텍스트 편집기에 네트워크 기능이 필요할까요? 보안 연구자들은 그렇지 않다고 말합니다. 하지만 마이크로소프트는 메모장에 마크다운 렌더링 기능을 추가하면서 네트워크 접근을 허용했고, 그 결과는 심각한 보안 취약점이었습니다.

마이크로소프트가 2026년 2월 Patch Tuesday 업데이트에서 수정한 58개 취약점 중 하나인 CVE-2026-20841은 Windows 메모장 앱의 원격 코드 실행 취약점입니다. 간단한 마크다운 파일 하나로 공격자가 사용자 PC에서 악성 코드를 실행할 수 있는 이 취약점은, AI 시대 빠른 개발의 어두운 면을 보여줍니다.

출처: Microsoft February 2026 Patch Tuesday fixes 6 zero-days, 58 flaws – BleepingComputer

마크다운 링크가 원격 코드 실행 통로로

CVE-2026-20841의 공격 방식은 놀랍도록 간단합니다. 공격자는 악의적인 프로토콜 링크가 포함된 마크다운 파일을 만들고, 사용자가 메모장에서 이 파일을 열어 Ctrl+클릭으로 링크를 따라가도록 유도하기만 하면 됩니다.

문제는 메모장이 file://, ms-appinstaller:// 같은 비표준 프로토콜을 아무런 경고 없이 실행했다는 점입니다. 원래 Windows는 이런 프로토콜 실행 시 Mark of the Web(MoTW) 보안 경고를 띄워야 하지만, 메모장의 마크다운 렌더링 기능은 이 보안 장치를 우회했죠.

보안 연구자 BTtea가 공개한 개념 증명(PoC)에 따르면, 단순한 마크다운 링크 하나로 원격 파일을 다운로드하고 실행할 수 있었습니다. CVSS 점수 8.8의 높은 위험도로 분류된 이유입니다.

AI가 코드의 30%를 작성하는 시대

마이크로소프트 CEO 사티아 나델라는 최근 회사 코드의 30%가 AI로 작성된다고 밝혔습니다. 개발 속도는 빨라졌지만, 보안 검증은 따라잡지 못하는 상황이죠.

말웨어 연구 집단 vx-underground는 이번 취약점을 “기능 과잉(feature creep)”의 전형적 사례로 지적했습니다. “텍스트 편집기에는 네트워크 기능이 필요 없다”는 그들의 지적처럼, 메모장은 수십 년간 단순한 텍스트 편집만 해왔고 그것으로 충분했습니다.

하지만 2022년부터 마이크로소프트는 메모장에 다크 모드, 탭 기능, 마크다운 렌더링 등을 추가하며 점점 복잡하게 만들었습니다. 문제는 새 기능을 추가할 때마다 공격 표면(attack surface)도 함께 넓어진다는 점입니다. 간단한 앱일수록 취약점이 적다는 보안의 기본 원칙을 무시한 결과입니다.

패치의 한계

마이크로소프트는 버전 11.2510에서 이 취약점을 수정했습니다. 하지만 해결 방법은 근본적이지 않습니다. 비표준 프로토콜 링크를 클릭하면 “이 링크는 안전하지 않을 수 있습니다”라는 경고창을 띄우는 정도죠.

문제는 이 경고창도 소셜 엔지니어링으로 우회 가능하다는 점입니다. 보안 전문가들이 지적하듯, 공격자가 “이 파일을 보려면 ‘계속’ 버튼을 눌러주세요”라고 설명을 덧붙이면 많은 사용자가 경고를 무시할 가능성이 높습니다.

IT 엔지니어 Nathan Kasco의 말처럼, “문제를 찾아 헤매는 솔루션”의 전형적 예입니다. 누가 메모장에 마크다운 렌더링을 원했을까요? 더 안전한 대안(VS Code, Obsidian 등)이 이미 존재하는데 말이죠.

반복되는 패턴

이번 취약점은 마이크로소프트의 AI 중심 전략이 낳은 수많은 문제 중 하나일 뿐입니다. 2024년 말 출시된 AI Recall 기능은 사용자 화면을 몇 초마다 스크린샷으로 저장하다가 거대한 프라이버시 재앙으로 판명났고, Windows 11에 통합된 Copilot AI의 채택률도 극히 저조합니다.

Wall Street Journal 조사에 따르면 마이크로소프트 직원들조차 회사의 혼란스러운 AI 브랜딩과 제품 간 일관성 부족에 좌절하고 있습니다. 수억 명의 Windows 10 사용자들이 Windows 11로의 업그레이드를 거부하는 이유이기도 하죠.

시스템 관리자들의 불만도 큽니다. Manel Rodero 엔지니어는 “시스템 관리자들이 AI 기능을 제거하고 깨끗한 환경을 만드느라 수많은 시간을 낭비한다”고 지적했습니다. 정작 개선이 필요한 핵심 기능은 방치한 채, 대부분의 사용자가 쓰지도 않을 AI 기능만 추가한다는 비판입니다.

참고자료:

• Windows Notepad Markdown feature opens door to RCE (CVE-2026-20841) – Help Net Security