Hayden

최근 Microsoft에서 발표한 2025년 9월 보안 업데이트에서 Office 제품군에 심각한 보안 취약점이 발견되어 패치가 배포되었습니다. CVE-2025-54910으로 분류된 이 취약점은 힙 기반 버퍼 오버플로우로 인해 공격자가 로컬에서 임의 코드를 실행할 수 있는 위험한 보안 허점입니다. Office 문서를 열기만 해도 시스템이 위험해질 수 있다는 점에서 모든 사용자가 즉시 대응해야 할 중요한 이슈입니다. 이번 글에서는 이 취약점의 구체적인 원인부터 효과적인 대응 방법까지 단계별로 살펴보겠습니다.

 

 

1. CVE-2025-54910 취약점의 정체와 위험성

CVE-2025-54910은 Microsoft Office에서 발생하는 힙 기반 버퍼 오버플로우 취약점으로, 공격자가 악의적으로 조작된 문서를 통해 로컬에서 코드를 실행할 수 있게 합니다. 이 취약점은 CWE-122(Heap-based Buffer Overflow)로 분류되며, Microsoft Office 미리보기 창(preview pane)을 통해서도 공격이 가능한 특히 위험한 특성을 가지고 있습니다.

취약점의 핵심 특징

  • 취약점 유형: 힙 기반 버퍼 오버플로우 (CWE-122)
  • 영향 범위: Word, Excel, PowerPoint, Visio를 포함한 여러 Office 구성 요소
  • 공격 방식: 악의적으로 조작된 문서 파일 처리 시 발생
  • 위험도: 높음 (Critical)
  • 발견일: 2025년 9월 9일 공개

이 취약점이 특히 위험한 이유는 사용자가 단순히 악성 문서를 열기만 해도, 심지어 파일 탐색기에서 미리보기만 봐도 공격이 실행될 수 있다는 점입니다.

 

 

2. 힙 버퍼 오버플로우의 기술적 원리와 발생 원인

힙 기반 버퍼 오버플로우는 힙 메모리 영역에 할당된 버퍼보다 더 많은 데이터를 쓸 때 발생하는 메모리 손상 현상입니다. Office 문서 파서에서 이런 문제가 생기는 주요 원인들을 살펴보겠습니다.

취약점 발생의 세부 메커니즘

Office 문서 파서가 힙에 메모리를 할당한 후 할당된 버퍼가 보유할 수 있는 것보다 더 많은 데이터를 쓸 때 결함이 발생합니다. 구체적인 원인들은 다음과 같습니다:

  1. 임베디드 객체의 잘못된 크기 필드
    • 이미지, OLE 스트림, 도형 메타데이터 등의 잘못된 길이나 크기 필드
    • 파서가 실제보다 작은 버퍼를 할당하게 만드는 조작된 데이터
  2. 정수 연산 오류
    • 의도한 것보다 작은 할당 크기를 생성하는 정수 산술 오류
    • 오버플로우나 언더플로우로 인한 잘못된 메모리 계산
  3. 불완전한 경계 검사
    • 압축 해제, 복사 또는 연결 작업 중 불완전한 경계 검사
    • 데이터 처리 과정에서의 크기 검증 누락

공격 시나리오와 실행 과정

인접한 힙 메타데이터나 객체 구조가 덮어씌워질 때, 덮어씌워진 바이트에 영향을 줄 수 있는 공격자는 포인터나 제어 데이터를 수정하고 나중에 실행을 공격자가 제어하는 메모리로 리디렉션할 수 있습니다.

실제 공격은 다음과 같은 단계로 진행됩니다:

  1. 악성 문서 제작: 공격자가 힙 오버플로우를 유발하는 조작된 Office 문서 생성
  2. 메모리 손상: 문서 열람 시 힙 메모리 영역의 인접 데이터 덮어쓰기
  3. 제어권 탈취: 함수 포인터나 vtable 엔트리 조작을 통한 실행 흐름 변경
  4. 코드 실행: 사용자 컨텍스트에서 코드 실행

 

 

3. 영향받는 Office 버전과 시스템 확인 방법

영향받는 제품군

이번 취약점은 다양한 Microsoft Office 제품과 버전에 영향을 미칩니다:

  • Microsoft 365 Apps for Enterprise
  • Microsoft Office LTSC (Long Term Servicing Channel)
  • Office 2016, 2019, 2021
  • Office Online Server
  • Mac용 Office

