CVE-2025-29969 분석: Windows MS-EVEN RPC 취약점의 위험성과 SOC 대응 체크리스트

CVE-2025-29969 요약(TL;DR)

CVE-2025-29969는 SafeBreach Labs가 공개한 Windows MS-EVEN(EventLog RPC) 취약점 분석 이슈다. 공개된 정보에 따르면 저권한 자격증명으로도 원격 파일 쓰기까지 이어질 수 있는 조건이 확인됐고, Microsoft는 2025년 5월 보안 업데이트에서 이를 패치했다고 안내된다.

MS-EVEN RPC 처리 흐름의 TOCTOU(Time-of-Check to Time-of-Use) 문제가 핵심 원인으로 제시됐다.
저권한 계정만으로 원격 파일 쓰기 프리미티브가 성립할 수 있어 내부 확산 난이도를 낮춘다.
연구진은 이 공격이 도메인/워크그룹 모두에서 가능하다고 설명했으며, 도메인 환경에서 파급력이 더 크다고 강조했다.
취약점은 2025년 2월 Microsoft에 책임공개 되었고, CVE-2025-29969로 할당된 뒤 2025년 5월 패치됐다.
연구진 기준으로 파일/디렉터리 존재 확인 정찰 능력은 별도 패치 대상이 아니라고 언급됐다.
제공된 소스 기준, 실제 대규모 악용(인더와일드 확산) 여부는 확인되지 않았다.

배경: 이 이슈가 무엇인가

SafeBreach는 원격으로 호출 가능한 Windows RPC 서비스들을 조사하던 중 EventLog 서비스의 MS-EVEN 인터페이스를 분석했다. 이 과정에서 문서화된 함수 흐름을 따라가며 검증 시점과 사용 시점이 분리되는 TOCTOU 조건을 악용할 수 있다고 보고했다.

핵심은 관리자 권한이 아니라 저권한 계정으로도 원격 파일 쓰기 가능성이 열릴 수 있다는 점이다. 즉, 이미 유출·탈취된 일반 사용자 계정이 있을 때 단순 정찰을 넘어 내부 이동 위험이 커질 수 있다는 운영 리스크로 연결된다.

확인된 사실(출처 기반)

SafeBreach는 MS-EVEN RPC를 통해 저권한 계정 기반 원격 파일 쓰기 방법을 발견했다고 공개했다(원문).
원문은 해당 이슈를 Active Directory 도메인 네트워크의 RCE 관점으로 설명하며 CVE-2025-29969가 2025년 5월 패치됐다고 명시한다(MSRC 링크).
원문에는 MS-EVEN 서비스가 Windows 11 및 Windows Server 2025에서 기본 활성화되어 있다고 기재돼 있다.
연구진은 도메인뿐 아니라 워크그룹에서도 공격이 가능하다고 서술했다.

미확인/추가 확인 필요(운영팀 검증 항목)

제품별 세부 영향 목록(정확한 SKU/KB 매핑)과 최종 심각도 수치는 MSRC 페이지에서 재확인해야 한다.
제공된 입력 소스만으로는 인더와일드 악용 여부를 단정할 근거가 충분하지 않다.
조직별 노출 수준은 방화벽, 원격 EventLog 접근 정책, 파일 시스템 ACL 구성에 따라 크게 달라진다.

CVE-2025-29969가 중요한 이유

1) 저권한 자격증명의 공격 가치가 커진다

침해사고에서 상대적으로 자주 노출되는 것은 관리자 계정보다 일반 사용자 계정이다. 이번 케이스는 저권한 계정이 원격 파일 쓰기까지 연결될 수 있음을 보여, 초기 침해 이후 확산 억제 전략을 다시 점검하게 만든다.

2) 도메인 환경에서 횡적 이동 리스크가 확대된다

원문은 도메인에서 Users 그룹 권한 특성 때문에 쓰기 가능한 경로가 존재하는 시스템 전반으로 파급될 수 있다고 지적한다. 이는 특정 단말 방어만으로는 부족하고 도메인 전체의 ACL 위생 상태를 함께 관리해야 함을 의미한다.

3) 패치만으로 끝나지 않는 운영 과제가 남는다

연구진은 TOCTOU 취약점 자체는 패치됐지만 저권한 기반 정찰에 해당하는 일부 동작은 별도 패치 대상이 아니라고 설명한다. 따라서 패치 적용과 함께 계정·권한·탐지 체계를 동시에 강화해야 실질적인 위험을 줄일 수 있다.

영향 범위와 리스크 평가

영향받는 시스템/버전(소스 명시 기준)

명시됨: Windows 11, Windows Server 2025(MS-EVEN 기본 활성화 관련 서술).
추가 확인 필요: 기타 Windows 버전별 영향 여부와 패치 적용 상태는 MSRC 보안 공지에서 제품별로 확인.

