Microsoft 2026년 4월 패치 화요일: 주요 보안 인사이트
SharePoint Server 관리자는 Microsoft의 2026년 4월 패치 화요일 릴리스의 취약점 중 하나가 이미 적극적으로 악용되고 있어 긴급 패치 마감일에 직면하고 있습니다. 스푸핑 결함은 4월 14일 Windows, Office, SharePoint 및 기타 제품 전반에 걸쳐 릴리스된 업데이트에서 수정된 167개의 취약점 중 하나입니다.
2026년 4월 패치 화요일 개요
이번 릴리스는 Microsoft 역사상 두 번째로 큰 월간 업데이트입니다. 패치된 167개의 취약점 중:
- 8개는 최고 심각도 등급을 가집니다.
- 7개는 원격 코드 실행 결함으로 분류됩니다.
- 1개는 서비스 거부 취약점입니다.
이 중 두 개의 제로데이가 공개되었으며, 하나는 패치 이전에 적극적으로 악용되었습니다.
적극적으로 악용된 SharePoint 제로데이 (CVE-2026-32201)
CVE-2026-32201은 Microsoft SharePoint Server의 스푸핑 취약점으로, 이번 릴리스에서 패치된 적극적으로 악용된 제로데이입니다. Microsoft의 권고에 따르면 이 결함은 인증되지 않은 공격자가 네트워크 기반 스푸핑 공격을 수행할 수 있도록 하는 입력 검증 약점에서 비롯됩니다. 성공적인 악용은 공격자에게 민감한 데이터에 대한 읽기 및 쓰기 권한을 부여하지만, 시스템 가용성에는 영향을 미치지 않습니다.
주요 세부 사항:
- 네트워크에서 접근 가능한 모든 SharePoint Server 인스턴스가 잠재적 대상이 됩니다. 인증이 필요하지 않습니다.
- Microsoft는 악용 방법론이나 취약점을 발견한 사람의 신원을 공개하지 않았습니다.
SharePoint Server는 정교한 위협 행위자의 반복적인 표적이 되어 왔습니다. 예를 들어, 2025년 7월 정부 기관을 대상으로 한 랜섬웨어 공격과 연결된 별도의 제로데이(CVE-2025-53770)가 있었습니다. SharePoint는 Active Directory 및 엔터프라이즈 파일 저장소와 깊이 통합되어 있어 네트워크를 가로지르는 이동을 노리는 공격자들에게 높은 가치를 지닙니다.
온프레미스 SharePoint 배포의 구조적 과제
9개월 내 두 개의 SharePoint 제로데이 악용은 온프레미스 배포에서의 구조적 노출을 강조합니다. SharePoint Online으로 마이그레이션하지 않은 조직은 클라우드 호스팅 버전의 다음과 같은 이점을 누리기 위해 점점 더 많은 압박을 받고 있습니다:
- 관리자 개입 없이 자동 패치.
- 셀프 호스팅 배포에서는 없는 추가적인 네트워크 수준 보호 계층.
업데이트를 즉시 적용할 수 없는 관리자는 다음을 수행해야 합니다:
- SharePoint 엔드포인트 주변의 네트워크 세분화 검토.
- 패치 이전 악용 활동의 징후를 찾기 위한 액세스 로그 감사.
두 번째 제로데이: Microsoft Defender 취약점 (CVE-2026-33825)
CVE-2026-33825는 4월에 패치된 두 번째 제로데이로, Microsoft Defender Antimalware 플랫폼의 권한 상승 결함입니다. 패치 이전에 공개되었지만, 적극적인 악용과는 연결되지 않았습니다. 성공적인 악용은 시스템 수준의 권한 상승을 일으켜 공격자가 영향을 받은 시스템을 완전히 제어할 수 있습니다.
주요 세부 사항:
- 기본적으로 Defender의 높은 권한은 이 결함을 특히 위험하게 만듭니다. 공격자는 보안 보호를 완전히 비활성화할 수 있습니다.
- 보안 연구원 Zen Dodd와 Yuanpei XU가 Diffract 퍼징 도구를 사용하여 이 취약점을 발견했습니다.
