마이크로소프트(MS)가 2025년 12월 ‘패치 튜즈데이’를 맞아 57건의 보안 취약점에 대한 패치를 배포하는 한편, 다가오는 2026년 중반기부터 적용될 마이크로소프트 365(Microsoft 365) 상업용 구독 서비스의 가격 인상 계획을 함께 공개했다. 이번 발표는 당면한 보안 위협에 대한 기술적 대응과 AI 및 보안 기능 강화에 따른 비즈니스 모델 개편이 동시에 이루어졌다는 점에서 주목된다.
제로데이 취약점과 시스템 권한 탈취 위협
이번 12월 보안 업데이트에서 가장 시급한 사안은 3건의 제로데이 취약점이다. 이 중 ‘CVE-2025-62221’로 식별된 윈도우 클라우드 파일 미니 필터 드라이버(Windows Cloud Files Mini Filter Driver)의 취약점은 현재 실제 공격에 악용되고 있는 것으로 확인됐다. CVSS 점수 7.8을 기록한 이 보안 결함은 ‘Use-after-free(메모리 해제 후 사용)’ 오류로 분류되며, 공격자가 이를 성공적으로 악용할 경우 윈도우 기기에서 시스템(System) 수준으로 권한을 격상할 수 있어 각별한 주의가 요구된다. 마이크로소프트 측은 해당 취약점이 야생(In-the-wild)에서 악용되고 있음을 인지하고 있으나, 구체적인 공격 방식에 대해서는 보안상의 이유로 상세히 공개하지 않았다.
동일한 드라이버 내에서 발견된 또 다른 취약점인 ‘CVE-2025-62454’ 역시 권한 상승을 유발할 수 있으며, 공격자들의 표적이 될 가능성이 높은 것으로 분석된다. 이 외에도 젯브레인(Jetbrains)용 코파일럿과 파워셸(PowerShell)에서 발견된 원격 코드 실행 취약점 두 건은 이미 패치 배포 전 대중에 공개된 상태다. 사측은 이들 취약점이 실제 공격으로 이어질 가능성은 낮다고 평가했으나, 젯브레인 관련 취약점의 경우 개념 증명(PoC) 코드가 이미 존재한다는 점을 간과해서는 안 된다.
오피스 제품군과 ‘미리 보기’ 공격 벡터
업무 환경에서 필수적인 오피스(Office) 제품군에서도 13건의 취약점이 수정됐다. 특히 비록 ‘심각(Critical)’ 등급으로 표시되지는 않았으나 CVSS 점수 8.4를 기록한 두 건의 고위험군 취약점(CVE-2025-62554, CVE-2025-62557)은 공격자가 원격으로 악성 코드를 실행할 수 있게 만든다.
우려스러운 점은 공격 벡터다. 해커들은 사회공학적 기법을 이용해 사용자가 악성 링크를 클릭하도록 유도할 수 있는데, 오피스의 ‘미리 보기 창(Preview Pane)’이 주요 공격 경로로 지목되었다. 마이크로소프트는 “최악의 시나리오에서는 사용자가 이메일을 열거나 읽지 않아도, 단순히 미리 보기 기능만으로도 공격자가 피해자의 PC에서 원격 코드를 실행할 수 있다”고 경고했다. 이번 업데이트에는 비주얼 스튜디오, 애저 모니터 에이전트, 하이퍼-V 등 다양한 제품군에 대한 수정 사항도 포함되었으며, 이로써 마이크로소프트는 2025년 한 해 동안 약 1,200건의 취약점을 해결하며 2년 연속 1,000건 이상의 보안 결함을 수정하게 되었다.
AI 및 보안 기능 통합에 따른 2026년 가격 인상
보안 태세 정비와 더불어 마이크로소프트는 2026년 7월부터 적용될 상업용 구독 모델의 가격 정책 변경을 예고했다. 이번 가격 인상은 단순한 물가 반영이 아닌, 마이크로소프트 365 및 엔터프라이즈 제품군에 새로운 AI 기능과 강화된 보안 관리 툴이 통합됨에 따른 조치다.
구체적으로 살펴보면 ‘마이크로소프트 디펜더(Microsoft Defender)’의 이메일 보안 도구가 상위 플랜에 통합되어 맬웨어, 피싱, 악성 링크에 대한 플랫폼 전반의 보호 기능을 제공하게 된다. 또한, 하위 플랜인 비즈니스 베이직 및 스탠다드 등급에서도 이메일이나 오피스 앱 내 링크 클릭 시 악성 웹사이트 여부를 확인하는 URL 안전성 검사 기능이 추가될 예정이다. 엔드포인트 관리 솔루션인 인튠(Intune)의 기능들도 E3, E5 등 상위 플랜에 대거 흡수되어 IT 팀이 AI 사용 환경을 안전하게 관리할 수 있도록 지원한다. 퓨전 리서치(Futurum)의 디온 힌치클리프 부사장은 이러한 변화에 대해 “조직이 진화하는 위협에 대응하고 최신 혁신을 유지하도록 돕겠다는 마이크로소프트의 의지가 반영된 것”이라고 평했다.
변경된 요금 체계 및 향후 전망
새로운 가격 정책에 따라 ‘마이크로소프트 365 비즈니스 베이직’은 사용자당 월 6달러에서 7달러로, ‘비즈니스 스탠다드’는 12.50달러에서 14.50달러로 인상된다. 기업용 플랜인 ‘오피스 365 E1’과 ‘E3’ 역시 각각 1달러와 3달러씩 오르며, 최상위 제품군인 ‘마이크로소프트 365 E5’는 기존 57달러에서 65달러로 가장 큰 폭의 인상률을 보일 예정이다.
이번 가격 변동은 전 세계 시장에 적용되며 각 지역의 시장 상황에 따라 조정될 수 있다. 비영리 단체용 요금 또한 상업용 가격 정책에 맞춰 조정된다. 마이크로소프트 측은 “고객들이 예산 계획을 수립할 수 있도록 충분한 시간을 두고 미리 공지하는 것”이라고 설명하며, 지난 1년간 1,100개 이상의 기능을 업데이트해왔음을 강조했다. 현재 포춘 500대 기업의 90% 이상이 도입한 코파일럿(Copilot)과 같은 AI 기능이 핵심 앱에 깊숙이 통합되고 있는 만큼, 이번 가격 인상은 AI 기반의 미래 업무 환경을 구축하기 위한 필수적인 투자라는 것이 사측의 입장이다.