마이크로소프트 3월 패치 튜즈데이, 제로데이 2개와 79개 취약점 한꺼번에 수정

2026년 3월 10일, 마이크로소프트는 월례 보안 업데이트인 패치 튜즈데이를 통해 79개의 보안 취약점을 수정했습니다. 이번 업데이트에는 사전에 공개된 제로데이 취약점 2개와 치명적(Critical) 등급 취약점 8개가 포함되어 있으며, 전체 취약점의 55.4%가 권한 상승(Elevation of Privilege) 유형으로 분류되었습니다. SQL Server 관리자 권한 탈취, Office 미리보기 창을 통한 원격 코드 실행, 그리고 AI 어시스턴트 Copilot을 악용한 데이터 유출까지 — 기업 보안팀에게는 즉각적인 대응이 요구되는 상황입니다.

특히 이번 패치 사이클은 2026년 들어 누적된 보안 위협의 심각성을 여실히 보여주고 있습니다. 1월에는 114개, 2월에는 59개(제로데이 6개 포함)의 취약점이 수정되었으며, 3월까지 합산하면 올해 벌써 250개 이상의 CVE가 패치된 셈입니다.

2026년 보안 위협 지형의 변화

마이크로소프트의 보안 업데이트 규모는 해를 거듭할수록 확대되고 있습니다. 2026년 첫 분기만 놓고 보더라도, 매월 평균 80개 이상의 취약점이 수정되고 있으며, 제로데이 취약점의 빈도도 높아지고 있습니다. 2월 패치 튜즈데이에서는 무려 6개의 제로데이가 실제 공격에 활용되고 있는 것으로 확인되어 보안 업계에 경각심을 불러일으켰습니다.

이러한 추세는 단순히 마이크로소프트 제품의 문제가 아니라, 전체 사이버 보안 생태계의 변화를 반영하고 있습니다. 공격자들은 점점 더 정교해지고 있으며, AI를 활용한 취약점 발견과 공격 자동화가 현실이 되고 있습니다. 실제로 이번 3월 패치에 포함된 CVE-2026-21536은 자율형 AI 침투 테스트 에이전트인 XBOW에 의해 발견된 치명적 원격 코드 실행 취약점으로, Immersive의 벤 매카시(Ben McCarthy)는 "AI 보조 취약점 연구가 보안 환경에서 점점 더 큰 역할을 할 것"이라고 평가했습니다.

핵심 취약점 심층 분석

CVE-2026-21262: SQL Server 권한 상승 제로데이

이번 패치에서 가장 주목해야 할 취약점은 CVE-2026-21262입니다. CVSS 3.1 기준 8.8점을 기록한 이 취약점은 마이크로소프트 SQL Server의 부적절한 접근 제어(CWE-284)에서 비롯되었습니다. 낮은 수준의 권한만 가진 인증된 사용자가 네트워크를 통해 SQL Server의 최고 관리자 권한인 sysadmin으로 권한을 상승시킬 수 있습니다.

sysadmin 권한을 획득한 공격자는 데이터 읽기·수정·삭제는 물론, 새로운 계정 생성과 데이터베이스 구성 변조까지 가능해집니다. SQL Server 2012부터 2022까지 Enterprise, Standard, Web, Express 등 모든 에디션이 영향을 받으며, 특히 멀티 테넌트 환경이나 공유 데이터베이스 환경에서는 피해 범위가 기하급수적으로 확대될 수 있습니다. Rapid7의 아담 바넷(Adam Barnett)은 "CVSS 8.8은 치명적 등급 문턱 바로 아래에 있으며, 낮은 수준의 권한만 필요하다는 점에서 매우 위험하다"고 경고했습니다.

CVE-2026-26127: .NET 서비스 거부 제로데이

두 번째 제로데이인 CVE-2026-26127은 .NET 프레임워크의 범위 초과 읽기(Out-of-bounds Read) 오류로 인한 서비스 거부(DoS) 취약점입니다. CVSS 7.5점으로, .NET 9.0과 10.0 버전이 Windows, macOS, Linux 전 플랫폼에서 영향을 받습니다. 원격 공격자가 네트워크를 통해 서비스 장애를 유발할 수 있어, .NET 기반 웹 서비스를 운영하는 기업에게는 심각한 가용성 위협이 됩니다.

CVE-2026-26110 및 CVE-2026-26113: Office 미리보기 창 원격 코드 실행

두 개의 Office 취약점은 각각 타입 혼동(Type Confusion)과 신뢰할 수 없는 포인터 역참조(Untrusted Pointer Dereference)에서 비롯되었으며, 둘 다 CVSS 8.4로 평가되었습니다. 가장 우려되는 점은 **미리보기 창(Preview Pane)**이 공격 벡터로 활용될 수 있다는 것입니다. 사용자가 악성 문서를 직접 열지 않더라도, 단순히 미리보기만으로 코드 실행이 가능합니다. Office 2016부터 Office 2024, Microsoft 365까지 Windows와 Mac 모든 버전이 영향을 받습니다.

Zero Day Initiative의 분석가는 "미리보기 창을 통한 공격 패턴은 지난 1년간 반복적으로 패치되어 왔으며, 실제 공격에 등장하는 것은 시간 문제"라고 경고했습니다.

