Kant's IT/Vulnerability
2024년 마이크로소프트 보안 취약점 역대 최고치 기록
Kant Jo
2025. 5. 29. 07:00
마이크로소프트 취약점 지난해 역대 最多
비욘드트러스트가 발간한 ‘마이크로소프트 취약점 리포트 2025’(Microsoft Vulnerabilities Report 2025)에 따르면, 지난해 마이크로소프트(MS) 윈도우와 오피스, 클라우드, 브라우저 등 제품군 전체에 걸
www.boannews.com
- 전체 개요
- 비욘드트러스트의 ‘마이크로소프트 취약점 리포트 2025’에 따르면 2024년 한 해 동안 MS 제품군에서 총 1360건의 보안 취약점 보고
- 이는 리포트 발간 이후 가장 많은 수치로, 마이크로소프트 제품 복잡성과 함께 보안 위협 노출이 심화되고 있음
- 세계 기업 중 약 75%가 MS 기반 시스템을 사용하고 있어 파급력 큼
- 제품군별 취약점 현황
- 윈도우 서버: 684건 중 43건이 중대(Critical) 위협
- 일반 윈도우: 587건 중 33건이 중대(Critical) 위협
- 마이크로소프트 엣지(Edge): 전년 대비 17% 증가한 292건, 이 중 9건은 중대(Critical) 등급
- 오피스(Office): 전년 대비 거의 2배 증가한 62건
- 클라우드 제품군(애저, 다이나믹365): 전년과 유사한 수준으로 안정세 유지
- 주요 공격 벡터
- 권한 상승(Elevation of Privilege, EoP) 취약점이 전체의 40%인 554건을 차지
- 일반 사용자 권한을 관리자 권한으로 상승시키는 공격으로 활용
- 이후 lateral movement, 랜섬웨어, 백도어 설치 등 2차 피해 가능성 증가
- 원격코드실행(RCE) 가능성이 있는 다수의 중대 취약점 존재
- 권한 상승(Elevation of Privilege, EoP) 취약점이 전체의 40%인 554건을 차지
- 보안 권고
- 단순 패치 중심의 대응에서 벗어나 다층적 보안 전략 필요
- 최소 권한 원칙(Least Privilege) 적용
- 네트워크 및 시스템 분할(Segmentation)
- 제로 트러스트(Zero Trust) 모델 도입
- 특권 접근 관리(PAM), 클라우드 권한 통제(CIEM), ID 기반 보안(ITDR) 강화
- 자동화된 패치 관리 및 위협 탐지 시스템 연계 필요
- 사용자 및 관리자 대상 보안 인식 제고와 훈련 중요
- 단순 패치 중심의 대응에서 벗어나 다층적 보안 전략 필요
- 결론
- MS 제품군의 보안 취약점은 복잡도 증가에 따라 증가하는 경향
- 기업은 패치 이외에도 사전적 방어체계 및 신속한 탐지·대응 프로세스 강화가 필요
- 제로 트러스트 및 ID 보안 중심의 아키텍처로 전환 필요성 대두