2025년 11월 01일

Exchange 서버 보안 강화 권고

Tech

Share

by

중요! Microsoft Exchange Server 보안 강화: 미국, 호주, 캐나다 사이버 기관 권고 사항 집중 분석

미국을 비롯한 호주, 캐나다 3개국의 사이버 보안 기관들이 Microsoft Exchange Server 보호를 위한 보안 강화 권고 사항을 발표했습니다. 이는 여전히 많은 IT 부서에서 사용 중인 Exchange Server의 취약점을 노린 공격이 끊이지 않고 있기 때문입니다. 이번 권고는 시기적절하며, 노후화되거나 잘못 구성된 Exchange Server에 대한 보안 강화의 중요성을 강조합니다.

Exchange Server, 여전히 위협에 노출

독일 정보보안청에 따르면 독일 내 Exchange Server의 90%가 여전히 구버전을 사용하고 있습니다. 심지어 하이브리드 Exchange 환경조차 안전하지 않습니다. Microsoft는 2025년 8월, 온프레미스와 Exchange Online 혼합 환경에서 관리자 권한을 탈취할 수 있는 심각한 취약점(CVE-2025-53786)에 대한 지침을 발표했습니다. 또한, Positive Technologies 연구진은 Exchange 인증 페이지에 키로거가 삽입된 것을 발견하기도 했습니다. 2021년 1월에는 Hafnium 그룹이 4개의 제로데이 취약점을 악용하여 Exchange Server를 공격, 미국에서만 약 3만 명의 고객이 영향을 받았었습니다.

온프레미스 Exchange 유지 이유와 위험성

많은 기업들이 클라우드 기반 이메일 서비스로 전환하고 있지만, 일부 기업 및 정부 부서는 여전히 온프레미스 Exchange Server를 고수하고 있습니다. 레거시 인프라에서 벗어날 예산이 부족하거나, 직접적인 제어가 더 나은 보안을 제공한다고 믿기 때문입니다. 하지만 미국 사이버보안 인프라 보안국(CISA)은 보호되지 않거나 잘못 구성된 Exchange Server는 공격에 취약하며, 수명이 다한 버전까지 표적이 되고 있다고 경고합니다.

주요 보안 강화 권고 사항

CISA는 사용자 인증 및 접근 강화, 강력한 네트워크 암호화, 애플리케이션 공격 표면 최소화에 집중할 것을 권고합니다. 이러한 사항을 잘 구현하면 사이버 위협으로부터의 위험을 크게 줄일 수 있습니다. 하지만 CISA는 이 문서가 완전한 보안 강화 가이드가 아니며, 잠재적인 사고에 대한 대비 및 복구 계획 또한 중요하다고 강조합니다.

전문가의 의견

캐나다 사고 대응 회사 DigitalDefence의 책임자 Robert Beggs는 이번 권고가 "너무 늦었다"고 평가했습니다. 그는 Exchange Server가 민감한 기업 및 개인 정보, 심지어 비밀번호까지 저장하고 있어 "매우 탐나는 표적"임에도 불구하고, 테스트한 모든 Exchange Server 구현에서 "심각한 잘못된 구성"을 발견했다고 밝혔습니다. 종종 Exchange Server는 인프라 보안 제어 및 모니터링/로깅, 엔드포인트 보안 솔루션, 심지어 안티바이러스 소프트웨어조차 부족하다고 지적했습니다.

구체적인 보안 강화 방법

이번 권고는 관리자들에게 온프레미스 Exchange Server를 "임박한 위협 하에" 있는 것으로 간주하고, 다음과 같은 주요 실천 방안을 제시합니다.
첫째, 최신 버전 및 누적 업데이트(CU)를 적용하는 것이 가장 효과적인 방어입니다. Microsoft Exchange Server Subscription Edition(SE)만이 지원되는 온프레미스 버전이며, 이전 버전에 대한 지원은 2025년 10월 14일에 종료되었습니다. Microsoft의 긴급 완화 서비스(Emergency Mitigation Service)를 활성화하여 임시 완화 조치를 제공받아야 합니다. Exchange Server, 메일 클라이언트 및 Windows에 대한 보안 기준을 설정하고 유지해야 합니다. 또한, 타사 보안 소프트웨어를 사용하지 않는 경우 Microsoft Defender Antivirus 및 기타 Windows 기능을 활성화해야 합니다. Windows용 애플리케이션 제어(App Control for Business 및 AppLocker)는 실행 가능한 콘텐츠의 실행을 제어하여 Exchange Server의 보안을 강화하는 중요한 보안 기능입니다.

보안 설정 및 검토의 중요성

권한 있는 관리자만 원격 PowerShell을 포함하여 Exchange 관리 환경에 액세스할 수 있도록 해야 합니다. ID 확인을 위한 인증 및 암호화를 강화해야 합니다. 일관된 TLS 설정 및 NTLM 구성으로 확장된 보호(EP)를 구성해야 합니다. 헤더 조작 및 스푸핑을 감지하기 위해 P2 FROM 헤더의 기본 설정을 활성화해야 합니다. 모든 브라우저 연결이 HTTPS로 암호화되도록 HTTP Strict Transport Security(HSTS)를 활성화해야 합니다.

보안 구성, 지속적인 관리의 중요성

Beggs는 많은 조직이 설치 시점에서 특정 조직에 최적화된 보안 구성을 선택하는 데 어려움을 겪을 수 있다고 인정했습니다. 특히 Exchange Server가 클라우드에서 호스팅되고 제3자가 구성 및 유지 관리하는 공유 서비스 모델에서 구현되는 경우 보안 구성에 대한 책임이 불분명해져 더욱 복잡해집니다. 또한, 그는 벤더의 패치 및 업그레이드를 적용하면 일부 보안 구성 정보가 재설정되거나 변경될 수 있다는 점을 강조하며, 관리자들은 보안 기준을 적용했는지 확인하고, 구성 설정을 분기별로 검토해야 한다고 강조했습니다.

결론

Exchange Server는 네트워크 상의 다른 서버와 마찬가지로 동일한 위험에 노출되어 있으며, 동일한 보안 요구 사항을 가지고 있다는 점을 잊지 않아야 합니다. 보안은 모든 데이터에 일관되게 적용되어야 하며, 특히 메일 서버에 존재하는 데이터의 중요성을 고려해야 합니다. 보안 강화를 통해 중요한 정보 자산을 안전하게 보호하고, 끊임없이 진화하는 사이버 위협에 효과적으로 대응할 수 있도록 지속적인 관심과 노력이 필요합니다.

이것도 좋아하실 수 있습니다...