Microsoft의 발표에 따르면 코드명 CVE-2026-20841의 취약점은 CVSS 척도(소프트웨어/하드웨어 보안 취약점의 심각성을 평가하고 정량화하는 데 사용되는 개방형 산업 표준 시스템)에 따라 8/7.7점의 높은 심각성으로 평가되었습니다.
이 취약점을 통해 공격자는 사용자가 메모장으로 열린 Markdown 파일에 삽입된 악성 링크를 클릭하도록 속일 수 있습니다.
그러면 앱은 확인되지 않은 프로토콜을 실행하고, 파일을 다운로드하고, 원격으로 실행할 수 있습니다.
다시 말해, 해커는 악성 링크가 포함된 Markdown 파일을 만들 수 있습니다. 사용자가 실수로 클릭하면 악성 코드가 다운로드되어 시스템에서 실행되어 장치 제어, 데이터 도난 또는 스파이웨어 설치를 위한 길을 열 수 있습니다.
취약점은 2026년 2월 Patch Tuesday 업데이트에서 수정되었습니다. Microsoft는 Windows 사용자에게 안전을 위해 최신 패치를 신속하게 설치할 것을 권장합니다.
회사는 또한 발표 당시 이 허점이 공개적으로 악용된 사례는 기록되지 않았다고 밝혔습니다.
주목할 만한 점은 이 사건이 Notepad++(일반적인 대체 텍스트 편집기) 개발자가 인프라가 해킹당했다고 발표한 지 하루 만에 발생하여 텍스트 편집 도구의 보안에 대한 우려를 불러일으켰다는 것입니다.
이전에는 노트패드가 간단하고 오프라인으로 작동하는 텍스트 편집기였습니다. 그러나 작년 5월부터 마이크로소프트는 앱을 재설계하고 마크다운 지원과 온라인 기능을 추가했습니다.
특히 노트패드는 현재 마이크로소프트 코파일럿 AI 비서를 위해 인터넷에 연결할 수 있습니다.
이러한 기능 확장으로 인해 많은 사용자들이 기본 텍스트 편집기가 네트워크에 자주 액세스해야 하는지 의문을 제기합니다.
최근 몇 년 동안 마이크로소프트는 노트패드나 페인트와 같은 핵심 애플리케이션에 코파일럿과 AI 도구를 통합한 것에 대해 적지 않은 비판을 받았습니다.
그럼에도 불구하고 보안 전문가들은 가장 큰 위험은 앱 자체에 있는 것이 아니라 사용자가 이상한 파일과 링크에 대해 경계를 늦추는 데 있다고 강조합니다.
시스템을 정기적으로 업데이트하는 것은 점점 더 정교해지는 위협으로부터 장치를 보호하는 가장 중요한 방법입니다.
