[Security] Microsoft 6월 2026 Patch Tuesday — 2026년 최대 규모, 웜 가능 커널 RCE 포함 200개 이상 패치
서론
2026년 6월 9일(현지 기준), Microsoft가 올해 들어 가장 큰 규모의 보안 업데이트를 릴리스했다. 공개된 CVE 수는 200개를 훌쩍 넘는다. 보고 기관마다 198개~208개로 집계가 조금씩 다르지만, Zero Day Initiative(ZDI)와 BleepingComputer, CyberScoop 등 복수의 전문 매체에서 “2026년 월별 패치 중 최대 규모”라는 데 이견이 없다. CyberScoop은 아예 “Microsoft Breaks Patch Tuesday Record with 206 Vulnerabilities”라는 제목을 달았다.
단순히 숫자가 많다는 게 문제가 아니다. 이번 릴리스에는 CVSS 점수 9.8짜리 웜 가능(wormable) 커널 원격 코드 실행 취약점이 포함됐다. 인증 없이 원격에서 SYSTEM 권한으로 코드를 실행할 수 있고, 거기에 패치하지 않은 시스템이 네트워크를 타고 스스로 전파될 수 있는 웜 가능성까지 갖췄다면, 이건 즉각 패치가 필요한 수준이다. 2017년 WannaCry가 악용한 EternalBlue(MS17-010)가 바로 이런 구조였다.
게다가 이번 Patch Tuesday에는 공개 이후 야생에서 활발히 악용되고 있던 Exchange Server 제로데이의 공식 패치도 포함됐다. 다수의 보안 전문 매체가 “즉시 패치하라”는 강한 어조의 권고를 내놓은 이번 업데이트, 어떤 취약점들이 포함됐는지 정리해본다.
본론
전체 규모: 2026년 월별 최대
ZDI의 6월 2026 Security Update Review에 따르면, 이번 릴리스에서 Microsoft가 패치한 취약점은 약 200개 이상이다. 정확한 집계는 보고 기관마다 차이가 있다:
| 출처 | 집계 CVE 수 |
|---|---|
| Tenable | 198개 |
| CyberSecurityNews | 198개 |
| CyberScoop | 206개 |
| TechTimes | 208개 |
| BleepingComputer | 200개+ |
이 차이는 집계 방식(advisory 기준 vs. 고유 CVE ID 기준, Edge/Chromium 포함 여부 등)에 따라 발생한다. 어느 수치를 기준으로 하든 2026년 들어 가장 많은 패치가 한꺼번에 나온 달이라는 점은 공통이다.
심각도 분류를 보면 Critical 등급이 약 32개, 나머지 대다수가 Important 등급이다. 영향 범위는 Windows 10/11, Windows Server 2016~2025, Microsoft Exchange Server, Office 제품군, Azure, Microsoft Edge에 이르기까지 거의 전체 Microsoft 제품군에 걸쳐 있다.
CVE-2026-45657: 웜 가능 Windows 커널 RCE (CVSS 9.8)
이번 Patch Tuesday의 최우선 패치 대상은 CVE-2026-45657이다. 이 취약점의 프로파일:
- 취약점 유형: 원격 코드 실행(RCE)
- 취약 컴포넌트: Windows 커널 — TCP/IP 처리 로직
- CVSS 점수: 9.8 (Critical, 사실상 최고 등급)
- 인증 요구: 없음 (Unauthenticated)
- 사용자 상호작용: 불필요
- 웜 가능 여부: Yes
공격 시나리오를 단순화하면 이렇다. 인터넷에 노출된 Windows 서버가 패치되지 않은 상태라면, 공격자는 TCP/IP 트래픽만으로 해당 서버에 SYSTEM 권한 코드를 원격 실행할 수 있다. 더 무서운 것은 웜 가능성이다. 한 대가 감염되면 같은 네트워크의 다른 취약한 시스템으로 자동 전파된다. 사람의 개입 없이도 네트워크 전체가 감염될 수 있는 구조다.
windowsforum.com과 TechTimes의 분석에서는 이 취약점이 “WannaCry 급의 전파력”을 가질 가능성을 언급했다. 아직 야생 악용(in-the-wild exploitation)이 확인되지 않았지만, CVSS 9.8에 웜 가능이라는 조합은 그 자체로 공격자에게 매력적인 타겟이 된다. 공개 PoC(개념 증명 코드)가 등장하기 전에 패치를 완료해야 한다.
