2026년 6월 사상 최고 패치 화요일
Microsoft는 오늘 Windows 운영 체제와 지원 소프트웨어 전반에 걸쳐 거의 200개의 보안 취약점을 해결하는 소프트웨어 업데이트를 발표했습니다. 이는 회사의 월간 Patch Tuesday 사이클에서 사상 최대 규모의 수정 사항입니다. 이 중 거의 30개가 Microsoft의 가장 심각한 “critical” 등급을 받았으며, 최소 세 개의 취약점에 대한 익스플로잇 코드가 이미 공개되었습니다.
소프트웨어 거인은 지난달 블로그 게시물에서 엔지니어와 보안 커뮤니티가 인공지능 도구를 활용해 버그를 찾는 비중이 높아지고 있다고 밝혔으며, 이에 따라 이번 달의 대규모 Patch Tuesday가 앞으로도 일상이 될 수 있다고 Tenable의 수석 연구 엔지니어 Satnam Narang이 말했습니다.
“몇몇 설문조사에 따르면 보안 전문가들 사이에서 AI 활용 비율이 90%에 달한다고 합니다. 그래서 이렇게 많은 패치가 일상이 될 가능성이 높다는 것은 놀라운 일이 아닙니다.”라고 Narang은 말했습니다. “판도라의 상자처럼 AI 모델이 점점 고도화되면서, Patch Tuesday뿐 아니라 전반적인 보안 패치 양도 계속 증가할 것으로 예상됩니다.”
6월에 발표된 제로데이 취약점 중 하나는 CVE-2026-49160으로, Microsoft Internet Information Services(IIS)를 포함한 다양한 웹 서버에 영향을 주는 서비스 거부(DoS) 취약점입니다. Microsoft는 이 결함이 OpenAI의 Codex에 의해 보고되었다고 밝혔습니다.
이번 달에 해결된 두 개의 제로데이는 최근 Nightmare Eclipse라는 별명을 가진 보안 연구자가 공개한 취약점과 연관이 있는 것으로 보입니다. 그 중 하나인 “GreenPlasma”는 Windows Collaborative Translation Framework의 권한 상승 취약점을 이용하는데, 이 프레임워크는 오늘 CVE-2026-45586에서 패치되었습니다.
Nightmare Eclipse는 지난달 “YellowKey”라는 Windows BitLocker 취약점 익스플로잇을 공개했으며, CVE-2026-50507은 BitLocker의 권한 상승 버그에 대한 패치입니다.
Microsoft는 지난달 블로그 게시물에서 해당 보안 연구자에 대해 법적 조치를 고려하고 있다고 밝히자 소셜 미디어에서 큰 비난을 받았습니다. 이후 트위터/X에선 연구자를 상대로 법적 조치를 취할 의도가 없으며, 법을 위반할 경우에만 당국에 신고할 것이라고 정정했습니다. CVE-2026-49160과 CVE-2026-50507에 대한 권고문에서는 연구자를 별도로 언급하지 않고, “Microsoft는 협조적인 취약점 공개를 통해 고객을 보호하는 데 기여한 보안 커뮤니티의 노력에 감사를 표합니다.”라고만 적혀 있습니다.
Nightmare Eclipse는 자신이 전 Microsoft 직원이라고 주장하지만, Microsoft는 이 주장에 대해 공식 입장을 내놓지 않았습니다. Rapid7은 Nightmare Eclipse가 최근 블로그에 Resident Evil 시리즈의 캐릭터 Albert Vesker(전 기술 기업 연구원)의 이미지를 사용한 것을 지적했습니다.
Nightmare Eclipse는 7월 14일(다음 달 Patch Tuesday와 동일한 날) “뼈를 부러뜨릴 정도”의 대규모 제로데이 익스플로잇을 공개하겠다고 약속했습니다. 오늘 Microsoft가 패치를 발표하자마자, 해당 연구자는 익스플로잇을 공개했으며, 이는 Windows Defender의 제로데이 버그라고 주장했습니다.
Rapid7의 Adam Barnett은 “200개의 취약점이 Patch Tuesday 사상 최대 기록이지만, 이번 달 Microsoft가 실제로 해결한 보안 결함 수는 훨씬 더 많다”고 설명했습니다.
“이번 달 현재까지 Microsoft는 360개의 브라우저 취약점을 해결했으며, 이는 지난 몇 년간 월 평균 대비 한 자릿수 이상 높은 수치입니다.”라고 Barnett은 적었습니다. “위에서 언급한 Patch Tuesday 통계에는 브라우저 취약점이 포함되지 않으며, 브라우저 취약점이 급증함에 따라 Microsoft는 이제 Security Update Guide에서 Chromium CVE를 별도 열거하지 않고 있습니다.”
Microsoft는 또한 Visual Studio Code의 제로데이 취약점을 패치했는데, 이 취약점을 이용하면 공격자가 단 한 번의 클릭으로 GitHub 토큰을 탈취할 수 있습니다. 연구자가 공격 방법을 공개한 뒤, Microsoft는 6월 3일 임시 패치를 배포했습니다. 해당 연구자는 Microsoft가 자신이 보고한 결함을 크레딧이나 인정을 제공하지 않고 조용히 패치한 경험 때문에 협업을 거부했다고 밝혔습니다.
지난 주 Microsoft는 자체 내부 제로데이 위기도 겪었습니다. 최소 72개의 공개 코드 저장소가 Shai‑Hulud 웜 변종에 감염된 것입니다. 조사 결과, 영향을 받은 모든 패키지는 Microsoft 공식 Azure Durable Task SDK와 연결돼 있었으며, 이 SDK는 5월에 동일한 Shai‑Hulud 웜에 의해 공격받은 바 있습니다.
다른 주요 소프트웨어 업체들도 이번 달 대규모 업데이트 묶음을 배포하고 있습니다. Adobe는 Adobe Experience Manager, Acrobat Reader, Cold Fusion 등 다양한 제품군에 걸쳐 수많은 치명적인 취약점을 해결하는 업데이트를 발표했습니다(보안 권고문). 6월 3일에는 Google이 최신 Chrome 브라우저 업데이트에서 무려 429개의 취약점을 해결했습니다(보도자료). Chrome은 자동으로 업데이트를 다운로드하지만, 설치하려면 브라우저를 완전히 재시작해야 합니다.
항상 그렇듯, 운영 체제 업데이트를 적용하기 전에 데이터를 백업해 두시고, 이번 달 패치를 적용하면서 문제가 발생하면 댓글에 알려 주세요.