앞선 글에서 2023년까지 Foxit과 Adobe의 보안 패치 현황을 살펴봤습니다. 그로부터 2년이 지난 지금, 두 가지 변화가 뚜렷합니다. 하나는 Foxit의 취약점 수가 처음으로 Adobe를 추월한 것이고, 다른 하나는 지원이 종료된 구버전을 쓰는 조직이 새 취약점에 무방비로 노출되는 문제가 본격화된 것입니다.
1. 2024년, Foxit이 Adobe를 추월하다
Foxit이 매년 공개하는 내부 보안 보고서와 Adobe 보안 게시판을 토대로 연도별 CVE(공식 취약점 번호) 수를 정리하면 흥미로운 전환점이 보입니다. 두 제품 모두 2018년을 정점으로 감소해 왔지만, 2024년에 Foxit(78건)이 Adobe(64건)를 처음으로 넘어섰습니다.
| 연도 | 2018 | 2019 | 2020 | 2021 | 2022 | 2023 | 2024 |
|---|---|---|---|---|---|---|---|
| Foxit | 324 | 83 | 68 | 92 | 74 | 58 | 78 |
| Adobe | 385 | 343 | 96 | 121 | 100 | 83 | 64 |
Foxit은 자사 보고서에서 이 역전을 두고 “특별한 주의가 필요한 추세”라고 직접 언급했습니다. 브랜드 인지도가 높아지면서 보안 연구자의 관심이 Foxit로 옮겨오고 있다는 신호입니다. 같은 PDF 사양을 구현하는 이상, 한쪽에서 발견된 취약점 유형은 다른 쪽에서도 반복적으로 나타납니다.
왜 CVE 수만으로 판단하면 안 되는가Foxit은 신고자가 필요에 따라 CVE를 신청하는 구조라, 공식 CVE 수가 실제 취약점 전체를 대표하지 않습니다. 즉 표에 보이는 숫자는 빙산의 일각일 수 있습니다. 중요한 것은 숫자가 아니라 “내가 쓰는 버전이 패치를 받고 있는가”입니다.
2. 2026년 상반기, 무엇이 보고되었나
2026년 들어서도 PDF 취약점은 끊이지 않았습니다. 특히 다음 건들은 악성 PDF를 열기만 해도 코드 실행이나 서비스 거부로 이어질 수 있어 주목할 만합니다.
- CVE-2026-5937~5943Foxit 7건 일괄 패치(4월). XFA 파싱 검증 미흡, Annotation Use-After-Free, 버퍼 오버플로 등. 원격 코드 실행·서비스 거부 가능.
- CVE-2026-3779Foxit이 Array 객체를 다루는 과정의 Use-After-Free. 악성 JavaScript가 담긴 PDF로 트리거 (Cisco Talos 발견).
- CVE-2025-66494/495PDF 파싱·Annotation 처리의 Use-After-Free. 해제된 메모리 재참조로 코드 실행 가능.
- CVE-2026-34621Adobe Acrobat의 JavaScript 프로토타입 오염. 2025년 11월부터 실제 공격에 악용되었고 CISA가 긴급 패치를 요구.
공통점이 보입니다. 대부분이 메모리 손상(Use-After-Free) 계열이고, JavaScript 또는 XFA 같은 동적 기능이 방아쇠가 됩니다. 이는 우연이 아니라 PDF 엔진의 구조적 약점이 같은 영역에서 반복되고 있음을 보여줍니다. 실제로 XFA 관련 취약점은 2022년부터 2026년까지 4년 넘게 매년 등장하고 있습니다.
3. VirusTotal에 올라온 실제 공격 사례
위 CVE-2026-34621은 단순한 이론적 위협이 아니었습니다. 보안 연구자 분석에 따르면, 이 취약점을 악용한 악성 PDF가 2025년 11월 VirusTotal에 처음 등장했고, 당시 64개 백신 엔진 중 단 5개만이 탐지했습니다. 사실상 무방비로 유포된 셈입니다. 러시아 석유·가스 산업을 노린 표적 피싱에 쓰인 정황도 확인되었습니다.
