Microsoft 2026년 1월 패치 화요일: DWM 취약점과 실제 악용된 제로데이 대응 가이드
지금 바로 패치하세요. Microsoft가 확인한 실제 악용 중인 제로데이가 포함되었습니다. ASLR을 우회하는 정보유출 취약점의 공격 원리와 대응 방법을 상세히 설명합니다.
보안 업데이트 발표
Microsoft는 2026년 1월 14일에 정기 보안 업데이트를 발표했습니다.
이번 보안 업데이트인 패치 화요일은 실제 공격에 악용된 제로데이 취약점이 포함되었다는 것이 특히 중요합니다.
보안 패치는 단순한 시스템 유지보수가 아니거든요.
우리는 해커가 타겟으로 삼으면 결국 뚫린다는 전제로 정보보안 업무에 임해야 합니다.
따라서 해커의 레이더에 포착되지 않도록 취약점 노출을 최소화하고,
해커가 시스템을 분석할 때 공략할 지점을 찾지 못하게 만들어야 합니다.
그렇게 해커가 무의미한 시간을 허비하다가 스스로 포기하도록 유도하는 것이 현실적인 방어 전략입니다.
그러면 이 포스팅에서 이번 제로데이 취약점과 함께 발표된 주요 취약점 및 대응 방안에 대해 확인해 봅시다.
주요 보안 업데이트
- 총 114개 취약점 수정
- 제로데이 3건 포함
- 실제 악용 확인된 제로데이 1건
- Critical 등급 8건 (원격 코드 실행 6건 + 권한 상승 2건)
- 권한 상승 취약점 57건
- 원격 코드 실행 취약점 22건
- 정보 유출 취약점 22건
이번 보안 업데이트는 2025년 1월과 2022년 1월에 이어 역대 세 번째로 큰 1월 패치 규모입니다.
제로데이 취약점: CVE-2026-20805
이번 패치에서 가장 주목해야 할 취약점은 CVE-2026-20805입니다.
Microsoft Threat Intelligence Center와 Microsoft Security Response Center가 발견했으며 실제 공격에 악용된 정황까지 확인되었습니다.
이미 해커들이 활용하고 있다는 말이죠.
이 취약점 하나만 보면 별거 아닌 것 같지만
다른 취약점과 조합하면 공격 성공률을 급격히 끌어올리는 증폭기 역할을 합니다.
취약점 개요
이 취약점은 Windows Desktop Window Manager(DWM)에서 발생하는 정보 유출 취약점입니다.
DWM은 Windows 시스템에서 화면에 표시되는 모든 것을 그리는 핵심 구성 요소입니다.
거의 모든 프로세스가 화면에 무언가를 표시해야 하므로 DWM은 높은 권한으로 실행됩니다.
이러한 특성 때문에 DWM은 해커들에게 매력적인 공격 대상이 됩니다.
CVSS 점수는 5.5로 중간 수준이지만 실제 위험성은 점수보다 높습니다.
이 정보 유출 취약점만으로는 직접적인 피해가 발생하는 것은 아닙니다.
그런데 이 취약점이 위험한 이유는 단독으로 쓰이기보다는 다른 취약점과 함께 사용되기 때문입니다.
예를 들어 해커가 이미 피싱이나 브라우저 취약점을 통해 일반 사용자 권한으로 시스템에 침투했다고 가정해 보겠습니다.
이후 CVE-2026-20805를 이용해 DWM 프로세스의 메모리 주소를 알아내면 ASLR이 무력화되고,
기존에 불안정하던 권한 상승 익스플로잇이 훨씬 안정적으로 동작하게 됩니다.
결국 “정보 유출 → ASLR 우회 → 권한 상승”으로 이어지는 체인 공격이 완성되는 셈입니다.
공격 원리
해커가 이 취약점을 악용하면 원격 ALPC 포트와 연관된 메모리 주소 일부가 노출됩니다.
ALPC는 Advanced Local Procedure Call의 약자로 Windows 구성 요소들이 서로 통신할 때 사용하는 메커니즘입니다.
노출된 메모리 주소 정보는 ASLR(Address Space Layout Randomization)을 우회하는 데 사용됩니다.
ASLR은 프로그램이 메모리에 로드될 때마다 주소를 무작위로 배치하는 보안 기능인데,
해커가 코드가 어디에 있는지 모르면 버퍼 오버플로우 같은 공격을 성공시키기 어렵죠.
그런데 이 취약점으로 DWM 프로세스의 메모리 주소를 알아내면 해커는 개꿀이죠.
ASLR을 우회하여 안정적인 권한 상승 익스플로잇 개발하는게 가능해 집니다.