영향 시스템은 Windows 11 전 버전, Windows Server 2019, 2022, 2025 등 현재 지원 중인 버전 전체다.
CVE-2026-47291: HTTP.sys RCE (CVSS 9.8)
두 번째 CVSS 9.8짜리 취약점인 CVE-2026-47291도 즉각 대응이 필요하다.
- 취약점 유형: 원격 코드 실행
- 취약 컴포넌트: Windows HTTP.sys (IIS 등의 HTTP 처리 커널 드라이버)
- CVSS 점수: 9.8
- 인증 요구: 없음
HTTP.sys는 Windows 웹 서버 스택의 핵심 커널 드라이버다. Microsoft IIS를 기반으로 하는 웹 서버뿐 아니라, HTTP.sys를 의존하는 .NET/ASP.NET 애플리케이션, WCF 서비스, HTTPS 종료 계층 등 다양한 엔터프라이즈 구성 요소가 영향을 받는다. IIS 서버나 Windows 기반 웹 백엔드를 운영하는 환경에서는 CVE-2026-45657과 함께 최우선 패치 대상으로 분류해야 한다.
이번 Patch Tuesday의 제로데이들
이번 릴리스에서 주목받는 제로데이는 복수다. 보고 기관마다 집계 기준이 달라 “최소 3개”에서 “6개”까지 언급되는데, BleepingComputer는 별도로 “Microsoft patches YellowKey, GreenPlasma, MiniPlasma zero-days”라는 보도를 내놓았다.
CVE-2026-45586 — GreenPlasma
보안 연구자 “Nightmare Eclipse”가 공개한 이 취약점은 Windows Collaborative Translation Framework(CTFMON)의 권한 상승(Elevation of Privilege, EoP) 취약점이다. 패치 이전에 이미 PoC가 공개된 상태였다. 단독 RCE는 아니지만, RCE와 체이닝해 초기 침투 후 SYSTEM 권한 탈취에 활용되는 공격 체인의 핵심 링크로 사용될 수 있다.
CVE-2026-42897 — Exchange Server, 드디어 공식 패치
이미 5월에 제로데이로 공개됐던 Exchange Server OWA 컴포넌트의 XSS/스푸핑 취약점이다. 당시에는 패치 없이 야생에서 활발히 악용되고 있었고, Microsoft는 임시 완화책만 제공했었다. 이번 Patch Tuesday에서 드디어 공식 패치가 나왔다. Exchange Server 2016, 2019, Subscription Edition이 대상이다. 이미 공격자들이 활발히 활용해온 취약점이므로 반드시 즉시 패치해야 한다.
YellowKey와 MiniPlasma
BleepingComputer는 GreenPlasma 외에도 YellowKey와 MiniPlasma라는 이름으로 불리는 두 개의 추가 제로데이가 패치됐음을 보도했다. 구체적인 CVE ID와 기술 세부 사항은 분석 중이지만, 세 개의 명명된 제로데이가 한 번에 패치됐다는 것 자체가 이번 릴리스의 심각성을 보여준다.
