비트라커, 보안취약점 개선책
"옐로키"라고 불리는 새로 노출된 Windows 보안 결함은 Microsoft의 주요 골칫거리가 되었습니다. 익스플로잇 세부 정보가 작업 중인 개념 증명과 함께 공개적으로 유출된 후, 회사는 영구적인 수정 사항을 준비하는 동안 공식적인 완화 지침을 서둘러 발표했습니다.
이 취약점은 BitLocker로 보호되는 시스템을 대상으로 하며, 공격자가 특정 조건 하에서 암호화된 Windows 드라이브에 직접 액세스할 수 있도록 할 수 있는 것으로 알려졌습니다. Microsoft는 현재 이 문제를 CVE-2026-45585로 추적하고 있습니다.
옐로키가 비트락커 보호를 우회하는 것으로 알려졌습니다
이 익스플로잇은 지난주 보안 연구원 '나이트메어 이클립스'에 의해 공개되었으며, 최근 여러 차례의 윈도우 제로데이를 온라인에 공개하고 있습니다. 연구원에 따르면 YellowKey는 USB 드라이브 또는 EFI 파티션에 설치된 특수 제작된 "FsTx" 파일을 악용합니다.
Windows 복구 환경(WinRE)을 통해 트리거되면 공격자는 프로세스 중에 CTRL 키만 누르면 보호된 저장 용량에 무제한으로 액세스할 수 있는 셸을 실행할 수 있는 것으로 알려졌습니다. 말할 필요도 없이, 이것은 시스템 관리자들이 듣고 싶어하는 것이 아닙니다.
흥미롭게도 YellowKey는 같은 연구자의 개념 증명 시리즈 중 가장 최근의 것일 뿐입니다. 이전에 같은 연구자가 블루해머, 그린플라즈마, 레드썬, 언디펜드를 공개했는데, 이 중 몇 가지는 권한 확대를 가능하게 하거나 Microsoft Defender 보호를 방해하는 것으로 알려졌습니다.
Microsoft는 관리자가 BitLocker 설정을 즉시 변경하기를 원합니다
Microsoft는 이 익스플로잇이 BitLocker 암호화 자체를 직접 중단하는 대신 보안 기능을 우회한다고 말합니다. 그러나 회사는 즉시 여러 방어 조치를 취할 것을 권장하고 있습니다. 한 가지 완화 조치는 세션 관리자의 BootExecute 레지스트리 값에서 autofstx.exe 항목을 제거하여 WinRE 내에서 FsTx 복구 유틸리티가 자동으로 실행되는 것을 막는 것입니다.
또한 TPM 전용 BitLocker 설정에서 TPM+PIN 인증으로 기기를 전환할 것을 강력히 권장하고 있습니다. 간단히 말해, 사용자는 Windows가 암호화된 드라이브를 잠금 해제하기 전에 수동으로 시작 PIN을 입력해야 합니다. 한편, 관리자는 PowerShell, 그룹 정책, Intune 또는 제어판 설정을 사용하여 새로운 요구 사항을 구성할 수 있습니다.
현재 Microsoft는 실제 보안 패치의 출시일을 공개하지 않았습니다. 하지만 가능한 한 빨리 착륙하기를 바랍니다.
Microsoft가 지적한 이 취약점은 "YellowKey" BitLocker 우회 취약점(CVE-2026-45585)으로 불리는 보안 이슈입니다.
분석가들의 설명대로, 이는 BitLocker의 수학적 AES 암호화 자체를 깨는 것이 아닙니다. 대신 Windows 복구 환경(WinRE)이 시스템 충돌이나 복구 루틴을 처리할 때 트랜잭션 NTFS(FsTx) 메타데이터를 자동 처리하는 방식을 악용합니다. 기기가 TPM 전용(TPM-only) 설정인 경우, 시스템이 신뢰할 수 있는 복구 상태로 부팅되었다고 판단하는 순간 TPM이 암호화 키를 자동으로 해제해 버립니다. 공격자는 이 틈을 타 시스템 권한의 명령 프롬프트(CMD)를 실행할 수 있게 됩니다.
Microsoft가 권장하는 두 가지 조치법을 적용하면 이러한 물리적 공격 경로를 차단할 수 있습니다.
1. WinRE 내부의 autofstx.exe 실행 비활성화
이 조치는 WinRE가 실행될 때 FsTx 자동 복구 유틸리티가 자동으로 동작하는 것을 막아, 공격자가 명령 프롬프트를 띄우는 파일 조작 루프를 차단합니다.