시스템 취약성 확인 방법

현재 사용 중인 Office 버전을 확인하려면:

  1. Office 애플리케이션에서 확인
    • 임의의 Office 프로그램(Word, Excel 등) 실행
    • 파일(File) → 계정(Account) → Office 정보(About) 클릭
    • 제품 이름과 버전 번호 확인
  2. 제어판을 통한 확인
    • 제어판(Control Panel) → 프로그램 및 기능(Programs and Features)
    • Microsoft Office 관련 항목에서 버전 정보 확인
  3. PowerShell을 통한 자동 확인
Get-ItemProperty HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall\* | Where-Object {$_.DisplayName -like "*Microsoft Office*"} | Select-Object DisplayName, DisplayVersion

 

 

4. Microsoft 공식 보안 패치 정보와 KB 번호

Microsoft는 2025년 9월 9일 Patch Tuesday를 통해 이 취약점에 대한 보안 업데이트를 배포했습니다. 이번 보안 업데이트에는 여러 KB 번호가 포함되어 있습니다.

주요 KB 업데이트 목록

Office 제품 KB 번호 업데이트 설명
Office Click-to-Run KB5002781 Microsoft 365 Apps 보안 업데이트
Excel 2016 KB5002782 Excel 원격 코드 실행 취약점 해결
Office Online Server KB5002776 서버 환경 보안 강화
Office 2019 KB5002762 Office 2019 보안 업데이트
Office LTSC KB5002766 LTSC 버전 보안 패치

패치 다운로드 링크

공식 패치는 다음 경로에서 다운로드할 수 있습니다:

 

 

5. 단계별 패치 적용 가이드

자동 업데이트를 통한 패치 (권장)

가장 간단하고 안전한 방법은 Windows Update나 Office 자동 업데이트를 활용하는 것입니다.

1단계: Windows Update 확인

  • 설정(Settings) → 업데이트 및 보안(Update & Security) → Windows Update
  • 업데이트 확인(Check for updates) 클릭
  • 사용 가능한 모든 업데이트 설치

2단계: Office 업데이트 확인

  • Office 애플리케이션 실행
  • 파일(File) → 계정(Account) → 업데이트 옵션(Update Options)
  • 지금 업데이트(Update Now) 선택

수동 패치 다운로드 및 설치

기업 환경이나 자동 업데이트가 비활성화된 경우:

1단계: 현재 버전 확인

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\Configuration" /v VersionToReport

2단계: 적절한 KB 패키지 다운로드

  • Microsoft Update Catalog에서 해당 KB 번호 검색
  • 시스템 아키텍처(x86/x64)에 맞는 패키지 선택

3단계: 패치 설치

  • 다운로드한 .msu 파일 실행
  • 관리자 권한으로 설치 진행
  • 설치 완료 후 시스템 재시작

 

 

6. 임시 보안 조치와 추가 방어 전략

패치를 즉시 적용할 수 없는 환경에서는 다음과 같은 임시 보안 조치를 적용할 수 있습니다.

Protected View 활성화

인터넷과 Outlook 첨부 파일에 대해 Protected View를 강제 적용하는 것이 효과적입니다.

설정 방법:

  1. 파일(File) → 옵션(Options) → 보안 센터(Trust Center)
  2. 보안 센터 설정(Trust Center Settings) → Protected View
  3. 다음 옵션들 모두 체크:
    • 인터넷에서 가져온 파일에 대해 Protected View 사용
    • 안전하지 않은 위치의 파일에 대해 Protected View 사용
    • Outlook 첨부 파일에 대해 Protected View 사용

Attack Surface Reduction (ASR) 규칙 적용

Microsoft Defender에서 Office 애플리케이션이 자식 프로세스를 생성하는 것을 차단하는 ASR 규칙을 활성화합니다.

