ADFS 서버의 CVE-2026-56155 취약점 노출 여부는 서버 패치 버전과 특정 엔드포인트의 외부 접근 가능 여부로 점검한다. 패치를 적용하기 전에는 반드시 구성 데이터베이스와 인증서, 신뢰 관계 설정을 백업해야 한다. 패치 후에는 서비스 상태와 인증 토큰 생성 여부를 검증해 정상 작동하는지 판단한다.
CVE-2026-56155 취약점의 메커니즘과 보안 위험성
CVE-2026-56155는 Microsoft Active Directory Federation Services(ADFS)에서 발생하는 심각한 보안 취약점이다. 공격자가 특수하게 조작된 요청을 보내 인증 프로세스를 우회하거나 권한을 상승시킬 위험이 있다. 핵심은 ADFS 서버가 SAML 요청 또는 OAuth 2.0 인증 토큰을 검증하는 과정에서 발생하는 논리적 결함이다. 공격자가 특정 파라미터를 조작해 전송하면, 서버가 이를 정상적인 인증 요청으로 오인해 관리자 권한 세션을 생성하거나 내부 망 접근 권한을 부여한다.
기업 환경에서 ADFS는 다양한 클라우드 서비스(SaaS)와 온프레미스 애플리케이션의 단일 로그인(SSO) 관문이다. 이 지점이 뚫리면 전사적인 계정 탈취와 데이터 유출로 이어질 가능성이 매우 높다. 공격자는 외부 접근이 가능한 /adfs/ls 또는 /adfs/oauth2 엔드포인트를 타겟으로 지속적인 프로빙을 시도한다. 보안 패치가 되지 않은 서버는 이러한 공격에 무방비로 노출된다. 인프라 담당자는 단순 버전 확인을 넘어 실제 공격 경로가 차단되었는지 정밀하게 검토해야 한다.
ADFS 취약점 점검 및 패치 해결책: 노출 여부 확인 방법
가장 먼저 운영 중인 ADFS 서버의 현재 빌드 버전과 보안 업데이트 적용 상태를 대조한다. Microsoft 공식 보안 권고 사항에 명시된 패치 버전보다 낮다면 해당 서버는 CVE-2026-56155 취약점에 노출된 것으로 본다. 윈도우 서버의 ‘업데이트 기록 보기’ 메뉴에서 최신 누적 업데이트 설치 여부를 확인하거나, PowerShell로 설치된 핫픽스 목록을 추출해 대조하는 방식이 가장 정확하다.
버전 확인과 더불어 네트워크 레벨에서 외부의 비정상적인 접근이 가능한지도 점검해야 한다. ADFS 서버 웹 인터페이스에 접근해 인증 요청 파라미터를 조작했을 때, 서버가 이를 적절히 거부하는지 아니면 비정상적인 응답을 반환하는지 분석한다. 특히 외부망에서 ADFS 엔드포인트로 직접 연결되는 경로가 열려 있다면, 공격자가 네트워크 스캐닝 도구로 취약한 버전을 식별해 즉시 공격할 수 있다. 방화벽 설정과 WAF(Web Application Firewall) 룰 적용 여부를 함께 검토한다.
패치 전 필수 백업 항목 및 단계별 검증 절차
보안 패치 과정에서 예상치 못한 설정 오류나 서비스 중단이 발생할 수 있어 철저한 백업 전략이 선행되어야 한다. ADFS는 데이터베이스와 인증서, 신뢰 관계가 복잡하게 얽힌 서비스다. 전체 시스템 이미지 백업뿐 아니라 개별 구성 요소에 대한 세부 백업이 필수적이다.
| 백업 대상 항목 | 백업 방법 및 도구 | 백업 목적 및 중요성 |
|---|---|---|
| ADFS 구성 데이터베이스 (WID/SQL) | SQL Server Management Studio 또는 WID 백업 스크립트 | 신뢰 관계, 파트너 설정, 정책 등 전체 설정 복구용 |
| 서비스 통신 인증서 (SSL/TLS) | certlm.msc (내보내기 .pfx 파일) | 패치 후 인증서 인식 오류 시 복구 및 재설치용 |
| ADFS 설정 파일 및 레지스트리 | regedit.exe 내 ADFS 관련 키 내보내기 | 사용자 정의 설정 및 서버 튜닝 값 보존 |
| 신뢰 당사자(Relying Party) 설정 값 | PowerShell Get-AdfsRelyingPartyTrust 내보내기 | 연동된 외부 앱과의 인증 연결 상태 복구 |
패치 적용 후에는 다음 5단계 검증 절차로 서비스 정상 작동 여부를 확인한다.
- 서비스 상태 확인: 윈도우 서비스 관리자(
services.msc)에서 ‘Active Directory Federation Services’ 서비스가 ‘실행 중’인지 확인한다. - 엔드포인트 접근 테스트: 브라우저로
/adfs/ls/idpinitiatedsignon.htm페이지에 정상 접근 가능한지 테스트한다. - 인증 토큰 생성 검증: 테스트 계정으로 로그인을 시도해 SAML 토큰 또는 OAuth 토큰이 정상 발행되는지 확인한다.
- 연동 애플리케이션 접속 확인: ADFS와 연동된 주요 SaaS 앱(예: Office 365, Salesforce 등)의 SSO 전환이 매끄러운지 점검한다.
- 이벤트 로그 분석: 이벤트 뷰어의 ‘Applications and Services Logs > AD FS’ 경로에서 패치 후 발생한 Critical 또는 Error 로그가 없는지 분석한다.
즉시 패치가 불가능할 때의 임시 완화 조치 및 설정법
운영 환경 특성상 즉각적인 서버 재부팅이나 패치가 어렵다면 공격 경로를 차단하는 임시 조치를 적용한다. WAF(Web Application Firewall)로 CVE-2026-56155 공격에 쓰이는 특수 문자열이나 비정상 파라미터 패턴을 필터링하는 방법이 효과적이다. 요청 헤더 특정 필드에서 비정상 인코딩이 발견되거나 허용되지 않은 경로로 접근할 때 이를 탐지해 차단하도록 룰을 설정한다.
네트워크 수준의 접근 제어 리스트(ACL)를 강화해 신뢰할 수 있는 IP 대역에서만 ADFS 관리자 페이지와 특정 엔드포인트에 접근하도록 제한한다. 외부 공개가 필수적인 서비스라면 리버스 프록시(Reverse Proxy) 서버를 전면에 배치해 요청을 검증한 뒤 내부 ADFS 서버로 전달함으로써 직접적인 공격 노출을 줄인다. 이러한 조치는 임시 방편일 뿐이므로, 최대한 빨리 정식 보안 패치를 적용하는 계획을 세워야 한다.
대응 요약
CVE-2026-56155 취약점은 ADFS 인증 메커니즘을 악용해 권한을 탈취하는 위험한 보안 허점으로, 신속한 버전 점검과 패치가 필수적이다. 패치 중 발생할 수 있는 서비스 가용성 저하를 막으려면 구성 데이터베이스, 인증서, 신뢰 관계 설정을 철저히 백업하고 적용 후 5단계 검증 절차로 안정성을 확인한다. 즉시 패치가 어렵다면 WAF 룰 적용과 접근 제어 강화로 리스크를 낮춘다.
지금 운영 중인 ADFS 서버의 빌드 버전을 확인하고, 백업 리스트를 바탕으로 보안 업데이트 계획을 수립해 기업 인프라의 보안 무결성을 확보하시기 바란다.