미국 연방 사이버 보안 기관은 최근 Windows 시스템에 내장된 보안 소프트웨어인 Microsoft Defender가 랜섬웨어 공격에 사용되는 심각한 취약점에 직면해 있다고 경고했습니다. CVE-2026-33825로 추적되고 코드명이 "BlueHammer"인 이 취약점을 통해 인증된 공격자는 영향을 받는 시스템에서 자신의 권한을 상승시킬 수 있습니다. 공격자가 기업 또는 기관 네트워크에 진입하면 이 추가 권한은 공격 체인을 더욱 발전시키는 데 충분합니다. 미국 CISA(사이버 보안 및 인프라 보안국)는 이 취약점이 랜섬웨어 작업에 악용되었다고 밝혔지만 관련된 공격 그룹에 대한 구체적인 정보는 공개하지 않았습니다.

'BlueHammer'는 지난 4월 2일 특이한 방식으로 공개됐다. 'Chaotic Eclipse', 'Nightmare Eclipse'라는 이름을 사용하는 한 연구원은 마이크로소프트가 취약점 보고서를 처리하는 방식에 대한 불만을 이유로 마이크로소프트가 패치를 발표하기 전 관련 익스플로잇 세부 정보를 공개했다. 취약점 세부 정보를 조기에 공개하면 방어자가 일반적으로 준비하는 시간이 크게 단축되므로 잠재적인 공격자가 패치가 출시되기 전에 신속하게 취약점을 무기화할 수 있습니다.

마이크로소프트는 4월 14일 패치를 발표해 이 취약점이 인증된 사용자의 권한을 상승시키는 데 사용될 수 있다고 밝혔고, 그 달 말 공식 보안 권고를 업데이트해 취약점이 악용될 가능성이 "더 높았다"고 강조했지만 당시 실제 공격은 확인되지 않았습니다. 실제 상황은 제3자 보안 기관에서 제공합니다. 보안 회사인 Huntress는 패치가 출시되기 전에 공격자들이 BlueHammer를 악용하여 이를 제로데이 취약점으로 취급했다고 보고했습니다.

4월 22일, CISA는 알려진 악용 취약점(KEV) 카탈로그에 CVE-2026-33825를 추가하여 활발하게 악용되고 있는 보안 결함으로 표시했습니다. 후속 업데이트에서 CISA는 이 취약점이 랜섬웨어 공격에 악용되었음을 명확히 했습니다. 그러나 KEV 카탈로그는 일반적으로 항목을 업데이트할 때 더 자세한 정보를 제공하지 않으며, 취약성이 랜섬웨어와 관련된 것으로 표시된 경우 조직은 독립적인 알림을 발행하지 않습니다. 상대적으로 "자동"인 이 업데이트 방법으로 인해 일부 보안 실무자가 의문을 갖게 되었으며, 취약점 복구 우선순위를 정하는 최전선 방어 팀에 대한 실질적인 도움은 제한적입니다.

BlueHammer를 특별하게 만드는 것은 권한 상승을 가능하게 하는 기능뿐 아니라 핵심 보안 구성 요소인 Microsoft Defender 내에 존재한다는 것입니다. Windows에 내장된 보호 소프트웨어인 Defender는 더 높은 권한으로 실행되는 경우가 많습니다. 보안 팀은 시스템 가시성과 제어권을 얻기 위해 이러한 높은 권한에 의존합니다. 하지만 이는 Defender 자체에 취약점이 발생하면 그 영향이 일반 애플리케이션보다 훨씬 클 수 있다는 의미이기도 합니다. 공격자가 BlueHammer를 통해 더 높은 권한을 얻으면 측면 이동, 랜섬웨어 배포 및 기타 작업이 더 쉬워집니다.

특정 랜섬웨어 집단이 공격 체인에서 BlueHammer를 어떻게 사용하는지에 대한 공개 세부 정보는 여전히 제한적입니다. CISA의 KEV 카탈로그에는 항목 상태 변경 시 심층적인 설명이 부족하고, 취약점이 '랜섬웨어 공격용'으로 업데이트될 때 기관에서는 사전에 추가 경고를 푸시하지 않습니다. 이러한 정보 비대칭으로 인해 일부 보안 전문가는 방어자가 교정 전략을 세울 때 여전히 투명하고 충분한 정보 지원이 부족하다고 믿게 되었습니다.

이러한 정보 격차는 부분적으로 민간 부문의 노력으로 채워지고 있습니다. 위협 정보 회사인 GreyNoise는 취약점이 랜섬웨어 공격과 관련된 것으로 표시되는 경우를 포함하여 CISA KEV 카탈로그의 변경 사항을 추적할 수 있는 무료 도구를 출시했습니다. 이는 보안 팀이 이러한 중요한 정보의 변경 사항을 보다 시기적절하게 감지하고 패치 관리 및 위험 평가 시 더 빠른 대응을 촉진할 수 있도록 돕기 위한 것입니다.

BlueHammer의 타임라인은 소프트웨어 취약점을 처리하는 업계의 오랜 문제를 반영합니다. 이 경우 익스플로잇 세부 정보는 패치 이전에 공개되었으며, 공격자는 방어자가 수정 사항에 액세스하기 전에 운영 공격 매뉴얼을 얻었습니다. 패치가 출시된 후에도 실제 공격 시나리오에서 취약점이 사용된 구체적인 방식에 대한 정보가 뒤처지는 경우가 많았기 때문에 보안 팀은 완전한 그림 없이 결정을 내려야 했습니다.

모든 유형의 조직에서 4월 Microsoft 보안 업데이트 이후 패치가 배포되지 않은 시스템은 여전히 ​​랜섬웨어 공격과 관련된 것으로 입증된 위험에 노출될 수 있습니다. 복잡한 공격 시나리오에서 공격자는 종종 여러 기술적 수단을 결합합니다. 이러한 권한 상승 취약점이 핵심 보안 구성 요소 내에 나타나면 원래 작은 침입 시도가 심각한 보안 사고로 발전할 수 있습니다.