
마이크로소프트가 2026년 7월 14일(현지시간) 월례 보안 업데이트 ‘패치 화요일’을 통해 570개에 달하는 취약점을 한꺼번에 공개했다. 지난달보다 눈에 띄게 늘어난 규모로, 단일 패치 화요일 기준 역대 최다 기록이다. 이 중 2개는 패치가 나오기도 전부터 실제 공격에 악용된 제로데이로 확인돼, 관련 시스템을 쓰는 조직의 즉각적인 조치가 필요한 상황이다.
570개 중 진짜 위험한 건 몇 개?
전체 570개 가운데 ‘치명적(Critical)’ 등급은 59개였다. 이 중 48개는 원격 코드 실행(RCE), 9개는 권한 상승(EoP), 나머지는 보안 기능 우회와 스푸핑이었다.
유형별로 보면 권한 상승이 254개로 가장 많았고, 원격 코드 실행 145개, 정보 노출 102개, 서비스 거부 35개, 스푸핑 16개 순이었다. 숫자만 보면 압도적이지만, 실제로 조직의 방어 우선순위를 좌우하는 건 ‘이미 공격에 쓰였는가’다.
실제 공격에 쓰인 제로데이, 표로 정리하면
이번 달 공개된 제로데이는 3건이다. 이 가운데 2건은 패치가 나오기 전부터 실제 공격에 쓰인 것으로 확인됐고, 나머지 1건은 공개만 됐을 뿐 공격 사례는 아직 없다.
| CVE | 대상 제품 | 취약점 유형 | 상태 |
|---|---|---|---|
| CVE-2026-56155 | Active Directory Federation Services(AD FS) | 권한 상승 | 실제 공격 확인 |
| CVE-2026-56164 | SharePoint Server | 권한 상승 | 실제 공격 확인 |
| CVE-2026-50661 | BitLocker | 보안 기능 우회 | 공개만 됨 |
CVE-2026-56155는 마이크로소프트 자체 침해 대응팀(DART)이 실제 공격을 조사하는 과정에서 발견해 신고한 것으로 알려졌다. 회사 측은 구체적인 공격 방식은 공개하지 않았다. CVE-2026-56164는 별도 인증 절차 없이도 공격자가 셰어포인트 서버에서 권한을 높일 수 있는 결함으로, 만다이언트와 구글 클라우드 소속 연구자들이 함께 신고했다.
왜 하필 이번 달에 570개나 쏟아졌나
마이크로소프트는 이번 발표 직전 AI 기반 취약점 탐지 시스템을 도입해 윈도우 코드베이스 전반에서 결함을 공격자보다 먼저 찾아내고 있다고 예고한 바 있다. 숫자만 보면 불안하게 느껴지지만, 뒤집어 보면 그동안 발견되지 못한 채 방치됐을 결함들이 먼저 세상에 드러나고 있다는 뜻이기도 하다.
다만 동시에 이 숫자는 윈도우 생태계의 공격 표면이 그만큼 넓고 복잡하다는 사실도 재확인시켜 준다. 발견 속도가 빨라졌다고 해서 관리자의 패치 부담이 줄어드는 건 아니다.
같은 주간 다른 벤더들의 움직임도 예사롭지 않다. 비욘드트러스트는 원격 지원·특권 접근 관리 소프트웨어에서 발견된 치명적 인증 우회 결함 2건을 긴급 패치했고, SAP도 넷위버·커머스 클라우드·앱라우터에 걸친 치명적 결함 4건을 한꺼번에 고쳤다. 기업 인프라 전반에서 ‘보안 부채’가 한꺼번에 청산되는 듯한 한 주였다.
AD FS·셰어포인트 관리자라면 지금 확인할 것
- Windows Update로 이번 달 누적 업데이트가 적용됐는지 우선 확인한다.
- AD FS 서버는 최우선 패치 대상이다. 이미 관리자 권한 탈취 공격에 쓰인 결함이 존재한다.
- 셰어포인트 서버는 AMSI(Antimalware Scan Interface)를 활성화하고, Request Body Scan을 Full 모드로 설정해 임시 완화한다.
- BitLocker를 쓰는 기기는 분실·도난 대비 물리적 접근 통제 정책을 다시 점검한다.
- 패치 적용 전이라도 인터넷에 직접 노출된 AD FS·셰어포인트 서버는 접근을 제한하는 게 안전하다.
필자 시사점
패치 화요일은 매달 반복되는 루틴처럼 느껴지기 쉽지만, 이번 570개라는 숫자는 단순한 ‘많음’을 넘어선다. 이미 두 개의 결함이 패치 이전부터 실전 공격에 쓰였다는 사실은, “다음 기회에 몰아서 패치하면 된다”는 생각이 얼마나 위험한지 보여준다. 특히 AD FS처럼 조직 전체 인증 체계의 핵심에 있는 시스템은 패치 지연이 곧 전사적 침해로 이어질 수 있다는 점을 이번 사례가 다시 한번 확인시켜 준다.