마이크로소프트 익스체인지 서버 보안 취약점 경고: 하이브리드 환경 사용자 긴급 대응 필요

최근 마이크로소프트와 미국 사이버보안 및 인프라 보안국(CISA)이 하이브리드 익스체인지 서버 환경을 운영하는 관리자들에게 고위험 보안 취약점을 신속하게 차단할 것을 촉구했습니다. 이 취약점은 공격자가 시스템을 탈취할 수 있는 심각한 위험을 내포하고 있어, 관련 사용자들의 즉각적인 대응이 요구됩니다. 이번 블로그 글에서는 해당 취약점의 내용과 대응 방안, 그리고 전문가의 분석을 통해 하이브리드 익스체인지 환경을 안전하게 운영하는 데 필요한 정보를 제공하고자 합니다.

하이브리드 익스체인지 환경이란 무엇인가?

하이브리드 익스체인지 배포는 조직이 온프레미스 익스체인지의 사용자 기능과 관리자 제어 권한을 마이크로소프트 365 환경 내에서 확장하는 방식입니다. 이는 온프레미스 환경에서 클라우드 환경으로의 완전한 이전을 위한 중간 단계로 활용될 수 있습니다. 하이브리드 방식은 온프레미스와 익스체인지 온라인 간 보안 메일 라우팅, 공유 도메인 네임스페이스 기반의 메일 전달, 일정 공유 등의 장점을 제공합니다.

취약점의 위험성과 작동 방식

이번에 문제가 된 취약점을 악용하기 위해서는 공격자가 먼저 온프레미스 익스체인지 서버에 대한 관리자 권한을 획득해야 합니다. 하지만 마이크로소프트는 일단 권한을 확보하게 되면 기업의 클라우드 환경에서 권한을 수직 확장할 수 있으며, 탐지되거나 로그에 기록되지 않고 공격을 수행할 수 있다고 경고했습니다. 이는 하이브리드 구성에서 익스체인지 서버와 익스체인지 온라인이 동일한 서비스 프린시펄을 공유하고 있기 때문에 발생하는 위험입니다.

관리자가 취해야 할 긴급 조치

하이브리드 환경을 보호하기 위해 관리자는 다음과 같은 조치를 수행해야 합니다. 첫째, 4월 18일에 발표된 핫픽스 또는 이후 버전을 온프레미스 익스체인지 서버에 설치해야 합니다. 둘째, '전용 익스체인지 하이브리드 앱 배포' 문서에 나와 있는 구성 지침을 따라야 합니다. 셋째, 서비스 프린시펄의 keyCredentials 항목을 재설정해야 합니다. 마지막으로, 마이크로소프트 익스체인지 헬스체커 도구를 실행하여 추가 조치가 필요한지 확인해야 합니다. 과거에 하이브리드 또는 OAuth 인증 구성을 완료한 상태이거나, 현재 사용하지 않는 상태라 하더라도 반드시 수행해야 합니다.

CISA의 추가 권고 사항

CISA는 지원이 종료(EOL)되었거나 서비스 종료된 익스체인지 서버 또는 셰어포인트 서버의 인터넷 연결을 차단할 것을 강력히 권고하고 있습니다. 예를 들어, 셰어포인트 서버 2013 및 이전 버전은 이미 지원이 종료되었으므로, 아직 사용 중이라면 인터넷 연결을 해제해야 합니다. 이는 노후화된 시스템을 통한 공격 경로를 차단하기 위한 중요한 조치입니다.

전문가의 분석 및 조언

샌스연구소(SANS Institute)의 연구책임자 요하네스 울리히는 "이 취약점은 하이브리드 모드로 온프레미스 익스체인지를 운영하는 조직에만 영향을 준다"라고 분석했습니다. 그는 또한 많은 조직이 온프레미스 익스체인지를 포기하고 클라우드 솔루션으로 전환하고 있다고 덧붙였습니다. 울리히는 이번 취약점이 긴급 대응 수준의 위험은 아니며, 익스체인지를 안정적으로 패치하고 구성하는 것이 중요하다고 조언했습니다. 또한, 이 과정은 반드시 충분한 테스트와 함께 신중하게 진행되어야 한다고 강조했습니다.

결론

이번 마이크로소프트 익스체인지 서버 보안 취약점은 하이브리드 환경을 운영하는 조직에게 중요한 경고 신호입니다. 제시된 대응 방안을 신속하게 실행하고, 보안 업데이트를 철저히 관리하여 잠재적인 위협으로부터 시스템을 보호해야 합니다. 더 나아가, 클라우드 환경으로의 전환을 고려하여 장기적인 보안 전략을 수립하는 것이 중요합니다.