영향받는 제품 요약
| 제품/컴포넌트 | 주요 CVE | 심각도 |
|---|---|---|
| Windows 커널 (TCP/IP) | CVE-2026-45657 | Critical (CVSS 9.8, 웜 가능) |
| Windows HTTP.sys | CVE-2026-47291 | Critical (CVSS 9.8) |
| Windows CTFMON | CVE-2026-45586 (GreenPlasma) | Important (EoP, PoC 공개) |
| Microsoft Exchange Server | CVE-2026-42897 | Critical (야생 악용 중) |
| Windows (YellowKey, MiniPlasma) | 미상 CVE | 분류 중 |
| Office, Azure, Edge 등 | 다수 CVE | Important 중심 |
패치 우선순위 가이드
보안 커뮤니티와 전문 분석 기관들이 권고하는 우선순위:
즉시 (오늘)
- CVE-2026-45657: 커널 RCE, 웜 가능, CVSS 9.8 — 인터넷 노출 Windows 서버 최우선
- CVE-2026-42897: Exchange 제로데이, 야생에서 활발히 악용 중
48시간 이내
- CVE-2026-47291: HTTP.sys RCE, CVSS 9.8 — IIS/웹 서버 운영 환경
- CVE-2026-45586 (GreenPlasma): EoP, PoC 이미 공개 상태
이번 주 이내
- 나머지 Critical 등급 CVE 전체
Tenable은 6월 Patch Tuesday 분석에서 CVE-2026-45657을 단독으로 별도 경보 수준으로 분류했다. ZDI의 Security Update Review는 이 취약점의 WannaCry 연관성을 명시하며 “AI-speed risk” — 즉, 취약점 공개에서 무기화까지의 시간이 AI 도구의 활용으로 빠르게 단축되고 있는 트렌드를 경고했다.
Windows Update 적용 방법 (빠른 참조)
1
2
3
4
# PowerShell (관리자 권한)
Install-WindowsUpdate -MicrosoftUpdate -AcceptAll -AutoReboot
# 또는 설정 → Windows Update → 업데이트 확인
WSUS 기반 기업 환경에서는 6월 누적 업데이트(Cumulative Update) 배포를 우선 검토해야 한다. 웜 가능 취약점은 단 한 대의 패치 미적용 서버가 내부 네트워크의 전체 감염 진입점이 될 수 있으므로, 인터넷 접점 서버부터 우선 적용하되 내부 서버도 신속히 따라가야 한다.
정리
6월 2026 Patch Tuesday는 숫자로도, 심각도로도 2026년 들어 가장 중요한 보안 업데이트다. CVSS 9.8짜리 Critical 취약점이 두 개나 포함됐고, 그 중 하나는 웜 전파 가능성까지 있다. 여기에 다수의 명명된 제로데이(GreenPlasma, YellowKey, MiniPlasma)와 야생에서 이미 악용 중이던 Exchange 제로데이의 공식 패치까지 묶여 나왔다.
업계 반응은 명확하다. BleepingComputer는 “200개 플로우, 6개 제로데이 패치”라는 헤드라인으로 긴박함을 전달했고, ZDI 리뷰는 “이번 릴리스의 중요성을 과소평가해선 안 된다”고 명시했다. Tenable은 CVE-2026-45657을 단독으로 강조하는 별도 분석을 내놓았다. CyberScoop은 “역대 기록을 깼다”는 표현을 썼고, windowsnews.ai는 “AI-speed risk for Windows”라는 표현을 제목에 담았다.
웜 가능 커널 RCE가 포함됐다는 건, 패치를 미루는 것이 곧 조직 전체 네트워크를 위험에 노출하는 것과 다름없다. Windows 서버를 운영 중이라면 지금 당장 Windows Update를 실행하는 것이 최선이다.
Reference
- Microsoft June 2026 Patch Tuesday fixes 6 zero-days, 200 flaws - BleepingComputer
- The June 2026 Security Update Review - Zero Day Initiative
- Microsoft patches YellowKey, GreenPlasma, MiniPlasma zero-days - BleepingComputer
[June 2026 Microsoft Patch Tuesday Tenable](https://www.tenable.com/blog/microsofts-june-2026-patch-tuesday-addresses-198-cves-cve-2026-49160-cve-2026-50507) - Microsoft Patch Tuesday June 2026 – 198 Vulnerabilities Fixed - CyberSecurityNews
- Microsoft Patch Tuesday June 2026: Record 208 CVEs, Wormable Kernel Flaw - TechTimes
- Microsoft breaks Patch Tuesday record with 206 vulnerabilities - CyberScoop
- CVE-2026-45657: Critical Windows Kernel RCE Patch Guide - Windows Forum