마이크로소프트가 해당 문제를 확인했습니다
마이크로소프트는 릴리스 상태 대시보드 공지를 통해 이번 달 Windows Server 보안 업데이트 설치 후 일부 엔터프라이즈 도메인 컨트롤러(DC)가 연속적인 재부팅 루프에 빠졌다고 확인했습니다.
회사에 따르면, 2026년 4월 패치인 KB5082063은 권한 액세스 관리(PAM) 시스템에 사용되는 비글로벌 카탈로그(non-Global Catalog) 도메인 컨트롤러에서 로컬 보안 권한 하위 시스템 서비스(LSASS) 충돌을 유발합니다. 이 충돌로 인해 영향을 받는 서버에서는 Active Directory 인증 및 디렉터리 서비스가 이용할 수 없게 됩니다.
마이크로소프트의 대시보드는 Windows Server 2016, 2019, 2022, 23H2, 2025 버전을 해당 오류에 취약하다고 명시했습니다. LSASS 충돌은 시스템 시작 시퀀스 중에 발생하며, 이로 인해 시스템 장애가 반복되는 무한 루프에 빠집니다. 즉, 자동 재부팅할 때마다 안정적인 상태로 복구되지 못하고, 동일한 결함이 있는 인증 코드 경로를 계속 순환하며 진입하는 것입니다.
마이크로소프트, Windows 11 긴급 업데이트 배포
최신 Windows 11 업데이트 오류 발생, 설치 거부
이 문제는 Active Directory 권한 위임을 위한 PAM 환경을 운영하는 관리형 엔터프라이즈 환경에만 영향을 미치며, 마이크로소프트는 IT 관리 도메인 외부의 개인 장치는 안전하다고 밝혔습니다. 회사는 아직 공식 패치를 발표하지 않았습니다. 대신, KB5082063을 이미 배포한 영향을 받은 관리자들에게는 완화 조치 지침을 받기 위해 Microsoft Support for Business를 이용하도록 안내하고 있습니다.
KB5082063은 출시 후 일주일 만에 이미 세 가지 인지된 버그를 안고 있습니다. 또한, 마이크로소프트는 해당 업데이트가 설치 후 일부 Windows Server 2025 장치에서 BitLocker 복구 키를 요청하는 문제를 별도로 경고했습니다. 더 나아가, 회사는 KB5082063이 특정 Windows Server 2025 시스템에서는 아예 설치되지 않는다는 보고에 대해서도 조사를 진행 중입니다.
4월 보안 업데이트는 3년 연속 Windows Server 도메인 컨트롤러에 문제를 일으킨 바 있습니다. 2024년 3월에는 해당 월의 패치 화요일(Patch Tuesday)로 인해 DC가 아예 충돌하면서, 마이크로소프트가 긴급 아웃-오브-밴드(out-of-band) 수정 패치를 배포했습니다. 이후 2024년 4월 패치 주기는 Windows Server 전반의 NTLM 인증을 손상시키고 예기치 않은 DC 재시작을 유발했으며, 이는 마이크로소프트가 2024년 5월 배포를 통해 해결했습니다.
작년 6월에도 회사는 2025년 4월 보안 업데이트로 인해 발생한 Active Directory 인증 문제를 해결하는 수정 패치를 발표한 바 있습니다. 이번 달의 LSASS 충돌 사태는 3년 연속 동일한 패턴을 보이고 있습니다. 즉, 일반 패치 배포가 이루어진 직후 엔터프라이즈 관리자들로부터 배포 후 실패 보고가 쏟아지며, 완화책 마련에 혼란이 벌어지는 패턴입니다.
KB5082063이 여전히 릴리스 채널에 있으며 패치 일정이 확정되지 않은 현재, 관리자들은 세 가지 선택지를 고려해야 합니다. 첫째, 4월 업데이트 배포를 지연하거나, 둘째, 광범위한 배포에 앞서 패치 동작을 검증할 테스트 DC를 격리하거나, 셋째, 회사가 사례별(case-by-case)로 제공하는 완화 단계를 얻기 위해 Microsoft Support form Business를 통해 적극적인 문의를 진행하는 것입니다.
(본 콘텐츠는 Tom's Hardware의 뉴스 기사입니다. 최신 뉴스, 분석 및 리뷰를 받아보시려면 Google News에서 Tom's Hardware를 팔로우하거나 선호 소스로 추가해 주세요.)