불안정하고 시스템을 충돌시키기 쉬운 공격 코드가 신뢰할 수 있는 공격 도구로 바뀌게 되버리는 것이죠.
DWM은 과거에도 제로데이 공격 대상이 된 적이 여러번 있습니다.
2024년 5월에는 CVE-2024-30051이라는 권한 상승 취약점이 QakBot 악성코드 배포에 악용되었었고
2022년 이후 DWM에서 패치된 취약점만 20건이 넘습니다.
DWM이 특히 위험한 이유는 단순히 화면을 그리는 프로그램이 아니기 때문입니다.
Windows에서는 각 애플리케이션이 직접 화면에 출력하지 않고 모든 창을 DWM이 모아서 최종 화면을 합성합니다.
즉, 저권한 사용자 프로세스에서 시작된 입력도 결국 DWM이라는 SYSTEM 권한 프로세스를 거치게 됩니다.
이런 구조 때문에 DWM은 사용자 권한과 시스템 권한의 경계에 위치한 컴포넌트이고,
해커 입장에서는 권한 상승의 발판으로 활용하기에 매우 좋은 위치에 있습니다.
그만큼 신경써야 하는 부분인거죠.
대응 방법
CISA(미국 사이버보안 및 인프라 보안국)는 이 취약점을 KEV(Known Exploited Vulnerabilities) 카탈로그에 등록했습니다.
연방 민간 행정부 기관은 2026년 2월 3일까지 패치를 적용해야 합니다.
지금 이글을 보시는 분이 조직의 정보보안 담당자라면 다음 순서로 패치를 적용하는 것을 권장합니다.
- 원격 근무 단말과 외부 접속이 잦은 시스템을 우선 패치합니다.
- 권한 관리가 복잡한 업무용 PC를 다음으로 패치합니다.
- 핵심 업무 시스템과 특수 장비는 사전 검증 후 단계적으로 적용합니다.
패치가 즉시 어려운 환경에서는 임시 조치로 로컬 저권한 계정의 접근을 제한하고 EDR 도구로 DWM 프로세스를 모니터링해야 합니다.
영향받는 시스템과 패치 정보는 다음과 같습니다.
| 플랫폼 | KB 문서 | 빌드 번호 |
|---|---|---|
| Windows 10 v1809 (x64/32-bit) | KB5073723 | 10.0.17763.8276 |
| Windows Server 2012 R2 | KB5073696 | 6.3.9600.22968 |
| Windows Server 2012 | KB5073698 | 6.2.9200.25868 |
| Windows Server 2016 | KB5073722 | 10.0.14393.8783 |
EDR 탐지 불가
이 취약점이 더 골치 아픈 이유는 EDR이 있어도 탐지가 쉽지 않다는 점입니다.
일단 이 공격의 시작은 정보 유출입니다.
파일을 떨어뜨리거나 쉘을 띄우거나 수상한 프로세스를 생성하지 않습니다.
단순히 DWM이 처리하는 정상적인 ALPC 통신 과정에서 메모리 주소 일부가 새는 구조라서
EDR 입장에서는 이상 행동으로 탐지하지 않게 됩니다.
또 하나의 문제는 공격이 전부 정상 프로세스 안에서 일어난다는거죠.
악성코드가 새로운 프로세스를 만들지 않고
이미 실행 중인 dwm.exe와 상호작용하는 방식으로 진행되기 때문에
프로세스 생성, 인젝션, 의심스러운 자식 프로세스 같은 전통적인 탐지 포인트가 거의 없습니다.
게다가 DWM은 원래 SYSTEM 권한으로 실행되는 핵심 Windows 프로세스인데
EDR도 이 프로세스의 모든 행위를 강하게 차단하거나 후킹하기는 부담스러울 수밖에 없습니다.
오히려 장애 발생으로 인한 조직 구성원들의 불만 폭주를 정보보안 담당자가 감당하기는 상당히 부담스러운거죠.
그래서 조심스럽게 모니터링하는 정도로만 탐지하기 때문에 현실적으로 거의 탐지되지 않습니다.
정말 중요한건 이 취약점은 단독 공격이 아니라 체인 공격의 중간 단계라는게 탐지를 어렵게 만듭니다.
EDR이 보기에는 앞단은 평범한 사용자 프로세스 활동이고
뒷단의 권한 상승은 이미 ASLR이 우회된 상태에서 짧고 조용하게 끝나버립니다.
이러다 보니 로그를 나중에 되짚어보면 이상해 보이지만
실시간으로 막기는 쉽지 않은 공격 흐름입니다.