이 작업은 복구 환경 이미지 파일 자체를 수정해야 하므로, 관리자가 WinRE 이미지(winre.wim)를 마운트한 뒤 특정 레지스트리 하이브를 수정하고 다시 저장해야 합니다.
단계별 작업 절차
2. TPM + PIN 인증 강제 적용
레지스트리를 수정하면 현재 공개된 개념 증명(PoC) 공격 코드는 막을 수 있지만, 물리적 공격을 근본적으로 방어하는 가장 확실한 방법은 TPM + PIN 방식으로 전환하는 것입니다. 이 방식을 쓰면 부팅 시 사용자가 올바른 PIN 번호를 입력하기 전까지는 TPM이 메인보드에 암호화 해제 키를 절대 넘겨주지 않습니다.
PowerShell을 통한 설정 (개별 PC용)
PC에 PIN 번호를 추가하려면 PowerShell에서 manage-bde 유틸리티나 Windows 기본 BitLocker 명령을 사용합니다.
주의: PIN을 추가하기 전에 local이나 도메인 그룹 정책에서 "시작 시 PIN 요구"가 허용되어 있는지 먼저 확인해야 합니다.
PowerShell
# 기존 키 보호기에 추가로 TPM + PIN 보호기 생성
Add-BitLockerKeyProtector -MountPoint "C:" -Pin (ConvertTo-SecureString "사용할PIN번호123!" -AsPlainText -Force) -TPMandPinProtector
그룹 정책(GPO)을 통한 설정 (기업 내 일괄 배포용)
사내 도메인에 가입된 다수의 PC를 관리하는 경우, 그룹 정책을 통해 이 설정을 전사적으로 강제할 수 있습니다.
경로: 컴퓨터 구성 -> 관리 템플릿 -> Windows 구성 요소 -> BitLocker 드라이브 암호화 -> 운영 체제 드라이브
정책명: "시작 시 추가 인증 요구" 규칙을 찾아 사용(Enabled)으로 변경합니다.
옵션 설정: 하단 옵션 창에서 "TPM 시작 PIN 구성:" 항목을 TPM과 함께 시작 PIN 요구로 선택합니다.
정책이 적용되면 사용자들은 PC 부팅 시 사용할 PIN을 새로 만들라는 안내를 받게 되며, 관리자는 Microsoft Intune이나 배포 스크립트를 통해 이를 자동화할 수 있습니다.
1.WinRE 위치 확인 및 비활성화:사전 준비 단계.
PowerShell 또는 명령 프롬프트를 관리자 권한으로 실행합니다. 현재 상태를 확인한 뒤, 이미지 파일을 안전하게 수정할 수 있도록 WinRE를 잠시 비활성화합니다.
PowerShell
reagentc /info
reagentc /disable
```
작업용 임시 폴더를 생성합니다(예: `C:\WinRE_Mount`). 비활성화 후 추출된 `winre.wim` 파일(보통 `C:\Windows\System32\Recovery\`에 위치)을 DISM 명령어로 마운트합니다.
powershell
dism /Mount-Image /ImageFile:C:\Windows\System32\Recovery\winre.wim /Index:1 /MountDir:C:\WinRE_Mount
마운트된 이미지 내부의 `SYSTEM` 레지스트리 파일을 현재 환경의 임시 경로(`OFFLINE_SYSTEM`)로 로드합니다.
powershell
`regedit`(레지스트리 편집기)를 열거나 명령어를 통해 다음 경로로 이동합니다. `HKLM\OFFLINE_SYSTEM\ControlSet001\Control\Session Manager` 우측에서 다중 문자열(`REG_MULTI_SZ`) 값인 BootExecute를 찾습니다. 기본값은 보통 다음과 같습니다.
text
autocheck autochk *
autofstx.exe
여기서 `autofstx.exe` 줄을 완전히 삭제하고, `autocheck autochk *`만 남겨둔 채 저장합니다. 임시로 로드했던 하이브를 언로드하고, DISM을 사용해 수정된 내용을 이미지 파일에 최종 반영(커밋)하면서 마운트를 해제합니다.
powershell
reg unload HKLM\OFFLINE_SYSTEM
dism /Unmount-Image /MountDir:C:\WinRE_Mount /Commit
수정이 완료된 복구 환경을 다시 켭니다. 이 명령을 실행하면 시스템이 수정된 이미지 파일을 보안 파티션으로 자동 등록합니다. ```powershell reagentc /enable ```