그 외 뉴스 ✓ 2개 출처 교차 확인
Microsoft, 역대 최대 622건 취약점 패치…실제 공격에 악용된 제로데이 2건 포함
Microsoft가 2026년 7월 패치 튜즈데이에서 622개 취약점에 대한 수정 사항을 발표했다. SecurityWeek와 The Hacker News는 이를 역대 최대 규모라고 보도했으며, 이 가운데 실제 공격에 악용된 것으로 확인된 제로데이 2건이 포함됐다.

실제 공격 악용이 확인된 제로데이는 CVE-2026-56155와 CVE-2026-56164 두 건이다. CVE-2026-56155는 Active Directory Federation Services(AD FS)의 권한 상승 취약점으로, 이미 인증된 공격자가 약한 접근 통제를 이용해 로컬에서 관리자 권한으로 상승할 수 있으며 실제 악용이 확인됐다. 발견자로는 Microsoft DART가 기재됐다. CVE-2026-56164는 SharePoint Server의 권한 상승 취약점으로, 인증이나 사용자 상호작용 없이 네트워크를 통해 악용될 수 있으며 실제 악용이 확인됐다. Microsoft는 발견자로 Mandiant 인시던트 대응팀과 Google FLARE팀을 기재했다. The Hacker News에 따르면 기사 작성 시점에 두 취약점은 CISA의 알려진 악용 취약점(KEV) 카탈로그에 등재되지 않았으며, Microsoft 권고문은 서버에서 AMSI를 전체 모드로 활성화하면 CVE-2026-56164 공격을 완화할 수 있다고 안내했다.
공개됐지만 실제 공격 악용은 확인되지 않은 사례로, CVE-2026-50661은 물리적 접근이 필요한 BitLocker 보안 기능 우회 취약점으로 이번 패치 튜즈데이 이전에 공개됐다. The Hacker News는 이 취약점이 공격에 사용되고 있지 않으며 원격 긴급 사안이 아니라고 보도했다. SecurityWeek에 따르면 Tenable의 Satnam Narang은 이 취약점이 Nightmare-Eclipse 또는 Chaotic-Eclipse라는 이름으로 알려진 연구자가 공개한 일련의 제로데이와 관련됐을 가능성을 추정하면서도 공식 확인은 없다고 말했다.
SecurityWeek에 따르면 이번 수정은 Microsoft 릴리스 노트 기준 Windows 관련 416개, Office 제품군 관련 164개로 집계됐다. CVSS 점수가 높은 취약점으로는 Windows VMSwitch의 CVE-2026-57092(CVSS 9.9)와 SharePoint의 CVE-2026-50522(CVSS 9.8)가 있다. SecurityWeek는 이 밖에도 Exchange Server의 XSS 취약점 CVE-2026-55008, RDP의 CVE-2026-56190, Windows DHCP Server의 CVE-2026-50518, Windows Server Network 드라이버의 CVE-2026-56188, Minecraft Bedrock Dedicated Server의 CVE-2026-55010을 추가로 언급했다.

The Hacker News에 따르면 Rapid7 Labs가 Pwn2Own Berlin 출품작으로 만든 JWT 인증 우회 취약점 CVE-2026-55040도 수정됐다. 이 취약점의 CVSS 점수를 Rapid7는 5.3으로, ZDI는 9.1로 다르게 평가했다. The Hacker News는 Rapid7가 이 취약점을 별도의 원격 코드 실행 취약점과 연결해 인증 없는 원격 코드 실행 체인을 구성했으며, 연계된 원격 코드 실행 취약점은 당시 수정되지 않았고 Microsoft의 수정이 8월로 예정됐다고 보도했다.
운영·지원 측면에서, The Hacker News에 따르면 이번 업데이트는 Microsoft의 다년간 Kerberos RC4 강화 작업을 마무리하며 RC4DefaultDisablementPhase 롤백 스위치를 제거한다. 또 The Hacker News는 SharePoint Server 2016과 2019가 해당 보도일에 연장 지원 종료에 도달했으며 두 제품 모두 유료 ESU 프로그램이 없다고 전했다. SecurityWeek에 따르면 Microsoft Windows 부문 총괄 부사장 Pavan Davuluri는 AI가 취약점 발견을 가속하고 있으며 Microsoft가 멀티모델 에이전틱 스캐닝 하네스(MDASH)를 이용해 Windows 코드베이스에서 버그를 더 빠르게 찾고 있다고 발표했다.
한편 SecurityWeek에 따르면 Adobe도 같은 날 ColdFusion, Commerce, Experience Manager, Illustrator의 치명적 취약점을 포함해 88개 취약점에 대한 수정 사항을 발표했다.

자료사진 출처
총 3건- 마이크로소프트 본사 92번 건물 · 자료사진
- KTH 병렬컴퓨터센터 서버실 · 자료사진
- 비즈니스 AI 연구 주제 인포그래픽 · 자료사진
원문 출처
총 2건- SecurityWeek Microsoft Patches Record 622 Vulnerabilities, Including Two Exploited Zero-Days
- The Hacker News Microsoft Patches Record 622 Flaws, Including Two Zero-Days Under Active Attack
이 기사는 위 원문들에서 사실만 교차 확인해 재구성했으며, 원문 문장·사진을 전재하지 않았습니다. 집필 단계의 AI는 원문을 열람하지 않고, 별도 검증을 통과한 사실만 사용했습니다. 사실관계에 오류가 있다면 정정을 요청해 주세요(nickpark77@gmail.com).
그 외 다른 기사
그 외 뉴스 ✓ 3개 출처 교차
사우스캐롤라이나 주지사, 사망한 린지 그레이엄 여동생을 임시 상원의원에 임명
그 외 뉴스 ✓ 3개 출처 교차
영국, 16~17세 청소년 소셜미디어 심야 이용 기본 차단 방안 발표
그 외 뉴스 ✓ 4개 출처 교차


