2026년의 사이버 보안 환경에서는 "네트워크 경계"라는 개념이 "ID 경계"라는 개념으로 완전히 대체되었습니다. 그러나 이 경계의 견고함은 관리 도구 내의 유효성 검사 로직만큼만 강력합니다. 2026년 1월 13일에 다음과 같은 심각한 취약점이 공개되었습니다.CVE-2026-20965-하이브리드 클라우드 관리의 신뢰 모델에 근본적인 문제를 제기합니다.
WAC(Windows Admin Center) Azure 확장의 이 취약점을 통해 공격자는 손상된 단일 로컬 서버에서 전체 Azure 테넌트에 대한 완전한 관리 제어로 전환할 수 있습니다. 이 가이드는 보안 엔지니어, 익스플로잇 연구자, 클라우드 설계자를 위해 토큰 혼합의 메커니즘과 소유 증명(PoP) 검증의 시스템적 실패에 대한 심층 분석을 제공합니다.
WAC 및 Azure SSO 트러스트 모델 이해
WAC(Windows Admin Center)는 Windows 에코시스템의 중앙 집중식 관리 플레인 역할을 하며, Azure Portal에서 직접 Azure 가상 머신 및 Azure Arc 지원 서버를 관리하는 데 점점 더 많이 사용되고 있습니다. 원활한 환경을 제공하기 위해 Microsoft는 Microsoft Entra ID(이전의 Azure AD)와 관련된 정교한 SSO(Single Sign-On) 흐름을 활용합니다.
이 흐름은 두 가지 특정 토큰의 상호 작용에 의존합니다:
- WAC.CheckAccess 토큰: WAC 게이트웨이에 대한 사용자 세션을 인증하는 데 사용되는 표준 베어러 토큰입니다.
- PoP(소유 증명) 토큰: 리플레이 공격을 방지하도록 설계된 향상된 토큰입니다. 특정 요청과 의도된 리소스에 대한 암호화 바인딩이 포함되어 있습니다.
보안 구현에서 WAC 백엔드는 두 토큰이 동일한 ID에 속하는지 확인해야 합니다. CVE-2026-20965 이 바인딩이 적용되지 않았기 때문에 존재합니다.
기술적 근본 원인: 토큰 믹싱 원시
CVE-2026-20965의 핵심은 "토큰 믹싱"입니다. 2025년 말 사이뮬레이트 랩이 주도한 연구에 따르면 WAC 서버가 사용자 계정 이름(UPN) 에서 WAC.CheckAccess 토큰이 PoP 토큰.
1. UPN 미스매치 익스플로잇
WAC은 이 두 토큰을 독립적인 유효성 검사로 취급하기 때문에 공격자는 훔친 토큰을 사용할 수 있습니다. WAC.CheckAccess 토큰을 높은 권한의 관리자로부터 받고 이를 PoP 토큰을 공격자 자신의 낮은 권한 계정에서 생성합니다. WAC 서버는 두 개의 "유효하게 서명된" 토큰을 확인하고 관리 요청을 진행하여 공격자에게 탈취된 세션의 권한을 효과적으로 부여합니다.
2. 논스 및 스코핑 실패
신원 불일치 외에도 이 취약점에서는 몇 가지 다른 유효성 검사 취약점도 발견되었습니다:
- 논스 재사용: 서버가 한 번 사용한 후 논스를 무효화하지 않아 토큰의 유효 기간 내에 리플레이 방식의 공격이 허용되었습니다.
- 비게이트웨이 DNS 허용: PoP 프로토콜은 게이트웨이의 URL로 범위가 지정되어야 합니다. 하지만 CVE-2026-20965는
u필드를 임의의 IP 주소 또는 포트 6516의 게이트웨이가 아닌 도메인을 가리키도록 변경하여 내부 노드에 대한 직접적인 공격을 용이하게 합니다. - 테넌트 간 토큰 승인: WAC는 암호화 서명이 유효하다면 공격자가 제어하는 외부 테넌트에서 발행한 PoP 토큰을 잘못 수락할 수 있습니다.
자세한 공격 체인: 로컬 관리자에서 테넌트 RCE까지
CVE-2026-20965의 심각성을 이해하려면 최신 엔터프라이즈 환경에서 이를 악용하는 데 사용되는 일반적인 공격 라이프사이클을 살펴봐야 합니다.
1단계: 초기 침해 및 토큰 유출
공격자는 WAC로 관리되는 시스템에서 로컬 관리자 액세스 권한을 얻습니다. 공격자는 메모리를 모니터링하거나 (종종 높은 권한으로 실행되는) WAC 서비스에 대한 트래픽을 가로채서 WAC.CheckAccess 토큰은 최근에 Azure 포털을 통해 로그인한 관리자의 토큰입니다.
2단계: 로그 게이트웨이 설정
공격자는 합법적인 WAC 서비스를 중지하고 악성 리스너를 실행합니다. 새로운 관리 세션이 시작되면 로그 서버는 익스플로잇의 다음 단계를 진행하기 위해 필요한 메타데이터를 캡처합니다.
