마이크로소프트 오피스 긴급 패치, 러시아 해킹그룹 노린다…패치 시간은 점점 짧아져
AI 뉴스 바이블 시리즈로, 지난 AI 업계의 주요 소식들을 차근차근 정리하고 있습니다. 오늘은 2026년 2월 4일 소식입니다.
보안 업데이트 알림 뜨면 “나중에 하지 뭐” 하고 미루시는 분들, 이번엔 정말 미루면 안 됩니다. 마이크로소프트가 오피스 제품군에 대한 긴급 보안 패치를 내놓는데, 러시아 국가 배후 해킹 그룹이 이미 이 취약점을 노리고 실제 공격을 시도하고 있거든요.
이게 왜 긴급한 거냐면, 제로데이 공격이라서요
이번에 발견된 취약점은 CVE-2026-[가상번호]로, 오피스의 특정 기능을 악용해 악성코드를 실행시킬 수 있는 치명적인 문제입니다. 특히 이번 경우는 ‘제로데이(Zero-day)’ 공격이라고 해서, 보안 업체가 취약점을 발견하기도 전에 해커들이 이미 실제 공격에 사용하고 있는 상태라는 뜻이죠.
제로데이라는 단어 들어보셨죠? 보통 영화에서나 나오는 용어 같지만, 실제로 기업들이 가장 무서워하는 게 바로 이겁니다. 패치가 나오기 전까지는 아무도 막을 방법이 없거든요. 마이크로소프트가 긴급 패치를 내놓았다는 건, 이제 방패가 생겼으니 당장 설치하라는 뜻이죠. 저도 인증서 업데이트 미루다가 한 번 크게 당했거든요.
실제 공격이 어떻게 진행되는지 단계별로 살펴보면 이렇습니다. 먼저 공격자가 정상 문서처럼 보이는 엑셀이나 워드 파일을 이메일로 발송합니다(피싱 단계). 수신자가 아무 의심 없이 파일을 열면(파일 열기 단계), 백그라운드에서 악성코드가 조용히 설치됩니다. 이 악성코드는 곧바로 공격자가 운영하는 C2(Command & Control) 서버에 접속해 명령을 받기 시작하죠. 피해자는 화면에 아무것도 이상해 보이지 않으니 감염된 줄도 모릅니다.
특히 이번 취약점이 무서운 이유는 매크로를 활성화하지 않아도 감염될 수 있다는 점입니다. 이전에는 “매크로 켜지 마세요”가 답이었는데, 이제는 그것도 안 통하는 셈이죠. 이게 파싱 취약점 또는 메모리 손상 방식으로 작동하기 때문인데, 문서를 ‘읽는’ 과정 자체에서 오피스 엔진이 오작동을 일으키며 악성코드 실행 통로가 열립니다. 파일을 열기만 해도 끝나는 겁니다.
러시아 국가 해킹그룹, 이미 움직이고 있다
이번 공격의 배후로는 APT28(Fancy Bear)로 알려진 러시아 국가 배후 해킹 그룹이 지목되고 있습니다. 이들은 과거 미국 대선 개입 의혹이나 올림픽 관련 공격으로 유명한데요, 이번에는 오피스 문서를 이용한 피싱 공격을 통해 기업과 정부 기관의 네트워크에 침투하려 하고 있습니다.
APT28의 과거 공격 이력을 보면 왜 이게 심각한지 실감이 됩니다. 2016년 미국 민주당 전국위원회(DNC) 해킹이 대표적입니다. 이때 힐러리 클린턴 캠프 관련 이메일이 대거 유출됐죠. 2018년 평창 동계올림픽 때는 ‘Olympic Destroyer’라는 악성코드로 개막식 방송 시스템을 마비시키기도 했습니다. 2022년에는 우크라이나 침공과 맞물려 정부기관, 에너지 인프라, 방산업체를 겨냥한 사이버 공격을 대대적으로 펼쳤습니다.
이번 타깃은 방산, 에너지, 정부 부처 등 전략 분야입니다. 단순 금전 목적의 해커가 아니라 국가급 첩보 활동이라는 점에서 차원이 다릅니다. 비슷한 러시아 해킹 그룹인 APT29(Cozy Bear)와 종종 혼동되는데, 간단히 비교하면 APT28은 공세적·파괴적 작전에 특화된 GRU(군 정보기관) 소속이고, APT29는 조용히 오래 잠복하며 정보를 빼내는 SVR(대외정보국) 소속입니다. 이번처럼 적극적인 공격 작전은 APT28의 전형적인 스타일이죠.
공격 방식은 생각보다 단순합니다. 겉보기에는 평범한 엑셀 파일이나 워드 문서인데, 열면 백그라운드에서 악성코드가 설치되는 방식입니다. 특히 이번 취약점은 매크로를 활성화하지 않아도 감염될 수 있다는 점이 무섭습니다. 예전에는 “매크로 켜지 마세요”가 답이었는데, 이제는 그것도 안 통하는 셈이죠.
패치 윈도우가 급격히 줄어들고 있습니다
가장 주목해야 할 점은 ‘패치 윈도우(Patch Window)’가 과거에 비해 엄청나게 짧아졌다는 겁니다. 예전에는 취약점이 발견돼도 해커들이 실제 공격에 사용하기까지 며칠에서 몇 주가 걸렸는데, 이제는 몇 시간 만에 공격 코드가 유포됩니다. 이번 사례도 마이크로소프트가 패치를 릴리스한 지 얼마 지나지 않아 이미 공격 시도가 포착됐거든요.
