마이크로소프트, 패치 화요일에 200여건 취약점 수정…AI발 ‘대량 패치’ 시대 오나

마이크로소프트($MSFT)가 이번 ‘패치 화요일’에 200건이 넘는 보안 취약점을 한꺼번에 수정했다. 월간 기준으로는 사상 최대 규모다. 보안 업계는 인공지능(AI)을 활용한 취약점 탐지가 빠르게 확산하면서, 앞으로도 이 같은 대규모 패치가 이어질 가능성이 크다고 보고 있다.

이번 수정 건수는 지난해 10월 기록한 175건을 넘어선 수치다. 이 가운데 38건은 ‘치명적’ 등급으로 분류됐다. 일부 취약점은 이미 외부에 공개된 뒤에야 패치가 배포됐다. 단순한 수치 증가를 넘어, 실제 보안 대응 속도와 시스템 안정성에 대한 우려까지 함께 키우는 흐름이다.

가장 심각한 취약점과 실제 악용 사례

가장 심각한 취약점은 ‘CVE-2026-45657’이다. 윈도 커널의 TCP/IP 스택에서 발생하는 ‘use-after-free’ 유형의 결함으로, CVSS 기준 위험도는 9.8점이다. 공격자는 별도 계정 정보나 사용자 상호작용 없이도 이를 악용할 수 있다. 마이크로소프트는 일부 네트워크 환경에서 이 취약점이 ‘웜 가능’ 성격을 띨 수 있다고 설명했다. 다만 현지 시간 수요일 기준 공개된 실제 익스플로잇은 확인되지 않았다.

이미 공격에 악용된 사례도 나왔다. ‘CVE-2026-42897’은 익스체인지 서버의 아웃룩 웹 액세스 구성 요소에 영향을 주는 취약점으로, 미국 사이버보안 및 인프라 보안국(CISA)은 지난 5월 이를 ‘이미 악용된 취약점’ 목록에 올렸다. 또 다른 ‘CVE-2026-41091’은 마이크로소프트 디펜더를 통해 권한 상승이 가능한 문제로, 회사는 지난 5월 긴급 패치를 내놓은 데 이어 이번 달 정식 수정본을 배포했다.

공개된 제로데이와 AI의 역할

공개된 ‘제로데이’ 가운데 특히 주목받은 사례는 ‘CVE-2026-49160’이다. HTTP.sys의 서비스거부(DoS) 취약점으로, ‘HTTP/2 Bomb’라는 공격 기법과 연결돼 있다. 마이크로소프트는 이 취약점 제보 공로를 오픈AI 그룹 PBC의 ‘코덱스(Codex)’에 돌렸다. 주요 패치 화요일 사이클에서 AI 시스템이 취약점을 찾아 공식적으로 공로를 인정받은 초기 사례 중 하나로 평가된다.

이 밖에 ‘나이트메어 이클립스(Nightmare Eclipse)’라는 가명 연구자가 공개한 정보도 영향을 미쳤다. 이 연구자는 조율되지 않은 방식으로 추가 제로데이 2건을 공개했고, 화요일 패치 배포 직후 윈도 디펜더 관련 취약점의 개념증명 코드까지 올린 것으로 전해졌다.

이번 기록적 물량은 마이크로소프트 자체의 AI 기반 보안 전략과도 맞물린다. 회사는 지난달 100개 이상의 AI 에이전트를 활용하는 취약점 스캐닝 시스템 ‘MDASH’를 공개했으며, 이 시스템이 5월 패치에 반영된 미공개 취약점 16건을 찾아냈다고 밝혔다.

구조적 변화와 품질 관리 우려

보안 업계는 이를 일시적 급증이 아니라 ‘구조적 변화’로 보고 있다. 더스틴 차일즈(Dustin Childs) 트렌드마이크로 제로데이 이니셔티브 위협 인식 총괄은 올여름이 사이버보안의 ‘중대한 시험대’가 될 수 있다고 진단했다. 그는 AI가 취약점 발견 속도를 통제하기 어려울 만큼 끌어올리고 있으며, 올해 들어 마이크로소프트의 누적 패치 수가 이미 2018년 연간 전체 규모를 넘어섰다고 지적했다.

품질 관리 우려도 나온다. 차일즈는 한 달에 이렇게 많은 패치를 한 번에 내놓는 일 자체가 이례적이라며, 테스트 과정에서 놓친 문제가 없는지 업계가 예의주시할 것이라고 말했다. 패치 수가 많아질수록 운영 환경에서는 적용 우선순위 설정과 호환성 검증 부담도 커질 수밖에 없다.

브라우저와 다른 범주로 확산되는 영향

영향 범위는 패치 화요일 집계에만 그치지 않는다. 래피드7의 애덤 바넷(Adam Barnett) 수석 소프트웨어 엔지니어는 이달 마이크로소프트가 브라우저 취약점 360건에 대해서도 패치를 내놨다고 전했다. 이는 최근 평균을 크게 웃도는 수준이다. 마이크로소프트는 이 여파로 보안 업데이트 가이드에서 크로미엄 관련 버그를 일일이 열거하지 않기 시작한 것으로 알려졌다. 그는 리눅스 커널 취약점 등 다른 범주에서도 AI 지원 제보 증가가 비슷하게 나타나고 있다고 덧붙였다.

결국 이번 대규모 패치는 마이크로소프트 한 회사의 문제가 아니라, AI가 사이버보안 지형을 바꾸고 있다는 신호로 읽힌다. 취약점을 더 빨리 찾을 수 있다는 점은 분명 긍정적이지만, 동시에 공격자와 방어자 모두의 속도가 빨라지는 만큼 기업과 기관의 보안 대응 체계도 한층 더 촘촘해질 필요가 있다는 지적이 나온다.