마이크로소프트의 대표 데이터 보호 기술인 BitLocker가 최근 4개의 치명적인 취약점에 노출된 사실이 밝혀졌습니다.
이 취약점들은 물리적으로 장치에 접근할 수 있는 공격자가 암호화를 우회하고 민감 데이터를 탈취할 수 있게 만드는 고급 공격 기법입니다.
이번 발견은 Microsoft의 MORSE(Microsoft Offensive Research & Security Engineering) 팀 소속 Alon Leviev와 Netanel Ben Simon이 진행한 “BitUnlocker” 연구에서 공개됐으며, 특히 Windows Recovery Environment(WinRE)를 악용한 점이 주목됩니다.
🛠 BitLocker & WinRE 간단 이해
- BitLocker: Windows에서 제공하는 전체 디스크 암호화 기능으로, 장치 분실·도난 시에도 데이터 보호를 보장
- WinRE (Windows Recovery Environment): 부팅 불능, 시스템 복구 등을 위한 특수 환경. 보안이 느슨하면 공격자가 악용 가능
BitUnlocker 연구팀은 바로 이 WinRE의 취약한 파일 처리 방식을 파고들어 BitLocker를 우회했습니다.
🚨 4가지 취약점 상세 분석
1. CVE-2025-48800 – WIM 검증 우회
- Boot.sdi 파일의 오프셋 포인터를 조작
- 시스템이 신뢰할 수 없는 복구 환경을 부팅하면서도 신뢰된 환경처럼 인식하게 만듦
- 결과적으로 공격자는 자신이 준비한 WinRE로 진입 가능
2. CVE-2025-48003 – ReAgent.xml 파싱 취약점
- WinRE 설정 파일인 ReAgent.xml을 악용
- tttracer.exe 실행을 예약하여 SYSTEM 권한의 명령 프롬프트를 열 수 있음
- 물리 접근 후 BitLocker 볼륨에 직접 접근 가능
3. CVE-2025-48804 – 앱 신뢰 검증 우회
- WinRE의 사전 등록된 SetupPlatform.exe 활용
- 키보드 단축키를 통한 지속적인 CLI 접근 권한 확보
- 관리자가 아닌 공격자도 장기적으로 접근 유지 가능
4. CVE-2025-48818 – BCD 파싱 취약점
- Boot Configuration Data(BCD) 조작
- WinRE 대상 OS 위치를 변경해 Push Button Reset 기능을 악용, BitLocker 볼륨 해독 가능
📂 공격 흐름 예시
- 공격자는 대상 PC에 물리적으로 접근
- WinRE 부팅 설정 파일(Boot.sdi, ReAgent.xml, BCD 등) 수정
- 조작된 WinRE 환경에서 SYSTEM 권한 획득
- BitLocker 보호를 우회하여 볼륨 마운트 & 데이터 복호화
- 민감 데이터(문서, 계정정보 등) 복사 후 흔적 삭제
🛡 마이크로소프트의 대응
- 패치 발표: 2025년 7월 Patch Tuesday에 4개 취약점 모두 수정
- 적용 대상: Windows 10(1607, 21H2, 22H2), Windows 11(22H2, 23H2, 24H2), Windows Server(2016, 2022, 2025)
- 관련 업데이트:
- KB5062552
- KB5062553
- KB5062554
- KB5062560
- CVSS 점수: 6.8 ~ 8.1
- 위험도: Microsoft는 일부 취약점에 대해 “악용 가능성 높음” 평가
🔐 추가 보안 강화 권고
마이크로소프트는 패치 외에도 다음을 권장합니다.
- TPM + PIN 사전 부팅 인증 활성화
- 부팅 전 추가 인증 요구 → 물리적 우회 난이도 상승
- REVISE(롤백 방지) 적용
- 구버전·취약 버전으로 다운그레이드 방지
- WinRE 접근 제한
- 불필요한 WinRE 진입 경로 차단
- BitLocker 복구 키 안전 관리
- Active Directory, Azure AD, 오프라인 암호화 저장소 등 안전한 위치에만 보관
📌 보안적 의미
BitUnlocker 사례는 암호화 기술의 한계를 보여줍니다.
BitLocker 자체의 암호 알고리즘은 안전하지만, 부팅·복구 과정의 우회 경로가 열려 있다면 보호가 무력화될 수 있습니다.
이번 연구는 물리적 보안의 중요성과 함께, “패치 + 설정 강화 + 접근 제어”라는
다중 방어(Defense-in-Depth) 전략이 필수임을 다시 한번 입증합니다.
💡 요약
- 취약점 수: 4개 (CVE-2025-48800, CVE-2025-48003, CVE-2025-48804, CVE-2025-48818)
- 핵심 공격 포인트: WinRE 설정·파일 조작 → BitLocker 우회
- 대응 방법: 2025년 7월 패치 적용 + TPM+PIN + REVISE + WinRE 접근 제한
- 위험도: 물리적 접근 가능한 내부자·도난 장치 상황에서 치명적
'CyberSecurity > Cyber Risk Insights🔐' 카테고리의 다른 글
| 🐍 PyPI, ZIP 파서 혼동 공격 막는다! 파이썬 생태계 보안 강화 소식 (2) | 2025.08.11 |
|---|---|
| 🖋️ eudcedit.exe로 UAC 우회? 윈도우 권한 상승 취약점 발견! (4) | 2025.08.11 |
| 🛑 macOS 사용자를 노린 Odyssey Stealer: 가짜 CAPTCHA로 시작되는 암호화폐 지갑 탈취 캠페인 (2) | 2025.08.11 |
| 구글 Ads 고객 데이터 유출 사건 🔍 UNC6040·ShinyHunters의 정교한 Vishing 공격 분석 (7) | 2025.08.11 |
| 🤖 GPT-5, 출시 하루 만에 뚫렸다… 스토리텔링·난독화 공격에 무력한 이유 (4) | 2025.08.11 |