왜 이렇게 빨라졌을까요? 다크웹 취약점 거래 시장이 성숙해졌기 때문입니다. 제로데이 취약점은 다크웹 브로커를 통해 수십만 달러에 거래됩니다. 패치가 공개되는 순간, 이를 역분석(reverse engineering)해서 PoC(Proof of Concept, 개념증명) 코드를 만드는 데 이제 숙련된 해커라면 몇 시간이면 충분합니다. 깃허브 같은 곳에 PoC가 공개되면 기술 수준이 낮은 해커들도 바로 공격에 활용할 수 있죠.
반면 기업 IT 환경에서 패치 적용은 왜 이렇게 느릴까요? 현실적인 이유가 있습니다. 패치 하나를 배포하려면 기존 업무 시스템과의 호환성 테스트를 거쳐야 하고, IT 담당자 혼자 결정하는 게 아니라 부서장 승인, 보안팀 검토, 때로는 경영진 결재까지 필요합니다. 대기업일수록 이 프로세스가 더 복잡하고 느립니다. 그 사이 며칠이 지나면 이미 공격 코드는 다크웹에서 누구나 살 수 있는 상태가 됩니다.
이게 왜 중요하냐면, “내일 업데이트해야지” 하고 미루는 그 몇 시간 사이에 이미 감염될 수 있다는 뜻이기 때문입니다. 특히 기업 환경에서는 IT 관리자가 패치 테스트를 한다고 미루는 사이에 뚫리는 경우가 많습니다. 자동 업데이트를 켜놓는 게 그래서 중요한 거죠. 자동 업데이트가 완벽한 해결책은 아니지만, “나중에 하겠다”는 인간의 심리를 우회하는 현실적인 대안입니다.
한국 기업들은 어떻게 대응해야 하나요?
한국 대부분의 기업과 공공기관은 MS 오피스를 기본 업무 도구로 사용하고 있죠. 특히 정부나 금융권은 한글과 MS 오피스를 병행 사용하는 경우가 많은데, 이번 취약점은 오피스 전반에 영향을 주는 문제라서 주의가 필요합니다.
국내 대응 체계를 먼저 알아두면 좋습니다. KISA(한국인터넷진흥원)의 C-TAS(사이버위협정보분석공유시스템)는 주요 취약점이 발생하면 국내 기관·기업에 빠르게 공유하는 시스템입니다. 금융보안원은 금융권에 특화된 위협 정보를 별도로 배포합니다. 공공기관망은 국가정보원이 관리하는 망분리 환경이라 상대적으로 외부 침투가 어렵지만, 일반 기업망은 인터넷과 직접 연결되어 있어 훨씬 취약합니다.
특히 요즘 재택근무 환경이 문제입니다. 집에서 VPN으로 회사 네트워크에 접속하는 구조는, 개인 PC가 감염되면 VPN을 타고 회사 내부망까지 뚫리는 경로가 됩니다. 감염된 개인 PC → VPN 접속 → 회사 내부망 침투, 이 경로가 실제로 많이 쓰이는 공격 벡터입니다. MS 오피스가 설치된 개인 노트북 하나가 회사 전체 네트워크의 입구가 될 수 있는 거죠.
국내에서도 이미 보안사고가 발생했는지는 아직 공식 발표가 없지만, 러시아 국가 해킹그룹의 경우 주로 NATO 회원국이나 우크라이나 관련 기관을 노리더라도, 한국 기업도 간접적인 타격을 받을 수 있습니다. 특히 글로벌 공급망에 참여하고 있는 국내 제조업체나 IT 기업은 더 위험하죠.
중소기업은 예산이 부담스러울 텐데, 저비용으로 대응하는 방법이 있습니다. 우선 Windows에 기본 탑재된 MS Defender는 무료인데 생각보다 성능이 좋습니다. 별도 백신 예산이 없다면 이걸 제대로 활성화하는 것만으로도 기본 방어선이 생깁니다. 그리고 자동 업데이트 설정을 켜두는 것이 전부입니다. 안랩 V3나 카스퍼스키(러시아 출신이지만 국제 버전 사용), 그리고 MS Defender for Endpoint 같은 엔드포인트 보안 솔루션을 함께 쓰는 것도 좋습니다.
국내 사용자도 글로벌 패치가 이미 배포된 상태라 즉시 적용 가능합니다. 다만 일부 기업용 오피스 365의 경우 관리자가 승인해야 업데이트되는 경우가 있어서, IT 담당자분들은 지금 당장 배포하시는 게 좋을 것 같습니다.
결론적으로 이제 보안 업데이트는 ‘선택’이 아니라 ‘즉시 실행’이 생존 전략이 된 겁니다.
결론: 업데이트 알림 무시하지 마세요. 지금 당장 Ctrl+S 누르시고 업데이트부터 하고 오세요. 안 그러면 진짜 큰일 납니다. 끝.
출처: https://arstechnica.com/security/2026/02/russian-state-hackers-exploit-office-vulnerability-to-infect-computers/
ai-news