윈도우 서버 ‘Netlogon’ 제로클릭 취약점

윈도우 서버의 Netlogon 프로토콜에서 발견된 제로클릭(Zero-Click) 취약점은 사용자의 개입이 전혀 없는 상태에서 네트워크를 통해 서버의 통제권을 완전히 탈취할 수 있는 매우 치명적인 보안 결함입니다.
기존의 대표적인 Netlogon 취약점인 제로로그온(Zerologon, CVE-2020-1472)에 이어, 최근에는 스택 기반 버퍼 오버플로우를 유발하는 원격코드실행(RCE) 취약점(CVE-2026-41089)이 발견되어 전 세계 보안 기관들이 긴급 경고를 발령한 상태입니다.
이 취약점들의 핵심 메커니즘과 위험성을 상세히 설명해 드리겠습니다.
취약점의 핵심 개념과 정의
Netlogon은 윈도우 도메인 환경(Active Directory) 내에서 컴퓨터와 사용자 간의 인증을 처리하고 보안 채널을 유지하는 원격 프로토콜입니다.
제로클릭 취약점이라는 명칭이 붙은 이유는 공격자가 이메일 첨부파일을 열게 하거나 악성 링크를 클릭하도록 유도하는 등의 사회공학적 기법을 전혀 쓰지 않기 때문입니다.
타깃 서버가 네트워크에 연결되어 있고 Netlogon 포트가 열려 있다면, 공격자가 정밀하게 조작한 네트워크 패킷을 전송하는 것만으로 공격이 성립됩니다.
공격이 발생하는 기술적 원리
암호화 검증 우회 (과거 제로로그온의 사례)
초기 Netlogon 취약점은 인증 과정에서 사용되는 AES-CFB8 암호화 알고리즘의 초기화 벡터(IV)를 무작위 값이 아닌 전부 0(Zero)으로 고정하여 처리하는 설계 결함에서 비롯되었습니다.
공격자가 인증 요청 패킷의 모든 값을 0으로 채워 반복 전송하면, 약 256번의 시도 안에 서버가 정상적인 인증 키로 오인하여 인증을 통과시켜 주는 취약점이었습니다.
스택 기반 버퍼 오버플로우 (최신 RCE의 사례)
최근 제로클릭 위협으로 대두된 결함은 서버가 Netlogon 원격 프로토콜 요청을 파싱(해석)하는 과정에서 발생합니다.
공격자가 데이터 구조의 길이 제한이나 경계 값을 무시하도록 비정상적인 필드를 포함한 네트워크 요청을 보낼 때, 서버는 이를 제대로 검증하지 못하고 메모리의 스택 영역에 지정된 크기 이상의 데이터를 덮어쓰게 됩니다.
이 과정에서 메모리 흐름이 조작되어 공격자가 의도한 악성 코드가 서버 내부에서 실행됩니다.
실제 침해로 이어지는 공격 단계
첫째, 공격자는 도메인 컨트롤러(DC)의 Netlogon 서비스 포트 접근 권한을 확보하기 위해 내부망에 진입하거나 외부로 노출된 포트를 탐색합니다.
둘째, 사용자 로그인이나 별도의 인증 세션 없이, 조작된 특수 네트워크 요청 패킷을 대상 윈도우 서버로 직접 전송합니다.
셋째, 서버가 패킷을 처리하는 과정에서 취약점이 발현되어 인증이 우회되거나 메모리 오버플로우가 일어나면서 공격자의 코드가 최고 권한(SYSTEM)으로 구동됩니다.
넷째, 권한을 확보한 공격자는 도메인 컨트롤러의 컴퓨터 계정 비밀번호를 강제로 변경하거나 내부 비밀번호 데이터베이스를 덤프하여 기업 전산망 전체를 장악합니다.
보안상 위험성과 파급력
파급력이 극대화되는 이유는 공격의 대상이 도메인 컨트롤러이기 때문입니다.
도메인 컨트롤러는 기업이나 기관 내의 모든 PC와 서버, 사용자 계정 권한을 중앙에서 관리하는 핵심 서버입니다.
따라서 한 대의 도메인 서버만 침해당해도 해커는 네트워크 내의 모든 자산에 접근할 수 있는 최고 관리자 권한을 손에 쥐게 되며, 이는 곧 대규모 랜섬웨어 유포나 기밀 정보 유출로 직결됩니다.
게다가 사용자의 행위가 필요 없는 제로클릭 방식이므로 방화벽 내부의 수동적인 보안 모니터링만으로는 침투 자체를 인지하기 매우 어렵습니다.
권장되는 방어 및 대응 조치
가장 원칙적인 해결책은 마이크로소프트가 제공하는 최신 누적 보안 패치를 도메인 컨트롤러 인프라에 즉시 적용하는 것입니다.
간혹 시스템 운영의 안정성이나 타 솔루션과의 호환성 문제로 패치를 미루는 경우가 있으나, 이는 공격자들에게 완벽한 통로를 열어두는 것과 같습니다.
실시간 패치가 불가능한 임시 상황에서는 외부망에서 도메인 컨트롤러로 직접 향하는 Netlogon 관련 포트 접근을 철저히 차단하고, 내부 네트워크 안에서도 비정상적인 인증 시도나 갑작스러운 트래픽 급증이 발생하는지 모니터링 체계를 강화해야 합니다.

'정보의힘' 카테고리의 다른 글
| 갤럭시 탭 S6 라이트(2024)' 최신 One UI 8.5 업데이트 배포 (2) | 2026.06.08 |
|---|---|
| 갤럭시 탭 S8 시리즈 원UI 8.5 업데이트 불가 (2) | 2026.06.07 |
| 아이폰 vs 안드로이드, 누가 더 안전할까? (4) | 2026.06.06 |
| 차세대 '갤럭시 Z 폴드 8 울트라'용 새로운 카본 스탠딩 케이스 추가? (0) | 2026.06.05 |
| 애플, 제미나이 기반 시리(Siri)에 엔비디아 칩 사용 (6) | 2026.06.05 |