2024년 Microsoft 보안 취약점 1,360건 기록…역대 최고치

Microsoft Vulnerabilities Reach Record High with Over 1,300 Reported in 2024

Microsoft Vulnerabilities Reach Record High with Over 1,300 Reported in 2024

 

• Microsoft 취약점 동향
  • 2024년 한 해 동안 Microsoft 제품군에서 총 1,360건의 보안 취약점이 보고되어 역대 최다 수치 기록
  • 이 중 약 40%는 권한 상승(Elevation of Privilege, EoP) 유형으로 공격자가 시스템 내 권한을 상승시킬 수 있는 취약점
  • 이는 Microsoft 소프트웨어 개발 수명주기에서 권한 제어의 미비점을 드러내는 핵심 지표
• 제품별 취약점 분석
  • Microsoft Edge
    • 전년 대비 17% 증가하여 총 292건 발생
    • 이 중 9건은 심각(Critical) 등급으로, 전년 대비 800% 급증
    • 웹 브라우저를 겨냥한 고도화된 공격 패턴 증가 추정
  • Windows 및 Windows Server
    • Windows: 587건 (33건 심각)
    • Windows Server: 684건 (43건 심각)
    • 전체 취약점 중 약 50% 이상 차지, 광범위한 사용자 기반과 시스템 복잡도 영향
  • Microsoft Office
    • 62건으로 전년 대비 거의 2배 증가
    • 생산성 도구에 대한 위협 집중화 지속
• 대응 전략
  • 단순 패치 전략만으로는 대응 역부족
  • 구글 클라우드 CISO 사무국의 보안 자문가 안톤 추바킨은 “패치는 중요한 요소이나 전체 전략이 되어서는 안 된다”고 경고
    • 최소 권한(Least Privilege), 네트워크 분리(Segmentation), 제로 트러스트(Zero Trust) 기반 전략 강조
  • 패치 지연 및 미적용 상황을 고려한 복합 방어 체계 구축 필요
• 권한 기반 보안 대응
  • BeyondTrust는 통합 플랫폼 Pathfinder를 통해 다음과 같은 보안 기능을 연계 제공
    • 특권 접근 관리(PAM)
    • 정체성 위협 탐지 및 대응(ITDR)
    • 클라우드 정체성 및 권한 관리(CIEM)
  • 정체성 기반 인프라 방어를 통해 취약점 악용 가능성 최소화 유도
• 미래 대응 방향
  • Microsoft는 장기 보안 전략인 Secure Future Initiative(SFI) 추진 중
  • AI 기반 탐지 기술, 레드팀 훈련, 지속적인 위협 모니터링 등 선제적 보안 전략이 필수
  • 기업은 Windows 환경에 대한 최소 권한 정책, 제로 트러스트 도입, 취약점 조기 대응 체계 수립이 요구됨
• 결론
  • 2024년은 Microsoft 제품군의 구조적 보안 문제와 그에 대한 외부 공격 시도의 증가를 명확히 보여준 해
  • 단순 패치 중심이 아닌, 정체성 기반 보안 통합 전략과 예방 중심의 아키텍처 개선이 절실
  • 조직은 취약점 관리 외에도 위협 탐지, 권한 제어, 사용자 행동 기반 방어 전략을 병행해야 함