 의미하는 바

YellowKey와 GreenPlasma의 공개는 어떤 단일 보안 도구도 완전한 보호를 제공하지 못한다는 구체적인 상기입니다. 전체 데이터 보안 전략이 BitLocker에만 의존하고 있다면, 지금이 더 넓은 스택을 감사할 때입니다. BitLocker가 우회될 경우 무슨 일이 일어나는지 생각해 보세요. 가장 민감한 파일을 보호하는 또 다른 계층이 있나요? 네트워크 트래픽이 디스크와 독립적으로 암호화되어 있나요? 자격 증명과 복구 키가 안전하게 보관되어 있나요?

사전 예방적 조치는 사고가 발생한 후보다 발생하기 전에 더 중요합니다. 현재 보안 통제를 검토하고, 이용 가능한 완화 조치를 적용하며, 이번 공개를 BitLocker만으로는 커버할 수 없는 계층을 강화하는 기회로 삼으세요.