미국을 포함한 3개국 사이버 보안 기관이 여전히 다수의 IT 부서가 운영 중인 온프레미스 이메일 서버 ‘익스체인지 서버’를 보호하기 위한 보안 베스트 프랙티스를 발표했다. 이번 권고문은 호주와 캐나다의 사이버 기관도 공동으로 승인했다.

이 조치는 시기적으로 적절하다. 익스체인지 서버의 취약점을 악용하는 공격이 지속되고 있으며, 구버전 또는 잘못 구성된 설치 환경이 주요 공격 경로로 악용되고 있기 때문이다. 예를 들어, 독일 정보보안청은 해당국 내 익스체인지 서버의 90% 이상이 구버전을 여전히 사용 중이라고 분석했다.

하이브리드 익스체인지 환경도 안전하지 않다. 2025년 8월, 마이크로소프트는 온프레미스와 익스체인지 온라인(Exchange Online)이 혼합된 배포 환경에서 관리자 권한 상승이 가능한 고위험 취약점(CVE-2025-53786)을 공개하고 보안 권고를 발표했다. 이는 4월에 배포된 긴급 패치의 업데이트 버전이다.

같은 달, 보안 기업 포지티브 테크놀로지스(Positive Technologies)는 익스체인지 인증 페이지에 키로거가 삽입된 사례를 경고했으며, 26개국 65개 기업이 피해를 입은 것으로 확인됐다.

많은 이가 2021년 1월 발생한 대규모 익스체인지 서버 공격 사건을 기억할 것이다. 당시 ‘하프늄(Hafnium)’으로 불린 공격 그룹이 제로데이 취약점 4개를 악용해 침투했으며, 미국 내 약 3만 개 기업, 전 세계적으로는 25만 개 이상이 피해를 입은 것으로 추정된다.

온프레미스 익스체인지, 여전히 남은 이유

많은 IT 부서가 클라우드 이메일로 전환하는 추세이지만, 일부 기업과 정부 기관은 예산 부족 또는 직접 관리에 대한 신뢰를 이유로 여전히 온프레미스 환경을 유지하고 있다. 그러나 보호되지 않거나 잘못 구성된 익스체인지 서버는 지속적인 공격 위협에 노출되어 있다고 미국 사이버보안 및 인프라보안국(CISA)은 경고했다. 특히 지원이 종료된 구버전까지 공격 대상에 포함돼 있다고 강조했다.

CISA는 모범 사례로 다음 세 가지 축을 제시했다.

• - 사용자 인증 및 접근 제어 강화
• - 강력한 네트워크 암호화 적용
• - 애플리케이션 공격 표면 최소화

이 지침은 완전한 보안 강화 매뉴얼은 아니지만, 침해 탐지·모니터링과 사고 대응 계획 수립도 동일하게 중요하다고 덧붙였다.

캐나다 보안업체 DigitalDefence의 로버트 베그스(Robert Beggs) 대표는 이번 권고안을 “너무나 늦게 나온 문서(long overdue)”라고 평가했다. 또한 “익스체인지 서버는 민감한 이메일과 비밀번호가 저장된 매우 매력적인 공격 표적임에도 불구하고, 테스트한 모든 설치 환경에서 중대한 설정 오류가 발견됐다”라고 밝혔다. 또한 “운영자가 메일 서비스 성능 저하를 우려해 방화벽, 엔드포인트 보안, 안티바이러스 등 기본 보안 통제를 비활성화하는 경우가 많다”라고 지적했다.

주요 보안 지침 요약

이번 권고문에서 CISA는 온프레미스 익스체인지 서버를 ‘항상 공격 위험에 노출된 자산’으로 간주해야 한다고 강조하며, 다음과 같은 구체적 조치를 제시했다.

• - 최신 버전 및 누적 업데이트(CU)로 유지하는 것이 가장 효과적인 방어책이다.
• - 익스체인지 서버 구독판(Subscription Edition, SE)만이 현재 유일하게 지원되는 온프레미스 버전이다. 마이크로소프트는 2025년 10월 14일자로 이전 버전의 지원을 종료했다.
• - Emergency Mitigation Service를 활성화해 임시 대응 조치를 자동 수신해야 한다.
• - 익스체인지 서버·메일 클라이언트·윈도우의 보안 기준선(Security Baseline)을 설정해, 보안 설정 불일치나 오구성 시스템을 빠르게 식별·교정해야 한다.
• - 마이크로소프트 디펜더 안티바이러스(마이크로소프트 Defender Antivirus)와 윈도우 내장 보안 기능(App Control for Business, AppLocker)을 활성화해야 한다.
• - 승인된 전용 관리 워크스테이션만이 원격 파워셸(PowerShell)을 포함한 관리 환경에 접근하도록 제한해야 한다.
• - 인증 및 암호화 절차를 강화해 신원 검증을 강화해야 한다.
• - 확장 보호(Extended Protection, EP)를 일관된 TLS 및 NTLM 설정으로 구성해야 한다.
• - P2 FROM 헤더의 기본 설정을 유지해 헤더 위조나 변조를 탐지해야 한다.
• - HTTP 엄격 전송 보안(HSTS)을 적용해 모든 브라우저 연결을 HTTPS로 강제 암호화해야 한다.

베그스는 “기업마다 설정 옵션이 다양하기 때문에 최적의 보안 구성을 선택하기가 쉽지 않다”라고 지적했다. 특히 공유 서비스 환경(Shared Services Model)에서 제3자가 서버를 호스팅하거나 관리할 경우 보안 책임이 불명확해지는 문제가 있다고 덧붙였다.

또한 베그스는 “패치나 업그레이드를 적용하면 일부 보안 설정이 초기화될 수 있다”라며, 보안 기준선을 적용할 때 반드시 적절한 기준선이 실제 반영됐는지 검증해야 한다고 강조했다. 이어 “설정 검토는 분기별로 최소 한 번 이상 수행돼야 한다”라고 제안했다.

마지막으로 베그스는 “익스체인지는 단순한 메일 서버가 아니라, 네트워크의 다른 서버와 동일한 수준의 보안 관리가 필요한 핵심 인프라라는 점을 관리자들이 인식해야 한다”라며, “특히 메일 서버에 저장된 데이터의 특성상 일관된 보안 정책 적용이 필수적”이라고 경고했다.

dl-itworldkorea@foundryco.com