공격이 가능해지는 조건(개념 수준)

공격자가 유효한 저권한 계정을 보유하고 있을 것(도메인 계정 또는 원격 인증 가능한 계정).
대상 시스템에서 EventLog RPC 접근 경로가 네트워크상 도달 가능할 것(예: named pipe \\PIPE\\eventlog).
대상 파일 시스템에 해당 계정이 쓸 수 있는 경로가 존재할 것(예: 사용자 프로필 하위, ProgramData 등 ACL 허용 경로).

탐지 포인트(로그/IOC)

인증 로그: 단일 저권한 계정이 짧은 시간 내 여러 호스트로 네트워크 로그온(예: 4624 type 3)하는 패턴.
SMB/공유 로그: 5140/5145 등 공유 접근 이벤트에서 비정상 대상/경로 증가, 특히 서버·DC 대상 접근 급증.
프로세스/파일 행위: EventLog 서비스 컨텍스트(svchost -s EventLog)에서 비정상 파일 생성·복사 흔적.
경로 기반 IOC: Startup 폴더, ProgramData, 사용자 앱 디렉터리에 신규 스크립트/라이브러리 생성.
네트워크 징후: 평소 SMB 클라이언트가 아니던 서버/DC에서 외부·비표준 호스트로 SMB 세션이 생성되는 패턴.

대응 체크리스트(보안운영팀 즉시 실행용)

P0 (오늘 즉시)

자산 목록에서 Windows 11/Windows Server 2025 및 Tier-0(DC, 관리 서버) 우선 패치 적용 여부를 확인한다.
MSRC 공지 기준 CVE-2025-29969 포함 누락 패치를 긴급 반영한다(테스트 윈도우가 짧더라도 Tier-0 우선).
원격 EventLog RPC 접근이 꼭 필요하지 않은 구간은 방화벽/세그먼트에서 즉시 제한한다.
저권한 계정의 다중 호스트 인증 시도, 비정상 공유 접근, Startup/ProgramData 신규 파일 생성을 고위험 경보로 승격한다.

P1 (72시간 이내)

도메인 전역에서 Users 그룹 쓰기 권한이 남아 있는 경로를 수집하고 서비스 운영에 불필요한 쓰기 권한을 제거한다.
최근 7~30일 로그를 기준으로 저권한 계정의 횡적 이동 패턴을 헌팅하고 의심 계정 비밀번호 재설정/세션 무효화를 수행한다.
EDR 쿼리로 EventLog 서비스 기원 파일 생성 행위를 추적하고 자동실행 경로 드롭 파일을 우선 조사한다.

P2 (1~2주 이내)

원격 관리 평면을 재설계해 EventLog RPC, SMB, 원격 관리 포트를 관리망 중심으로 재제한한다.
도메인 계정 최소권한 원칙을 재검토하고 일반 사용자 계정의 서버 접근을 업무 필요 기반으로 축소한다.
이번 케이스를 반영한 탐지 시나리오(저권한 계정 + 원격 파일 쓰기 징후)를 SIEM 상시 룰로 운영한다.

IR 착수 트리거(권장)

저권한 계정이 DC/핵심 서버에 연속 인증하고 같은 시간대에 공유 접근 이벤트가 급증한 경우.
EventLog 서비스 관련 행위 직후 Startup/ProgramData에 실행 가능 파일이 생성된 경우.
정상 업무와 무관한 원격 파일 존재 탐색 패턴이 반복되는 경우.

FAQ

Q1. CVE-2025-29969는 이미 패치됐나?

SafeBreach 공개문과 MSRC 링크 기준으로 2025년 5월 패치가 제공된 것으로 안내된다. 다만 조직별 적용 여부는 별개이므로 실제 자산의 누락 패치 여부를 반드시 점검해야 한다.

Q2. 도메인 환경에서만 위험한가?

원문은 도메인과 워크그룹 모두 가능하다고 설명한다. 다만 도메인은 동일 계정 재사용 범위와 공용 권한 경로가 넓어 파급력이 더 커질 수 있다.

Q3. 관리자 계정이 없어도 위협이 되나?

연구의 핵심 메시지는 저권한 자격증명으로도 의미 있는 원격 행위가 가능하다는 점이다. 따라서 저권한 계정 보호(유출 방지, 이상 인증 탐지)가 중요하다.

Q4. 패치만 하면 끝인가?

원문에는 취약점 패치 이후에도 정찰성 기능은 별도 패치 대상이 아니라고 언급된다. 패치와 함께 ACL 정비, 네트워크 제어, 행위 기반 탐지를 병행해야 운영 리스크를 줄일 수 있다.

Q5. 지금 당장 한 가지만 하라면?

Tier-0 자산의 패치 누락 여부를 먼저 확인하고 동시에 저권한 계정의 다중 호스트 인증/공유 접근 급증을 즉시 탐지하도록 SIEM 경보를 강화하는 것이 가장 효과적이다.

참고 링크

작성 시각: 2026-02-21 10:00 KST