CVE-2026-26144: Excel과 Copilot을 악용한 데이터 유출

이번 패치에서 가장 혁신적(이자 위험한) 공격 벡터는 CVE-2026-26144입니다. 이 취약점은 Microsoft Excel의 크로스 사이트 스크립팅(XSS) 결함을 활용하여 Copilot Agent 모드가 의도하지 않은 네트워크 경로를 통해 데이터를 유출하도록 만드는 제로 클릭 정보 공개 공격입니다. AI 어시스턴트와 전통적인 웹 취약점이 결합된 새로운 위협 범주의 등장을 의미합니다.

기업 보안에 미치는 영향

이번 패치 튜즈데이는 기업 보안팀에게 여러 차원의 도전을 안겨주고 있습니다. 첫째, SQL Server 취약점은 거의 모든 기업 환경에 존재하는 데이터베이스 인프라에 직접적인 위협이 됩니다. 둘째, Office 미리보기 창 취약점은 이메일을 통한 피싱 공격의 효과를 극대화할 수 있습니다. 셋째, Copilot을 악용한 데이터 유출은 AI 도구 도입이 새로운 공격 표면을 만들어내고 있음을 시사합니다.

Tenable의 사트남 나랑(Satnam Narang)은 이번 패치에서 전체 CVE의 55%가 권한 상승 취약점이었으며, 그 중 6개는 "악용 가능성 높음(Exploitation More Likely)"으로 평가되었다고 분석했습니다. Windows Graphics Component, Accessibility Infrastructure, Kernel, SMB Server, Winlogon 등 핵심 구성 요소에서 권한 상승 버그가 발견되었으며, 이는 초기 접근 후 공격자가 시스템 전체를 장악하는 데 활용될 수 있습니다.

SharePoint Server에서도 최소한의 인증만으로 악용 가능한 2개의 원격 코드 실행 취약점이 발견되어, 기업 내부 횡적 이동(Lateral Movement)의 발판이 될 수 있습니다.

패치 관리의 미래: 핫패치와 자동화

마이크로소프트는 패치 관리의 근본적인 변혁을 추진하고 있습니다. 2026년 5월부터 Microsoft Intune과 Windows Autopatch로 관리되는 모든 적격 디바이스에 대해 핫패치(Hotpatch) 보안 업데이트가 기본값으로 활성화됩니다. 핫패치는 재부팅 없이 보안 패치를 적용하는 서비스 메커니즘으로, 기존의 월례 누적 업데이트(LCU)와 달리 OS가 실행 중인 상태에서 패치가 즉시 효력을 발휘합니다.

이번 3월 업데이트인 Windows 11 KB5079473(빌드 26200.8037)에서는 Sysmon이 기본 내장 기능으로 추가되었고, **Quick Machine Recovery(QMR)**가 Windows 11 Pro에서 자동 활성화되었습니다. 이는 보안 모니터링과 장애 복구의 자동화를 향한 중요한 진전입니다.

테넌트 수준의 옵트아웃 제어가 2026년 4월 1일부터 제공될 예정이며, 마이크로소프트는 5월 변경 전에 파일럿 그룹에서 핫패치 배포를 테스트할 것을 권고하고 있습니다. 기업 IT팀은 현재 디바이스의 Windows 11 Enterprise/Education 에디션 호환성을 확인하고, Intune 등록 상태를 점검해야 합니다.

Azure와 클라우드 보안의 새로운 도전

이번 패치에서 특히 주목할 만한 것은 Azure 관련 취약점입니다. CVE-2026-26118은 Azure MCP(Model Context Protocol) Server의 권한 상승 취약점으로, 공격자가 관리 ID 토큰(Managed Identity Token)을 활용하여 권한을 상승시킬 수 있습니다. 이는 AI 통합과 클라우드 서비스의 결합이 새로운 보안 위험을 만들어내고 있음을 보여줍니다.

8개의 치명적 Azure 서비스 버그는 마이크로소프트가 이미 서버 측에서 수정을 완료했기 때문에 사용자 조치는 필요하지 않지만, 이러한 클라우드 네이티브 취약점의 빈도가 높아지는 추세는 기업의 클라우드 보안 전략에 대한 재검토를 요구합니다.

전망과 시사점

2026년 첫 분기의 패치 동향은 몇 가지 명확한 추세를 보여주고 있습니다. 권한 상승 취약점이 전체 패치의 절반 이상을 차지하는 현상은 공격자들이 초기 침투보다 내부 확산과 권한 장악에 집중하고 있음을 의미합니다. AI 도구가 취약점 발견(XBOW)과 공격 벡터(Copilot 악용) 양쪽 모두에서 역할을 하기 시작했으며, 이는 보안 공격과 방어 모두의 패러다임을 바꿀 것입니다.

기업 보안팀은 단순한 패치 적용을 넘어, SQL Server 사용자 권한 감사, Office 파일 블록 정책 설정, 공격 표면 축소(ASR) 규칙 적용, 그리고 AI 도구 사용에 대한 보안 정책 수립까지 포괄적인 대응 전략을 마련해야 합니다. 5월에 예정된 핫패치 기본 활성화에 대비한 사전 테스트와 인프라 준비도 즉시 시작해야 할 것입니다. 이번 3월 패치 튜즈데이는 단순한 월례 보안 업데이트가 아니라, 변화하는 보안 위협 환경에서 기업이 어떻게 적응해야 하는지를 보여주는 이정표적 사건입니다.