Adobe, 최소 4개월 열려 있던 PDF zero-day를 이제서야 막았다

PDF는 오래됐고 지루하지만, 여전히 지구상에서 가장 효율적인 malware 전달 형식 가운데 하나다. 그래서 이번 Adobe patch가 중요하다. 4월 14일 TechCrunch 보도에 따르면 Adobe는 Acrobat DC, Reader DC, Acrobat 2024에 걸친 zero-day인 CVE-2026-34621을 수정했다. 문제는 단순히 취약점이 있었다는 게 아니라, update가 나오기 전 최소 4개월 동안 실제 공격에 쓰였다는 점이다.

이 bug가 거슬리는 이유는 공격 경로가 너무 익숙하기 때문이다. 보도와 Adobe의 security bulletin을 보면, 공격자는 악성 PDF를 열게 만드는 것만으로 Windows나 macOS 장치에 malware를 심을 수 있다. Adobe는 이 취약점이 실제로 exploited in the wild 상태였다고 인정했다. 이건 이론상 결함과 현실의 사고를 가르는 선이다. 소프트웨어가 취약했다는 사실보다 더 큰 문제는, 방어 측에 patch가 오기 전에 공격 측이 이미 operationalize했다는 데 있다.

EXPMON의 Haifei Li는 malware scanner에 올라온 악성 PDF를 추적하면서 이 문제를 발견했고, 분석 결과 exploit가 성공하면 공격자가 피해자 시스템을 사실상 완전히 장악할 수 있다고 봤다. TechCrunch는 또 다른 악성 샘플이 2025년 11월 말 VirusTotal에 나타났다고 전했다. 즉 공격 타임라인은 Adobe patch보다 훨씬 앞에서 이미 시작된 셈이다. Adobe는 Acrobat DC와 Reader DC는 26.001.21411, Acrobat 2024는 Windows와 macOS용 최신 build로 올리라고 권고했다.

더 불편한 교훈은 익숙하다. 문서 workflow는 기업, 학교, 정부, 개인 기기 전반에 너무 널리 퍼져 있어서, PDF exploit는 여전히 사람들이 기본적으로 신뢰하는 email과 파일 공유 습관을 타고 흐른다. 이번 patch는 한 개 bug를 닫았지만, “첨부파일을 열어본다”는 행동이 여전히 현대 computing에서 가장 오래되고 끈질긴 공격면 가운데 하나라는 사실은 바뀌지 않는다. 보안팀에게 필요한 대응은 patch 적용에서 끝나지 않는다. 수상한 PDF 처리 흔적을 endpoint에서 확인하고, reader를 격리하며, 문서가 많은 환경은 계속 매력적인 표적이라고 가정해야 한다.