그래서 이 취약점은 “EDR이 있는데 왜 당했지?”라는 말이 나오기 딱 좋은 유형이고
결국 패치가 최선이자 거의 유일한 대응책이 됩니다.
추가 공개 제로데이 취약점
아직 실제 악용은 확인되지 않았지만 이미 공개된 제로데이 2건이 포함되어 있습니다.
시큐어 부트 인증서 만료: CVE-2026-21265
2011년에 발급된 시큐어 부트 인증서들이 2026년 6월부터 순차적으로 만료됩니다.
시큐어 부트는 부팅 과정에서 펌웨어 모듈이 신뢰할 수 있는 출처에서 왔는지 검증하는 보안 기능입니다.
인증서가 만료되면 이 검증이 불가능해지고 악성코드가 부팅 과정에 침투할 수 있습니다.
만료 예정 인증서는 다음과 같습니다.
| 인증서 | 만료일 | 용도 |
|---|---|---|
| Microsoft Corporation KEK CA 2011 | 2026년 6월 24일 | DB 및 DBX 업데이트 서명 |
| Microsoft Corporation UEFI CA 2011 | 2026년 6월 27일 | 서드파티 부트로더 서명 |
| Microsoft Windows Production PCA 2011 | 2026년 10월 19일 | Windows 부트 매니저 서명 |
인증서가 만료된 후에도 패치되지 않은 시스템은 Windows 부트 매니저 보안 수정을 받을 수 없습니다.
BlackLotus 같은 UEFI 부트킷 공격에 취약해질 수 있습니다.
1월 보안 업데이트는 2023년에 발급된 새 인증서로 갱신하는 조치를 포함합니다.
조직의 정보보안 담당자라면 Windows 버전과 부팅 정책(UEFI/보안 부팅 적용 여부)을 자산 단위로 파악하고 계획적으로 업데이트를 적용해야 합니다.
Agere 소프트 모뎀 드라이버: CVE-2023-31096
이 취약점은 2023년에 이미 공개되었지만 이번 패치에서야 조치되었습니다.
Agere 소프트 모뎀 드라이버에서 발생하는 권한 상승 취약점입니다.
해커가 이 취약점을 악용하면 SYSTEM 권한을 획득할 수 있습니다.
Microsoft는 취약한 드라이버인 agrsm64.sys와 agrsm.sys를 Windows에서 완전히 제거하는 방식으로 조치했습니다.
2025년 10월에도 유사한 Agere 모뎀 드라이버인 ltmdm64.sys가 같은 이유로 제거된 바 있습니다.
모뎀이 연결되어 있지 않아도 드라이버만 존재하면 보안 취약점이 존재하는 것이니
산업 제어 시스템(ICS)처럼 레거시 장비를 사용하는 환경에서는 업데이트 후 장치 동작 여부를 확인해야 합니다.
그래서 제어 시스템의 컴퓨터는 EOS되기 전에 교체를 해 줘야 하는데
조직이 장비교체 예산을 충분히 투입하지 않기 때문에 늘 이렇게 취약한 컴퓨터들이 존재하게 되는거죠.
추가 보안 취약점
이번 패치에는 Critical 등급 취약점 8건이 포함되어 있습니다.
원격 코드 실행 6건과 권한 상승 2건입니다.
VBS(Virtualization-Based Security) Enclave 권한 상승 취약점인 CVE-2026-20876도 주의가 필요합니다.
이 취약점을 악용하면 VTL2(Virtual Trust Level 2) 권한을 획득할 수 있고
가상화 기반 보안 자체를 무력화할 수 있어 심각한 영향을 줄 수 있습니다.
Windows NTFS 원격 코드 실행 취약점 2건(CVE-2026-20840과 CVE-2026-20922)도 Exploitation More Likely로 분류되어 있다고 하네요.
전체 취약점 목록과 상세 정보는 하단의 레퍼런스를 살펴봐주세용~
맺음말
보안 취약점 조치 업무는 번거롭고 지루한 작업입니다.
매달 반복되는 패치 적용과 호환성 테스트는 끝이 없는 것처럼 느껴집니다.
게다가 주변에서는 이렇게 어려운 내용을 알지 못하니 무슨 일을 하고 있는지도 모르죠.
그러니 정보보안 업무는 외로운 것 같습니다.
하지만 이 작업을 소홀히 하면 어느 날 갑자기 보안 사고가 발생합니다.
꾸준한 패치 적용만이 정보보안 사고를 예방하는 가장 확실한 방법입니다.
저 또한 이번 패치를 계기로 다시 한번 취약점 관리의 중요성을 되새기며 꾸준히 노력하겠습니다.