윈도우 메모장에서 원격코드 실행 가능했다 [CVE-2026-20841]

윈도우 메모장 원격코드 실행 취약점, 핵심 3가지

마이크로소프트가 윈도우 메모장의 원격코드 실행(RCE) 취약점을 패치했다. CVE-2026-20841로 등록됐고, CVSS 8.8점 ‘중요’ 등급이다.^{[CVE Feed]}

원인은 커맨드 인젝션(CWE-77)이다. 조작된 마크다운 파일을 열고 악성 링크를 클릭하면 메모장이 외부 프로토콜을 검증 없이 처리한다. 원격 파일을 가져와 임의 명령어를 실행할 수 있었다.^{[CybersecurityNews]}

마이크로소프트 스토어 배포 모던 메모장 11.0.0~11.2510 이전 버전이 대상이다. 클래식 notepad.exe는 마크다운 기능이 없어 영향받지 않는다.^{[BleepingComputer]}

공격 복잡도는 낮고 특별한 권한도 불필요하다. 파일을 열고 링크를 클릭하면 끝이다.

2026년 2월 10일 패치 튜즈데이에서 수정됐다. 이번에 총 58개 취약점이 패치됐고, 6개는 제로데이였다.^{[Zero Day Initiative]}

실제 공격 사례는 아직 없지만 PoC 코드가 공개된 상태다. 스토어에서 메모장을 최신 버전으로 업데이트하자. 자동 업데이트를 켜두면 편하다.

텍스트 편집기라고 방심하기 쉽지만, 모던 앱으로 진화하면서 공격 표면도 넓어졌다. 참고가 되면 좋겠다.

Q: 클래식 메모장도 영향받나?

A: 이번 취약점은 스토어 배포 모던 메모장에만 해당한다. 클래식 notepad.exe는 마크다운 렌더링 기능이 없어서 영향받지 않는다. 그래도 윈도우 보안 업데이트는 항상 최신으로 유지하는 게 좋다.

Q: CVSS 8.8점이면 얼마나 심각한가?

A: 10점 만점에 8.8점으로 높은(High) 등급이다. 공격 난이도가 낮아 악용이 쉬운 편이지만, 사용자가 파일을 열고 링크를 클릭해야 하므로 자동 전파는 아니다.

Q: 패치 외에 할 수 있는 조치가 있나?

A: 스토어에서 메모장을 최신 버전으로 업데이트하는 게 가장 중요하다. 자동 앱 업데이트를 활성화하고, 출처가 불분명한 마크다운 파일은 열지 않는 것이 좋다.

이 글이 유용했다면 AI Digester를 구독해주세요.