3단계: 악성 PoP 토큰 위조하기
공격자는 자신의 낮은 권한의 Azure 계정(또는 별도의 테넌트)을 사용하여 PoP 토큰을 생성합니다. 공격자는 토큰의 페이로드를 수동으로 조작하여 피해자의 테넌트 내의 특정 Azure VM을 표적으로 삼습니다.
JSON
`// 위조된 PoP 토큰 헤더의 예(단순화) { "alg": "RS256", "typ": "pop", "kid": "attacker_key_id" }
// 악성 PoP 토큰 페이로드 예시 { "at": "eyJ0eXAiOiJKV1QiLCJhbGci...", "u": "10.0.0.5:6516", // 직접 내부 타깃 IP "m": "POST", "p": "/api/nodes/AzureVM01/features/powershell", "n": "reused_nonce_value", "ts": 1736761200 }`
4단계: 원격 코드 실행(RCE)
공격자는 탈취한 높은 권한을 혼합하여 조작된 POST 요청을 WAC API에 전송합니다. WAC.CheckAccess 토큰을 위조한 PoP 토큰을 사용합니다. 이 명령은 WAC의 PowerShell 게이트웨이를 통해 실행되므로 공격자는 테넌트에 연결된 모든 VM에서 임의의 스크립트를 실행할 수 있습니다.
취약성 비교 환경: 2026년 1월
CVE-2026-20965에 대한 수정 사항의 릴리스는 2026년 1월 화요일 패치 주기의 다른 주요 취약점 몇 가지와 동시에 발표되었습니다. 다음 표는 보안 팀이 수정 우선순위를 정하는 데 도움이 되는 개괄적인 비교표를 제공합니다.
| CVE 식별자 | 구성 요소 | 영향 | CVSS 4.0 | 주요 특징 |
|---|---|---|---|---|
| CVE-2026-20965 | WAC Azure 확장 | 테넌트 전체 RCE | 7.5 | 토큰 혼합 / 인증 우회 |
| CVE-2026-20805 | 데스크톱 창 관리자 | 정보 공개 | 5.5 | 적극적으로 악용된 0일 |
| CVE-2026-21265 | Windows 보안 부팅 | 기능 바이패스 | 6.4 | 펌웨어 신뢰도 저하 |
| CVE-2026-20944 | Microsoft Office | 원격 코드 실행 | 7.8 | 사용자 상호 작용 없음(미리보기 창) |
| CVE-2025-49231 | Azure 커넥티드 머신 | 권한 상승 | 7.2 | 아크 에이전트를 통한 측면 이동 |
통합을 통해 펜리전트 (https://penligent.ai/) 를 보안 워크플로에 도입하면 사후 대응적인 패치 적용에서 AI 기반의 사전 예방적인 클라우드 ID 경계 검증으로 전환할 수 있습니다.
전략적 개선 및 강화 가이드라인
CVE-2026-20965로부터 보호하려면 초기 소프트웨어 업데이트를 넘어서는 다층적 접근 방식이 필요합니다.
1. 즉각적인 소프트웨어 업데이트
조직은 Windows Admin Center Azure 확장을 다음과 같이 업데이트해야 합니다. 버전 0.70.0.0 이상이어야 합니다. 이 버전은 엄격한 UPN 매칭을 구현하고 논스 재사용 허점을 차단합니다.
2. 엔트라 ID 조건부 액세스 강화
다음을 요구하는 조건부 액세스 정책을 구현합니다. 피싱 방지 MFA (예: FIDO2 키)를 모든 관리 세션에 사용하세요. 또한 토큰 보호 (토큰 바인딩)을 지원하여 토큰이 쉽게 유출되어 보조 장치에서 사용될 수 없도록 합니다.
3. 관리 포트를 위한 네트워크 격리
포트에 대한 액세스를 엄격하게 제한 6516 (WAC 관리 포트). 권한이 부여된 관리 워크스테이션 또는 특정 바스티온 호스트만 관리되는 노드에서 이 포트와 통신할 수 있도록 하세요.
4. 모니터링 및 위협 헌팅
보안 운영 센터(SOC)는 토큰 사용의 이상 징후를 감지하기 위해 헌팅 쿼리를 구현해야 합니다.
- 여러 UPN 검색: 세션을 찾습니다.
배우UPN 및제목Entra ID 로그의 UPN이 일치하지 않습니다. - 논스 이상 징후 모니터링: 논스를 재사용하거나 초기 게이트웨이 로그인과 관련이 없는 IP 주소에서 시작된 관리 API 요청에 플래그를 지정합니다.
결론 결론: ID 보안의 미래
CVE-2026-20965는 효율성을 위해 관리를 중앙 집중화할수록 위험 또한 중앙 집중화된다는 사실을 극명하게 보여줍니다. '토큰 믹싱' 공격은 우리를 보호하기 위해 설계된 프로토콜을 악용하는 정교한 기법입니다. 이러한 위협에 대비하기 위해 보안팀은 공격자처럼 생각하고 ID 체인의 모든 링크를 검증할 수 있는 Penligent와 같은 자동화된 AI 기반 테스트 플랫폼으로 전환해야 합니다.
Korean 
English 
German 
French 
Spanish 
Portuguese 
Japanese 
Hindi 
Arabic 
Turkish 
Hebrew