시사점백신의 탐지율이 8%(5/64)에 그쳤다는 것은, 미끼 PDF를 통한 공격이 여전히 전통적 백신을 우회한다는 뜻입니다. 패치가 나오기 전(zero-day) 이나 패치를 받을 수 없는 환경에서는, 이런 악성 문서가 아무런 경고 없이 열릴 수 있다는 점이 가장 큰 위험입니다.
4. 진짜 문제 — 지원이 끝난 버전
여기서 많은 조직이 간과하는 핵심이 있습니다. 위 취약점들은 모두 최신 버전(Foxit 2026.1.1 / 14.0.4 등)에서 패치되었습니다. 그런데 지원이 종료된 구버전(예: v12 계열)을 쓰는 조직은 이 패치를 받지 못합니다.
국내에서도 OEM으로 재배포된 PDF 편집기나, 특정 버전에 고정된 채 운영되는 공공·기업 환경이 적지 않습니다. 메인 엔진을 통째로 교체하는 것은 호환성과 비용 때문에 현실적으로 어렵습니다. 그 결과, 새 취약점이 공개되어도 “패치할 방법이 없는” 공백 기간이 생깁니다.
지원종료(End-of-Support) 버전의 딜레마새 CVE 공개 → 벤더는 최신 버전만 패치 → 구버전 사용 조직은 무방비 → 공격자는 “패치 안 되는 버전”을 노린다. 이 악순환은 PDF뿐 아니라 모든 지원종료 소프트웨어가 안고 있는 구조적 위험입니다.
5. 지금, 점검이 필요한 시점
정리하면 상황은 이렇습니다. PDF 취약점은 줄어들지 않고 있으며, 오히려 Foxit처럼 그동안 상대적으로 주목받지 않던 제품으로 연구자와 공격자의 관심이 옮겨가고 있습니다. 새로 공개되는 취약점의 상당수는 문서를 열기만 해도 작동하고, 백신은 미끼 PDF를 제때 걸러내지 못하는 경우가 많습니다.
그리고 가장 중요한 문제 — 이 모든 패치는 최신 버전에만 적용됩니다. 지원이 끝난 버전을 쓰고 있다면, 새 취약점이 공개되는 순간부터 조직은 막을 수단 없이 노출됩니다. 이것은 “언젠가 업그레이드하면 되는” 문제가 아니라, 지금 이 시점에 이미 벌어지고 있는 공백입니다.
보안 담당자가 스스로에게 던져야 할 질문· 우리 조직이 쓰는 PDF 프로그램은 지금도 보안 패치를 받고 있는가?
· 사용 중인 버전이 벤더의 지원 대상에 포함되는가?
· 만약 지원이 끝난 버전이라면, 새 취약점이 나왔을 때 이를 막을 수단이 마련되어 있는가?
이 질문들에 자신 있게 답할 수 없다면, 점검이 필요한 시점입니다. PDF는 거의 모든 조직이 매일 주고받는 문서 형식인 만큼, 작은 공백 하나가 전체 보안의 입구가 될 수 있습니다. 자사 환경의 PDF 프로그램이 어떤 상태에 놓여 있는지, 한 번쯤 들여다보시기를 권합니다.
참고 자료
· Foxit 보안 게시판: foxit.com/support/security-bulletins.html
· Adobe 보안 게시판: helpx.adobe.com/security
· CISA Known Exploited Vulnerabilities (KEV) Catalog
· Cisco Talos, Trend Micro ZDI 취약점 공개 자료
※ CVE 수치는 각 벤더 보안 보고서 및 공개 집계를 기반으로 한 근사치이며, 집계 시점에 따라 일부 차이가 있을 수 있습니다. 본 글은 일반적 보안 정보 제공을 목적으로 하며, 특정 제품의 취약 여부를 단정하지 않습니다.