PowerShell을 통한 설정:

# ASR 규칙 활성화 (감사 모드로 먼저 테스트)
Add-MpPreference -AttackSurfaceReductionRules_Ids "D4F940AB-401B-4EFC-AADC-AD5F3C50688A" -AttackSurfaceReductionRules_Actions AuditMode

# 테스트 후 차단 모드로 변경
Set-MpPreference -AttackSurfaceReductionRules_Ids "D4F940AB-401B-4EFC-AADC-AD5F3C50688A" -AttackSurfaceReductionRules_Actions Enabled

추가 보안 강화 방안

  1. 미리보기 기능 비활성화
    • 고위험 메일함과 신뢰할 수 없는 문서를 처리하는 서버에서 Office 미리보기/썸네일 렌더링 비활성화
  2. Application Guard for Office 활용
    • 가능한 경우 Office용 Application Guard를 적용하여 컨테이너화된 환경에서 문서 렌더링 격리
  3. 매크로 보안 강화
    • 파일(File) → 옵션(Options) → 보안 센터(Trust Center) → 매크로 설정(Macro Settings)
    • 디지털 서명된 매크로를 제외하고 모든 매크로 사용 안 함 선택

 

 

7. 패치 적용 후 확인 및 검증 방법

업데이트 성공 확인

1. Office 버전 확인

# Office Click-to-Run 버전 확인
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\Configuration" /v VersionToReport

# 설치된 업데이트 확인
wmic qfe list full /format:table

2. 이벤트 로그 확인

  • 이벤트 뷰어(Event Viewer) → Windows 로그(Windows Logs) → 시스템(System)
  • Microsoft Office 관련 업데이트 설치 로그 확인

3. 취약점 스캐너 활용

  • Windows Security에서 전체 시스템 스캔 실행
  • 기업 환경에서는 WSUS나 SCCM을 통한 패치 상태 모니터링

패치 후 기능 테스트

패치 적용 후에는 다음 기능들이 정상 작동하는지 확인해야 합니다:

  • 문서 열기/저장: 다양한 형식의 Office 문서 처리
  • 매크로 실행: 필요한 매크로 기능 동작 여부
  • 플러그인/추가 기능: 타사 Office 추가 기능 호환성
  • 네트워크 기능: SharePoint, OneDrive 연동 상태

 

 

8. 기업 환경에서의 대규모 패치 관리 방법

WSUS/SCCM을 통한 중앙 관리

대규모 기업 환경에서는 다음과 같은 체계적 접근이 필요합니다:

1단계: 테스트 그룹 설정

  • 소규모 테스트 환경에서 패치 검증
  • 업무 중단 최소화를 위한 단계적 배포

2단계: 자동 배포 스크립트 작성

# Office 업데이트 자동 설치 스크립트 예시
$UpdateSession = New-Object -ComObject Microsoft.Update.Session
$UpdateSearcher = $UpdateSession.CreateUpdateSearcher()
$SearchResult = $UpdateSearcher.Search("Type='Software' and IsInstalled=0")

foreach ($Update in $SearchResult.Updates) {
    if ($Update.Title -like "*Office*" -and $Update.Title -like "*KB5002*") {
        Write-Host "Installing: $($Update.Title)"
        # 업데이트 설치 로직
    }
}

3단계: 모니터링 및 리포팅

  • 패치 적용 상태 실시간 모니터링
  • 실패한 시스템에 대한 추가 조치

호환성 테스트 체크리스트

테스트 항목 확인 사항 상태
문서 호환성 기존 문서 파일들이 정상 열리는지 확인
매크로 기능 업무에 필요한 매크로들의 정상 작동 확인
플러그인 타사 Office 플러그인 호환성 확인
네트워크 연동 SharePoint, Teams 등과의 연동 상태
인쇄 기능 문서 인쇄 기능 정상 작동 확인

 

 

CVE-2025-54910과 같은 심각한 취약점은 Office와 같은 광범위하게 사용되는 소프트웨어에서 지속적으로 발견될 수 있습니다. Office 문서 파서의 복잡성과 지원하는 파일 형식의 다양성으로 인해 메모리 손상 취약점의 주요 표적이 되고 있기 때문입니다.

따라서 단순히 이번 패치만 적용하는 것이 아니라, 다음과 같은 장기적인 보안 전략을 수립하는 것이 중요합니다:

  • 정기적인 보안 업데이트 모니터링: Microsoft Patch Tuesday를 놓치지 않고 체크
  • 다층 방어 체계 구축: Protected View, ASR 규칙, Application Guard 등 복합적 보안 조치
  • 사용자 보안 교육: 의심스러운 첨부파일이나 링크에 대한 주의 교육
  • 백업 및 복구 계획: 만약의 사태에 대비한 데이터 백업 체계

 

 

댓글 남기기