MS, AI 취약점 발굴로 사상 최대 570개 보안 결함 한번에 패치
- 마이크로소프트가 7월 패치 화요일에 570개 보안 취약점을 수정했는데 지난달 대비 거의 3배로, 역대 최대 규모임
- 약 60개가 심각도 critical로 분류되고 3개 제로데이 중 2개는 이미 실공격에 악용된 상태였음 (BitLocker 우회 CVE-2026-50661은 공개됐지만 미악용)
- 약 250개가 권한 상승 취약점으로 Active Directory Federation Services(CVE-2026-56155)와 SharePoint(CVE-2026-56164) 결함이 포함됨
- Pavan Davuluri MS 부사장이 AI가 취약점 발굴 속도를 높여 패치 건수가 늘어난 원인이라고 공식 블로그에서 밝힘, Copilot RCE 결함(CVE-2026-48561, CVSS 9.6)도 이번에 패치됨
- Tenable의 Satnam Narang은 Anthropic Mythos 모델이 'exploitation unlikely'로 분류된 취약점 14개 중 13개의 PoC를 만들어냈다며 MS의 기존 exploitability index가 AI 속도를 못 따라간다고 지적함
Hacker News opinions
AI가 취약점을 찾는 대신 진짜 지능이 애초에 그런 버그를 안 만들었으면 좋았을 텐데. 뿌린 대로 거두는 거지.
동료가 피싱당했는데, 정상적인 deviceAdd 로그인 경로에 숫자만 붙여서 2FA를 우회하고 기기를 등록해버림. 아마 의도된 동작일 듯.
이런 패치들로 또 얼마나 많은 버그가 새로 생길지 궁금하네.
버그가 아니라 의도된 백도어일 뿐이지.
버그를 고치는 게 아니라 새로운 기능 경험을 추가하는 거임.
이번 달은 그래도 Edge도 크로미움 CVE 428개 패치받았잖아. 20년 전엔 소프트웨어 하나에 428개 취약점이 있다고 하면 안 믿었을 텐데, 요즘 개발 문화가 기능만 추가하고 품질은 신경 안 쓰는 느낌임.
XP나 초기 IE, 파이어폭스 시절이었어도 428개보다 훨씬 많았을 거라고 생각했을 듬. 오히려 그 시절이 더 심했을 걸.
크로미움 코드가 3천만 줄 넘는데, 코드 1만 줄당 취약점 1개만 잡아도 3천 개는 그냥 나오는 계산임. 결함 밀도로 보면 이 정도는 놀랍지 않음.
마이크로소프트가 .NET, VC++, Office, Windows, Edge 업데이트를 하나로 통합해주면 좋을 텐데, 그게 너무 쉬운 일인가 봄.
그게 원래 윈도우 업데이트가 하던 역할 아니었나? .NET 런타임, 오피스도 같이 업데이트해줬는데.
버그 찾는 분야만큼은 AI가 세상을 좀 더 나아지게 만드는 것 같기도 함.
근데 그 버그들 중 얼마나가 AI 바이브 코딩으로 새로 생긴 걸까?
기사 제목이 틀렸음. 이번 570개 중 100개는 마이크로소프트가 지원하는 Azure Linux(Mariner)에 포함된 오픈소스 프로젝트에서 이어받은 취약점이고, OpenSSH 취약점 몇 개는 Swival이라는 LLM 기반 스캐너가 찾아낸 거임. 마이크로소프트가 직접 고친 게 아니라 보고만 한 것들이 섞여 있음.
그래도 .NET 쪽은 이번에 CVE 패치를 꽤 많이 직접 냈던데, 예전엔 릴리스당 CVE 패치가 3개 넘는 경우가 드물었음.
이 중에 몇 개가 서로 체이닝되는 취약점이고, 몇 개가 그 체인 발견 후 심층방어용으로 추가된 패치인지 궁금함.