- 수정은 Windows Defender를 실행하는 시스템에 자동으로 다운로드되는 Defender Antimalware 플랫폼 업데이트 버전 4.18.26050.3011을 통해 제공되었습니다.
관리자는 다음과 같은 경우가 아니라면 수동 조치를 취할 필요가 없습니다:
- Defender 자동 업데이트가 비활성화된 경우.
- Defender를 대체하는 타사 안티바이러스 솔루션이 사용 중일 경우, 업데이트 수동 확인이 필요합니다.
패치 배포에서의 위험 프로파일 차이
Microsoft Defender 업데이트는 조용한 자동 배포를 통해 몇 시간 내에 엔드포인트에 도달합니다. 반면, SharePoint Server 패치는 수동 테스트 및 예약된 배포가 필요하여 두 가지 뚜렷한 위험 프로파일을 생성합니다:
- Defender 수정은 노출 시간이 몇 시간에 불과합니다.
- SharePoint Server 패치는 배포에 며칠 또는 몇 주가 소요될 수 있습니다.
2026년 4월 취약점 세부 분석
카테고리별로 167개의 취약점은 다음과 같이 구성됩니다:
- 93개 권한 상승
- 20개 원격 코드 실행
- 21개 정보 공개
- 13개 보안 기능 우회
- 10개 서비스 거부
- 9개 스푸핑
권한 상승 취약점은 전체의 절반 이상을 차지합니다.
SharePoint 외 엔터프라이즈 위험
두 개의 제로데이 외에도 Microsoft는 Office의 여러 원격 코드 실행 버그를 해결했습니다. 공격자는 피해자가 악성 문서를 미리보기만 해도 이를 악용할 수 있습니다. Outlook의 미리보기 창에서 파일을 보는 것 외에는 추가적인 상호작용이 필요하지 않아, 이러한 결함은 엔터프라이즈 환경에서 특히 위험합니다.
잠재적 위협 벡터는 다음을 포함합니다:
- 미리보기 시 임의 코드를 실행하도록 설계된 Word 또는 Excel 파일.
- 기업 네트워크로의 진입점 역할을 할 수 있는 원격 데스크톱 클라이언트 취약점.
추가 정보
패치 화요일 집계에는 4월 초에 처리된 Mariner, Azure 및 Bing의 수정 사항과 Google에서 패치한 80개의 Microsoft Edge 및 Chromium 취약점이 포함되지 않습니다. 모든 Microsoft 관련 업데이트를 합치면 2026년 4월의 총 취약점 범위는 167개보다 훨씬 큽니다.
Windows 11 사용자는 KB5083769로 누적 업데이트를 받으며, 여기에는 다음과 같은 기능 업데이트도 포함됩니다:
- 스마트 앱 제어 토글.
- Copilot과의 내레이터 통합.
- 1000Hz 이상의 디스플레이 재생률 지원.
Windows 10 사용자는 확장된 보안 업데이트 프로그램에 따라 별도의 누적 업데이트(KB5082200)를 받습니다. 이 패치는 동일한 취약점을 해결하지만, 2025년 10월 지원 종료 이후에도 Windows 10을 계속 사용하는 조직에 비용 압박을 가합니다.
결론
4월의 167개 취약점은 2026년 단일 월간 총계 중 가장 큰 규모로, 2월의 수치를 거의 3배로 증가시켰습니다. 공격자는 취약점을 발견하고 무기화하는 속도가 점점 빨라지고 있으며, 종종 패치가 제공되기 전에 이루어집니다. 이 추세는 가능한 경우 자동 패치 배포의 필요성을 강조하며, 하이브리드 인프라를 관리하는 IT 관리자에게 증가하는 운영 부담을 보여줍니다.
온프레미스 SharePoint 배포의 경우, 지금부터 성공적인 패치까지의 매일이 중요한 노출 창을 나타냅니다. CISA의 Binding Operational Directive 22-01을 준수하는 조직은 적극적으로 악용된 SharePoint 취약점이 Known Exploited Vulnerabilities (KEV) 카탈로그에 추가되어 해당 엔터티에 대한 필수 수정 기한을 설정할 것으로 예상해야 합니다.
출처: Microsoft Security Response Center (MSRC)