2025년 11월 04일

온프레미스 Exchange, 생존 경고

Tech

Share

by

온프레미스 Exchange 서버, 3개국 사이버 보안 기관의 경고와 생존 전략

미국, 호주, 캐나다의 사이버 보안 기관들이 온프레미스 Exchange 서버를 운영하는 IT 부서들을 위한 보안 베스트 프랙티스를 발표했습니다. 이는 Exchange 서버 취약점을 악용한 공격이 끊이지 않고, 구버전 또는 잘못 구성된 환경이 공격의 주요 통로로 활용되고 있기 때문입니다. 특히 독일 정보보안청은 자국 내 Exchange 서버의 90% 이상이 구버전을 사용 중이라고 분석하여 심각성을 더하고 있습니다.

하이브리드 환경도 안전하지 않다

온프레미스와 Exchange Online이 혼합된 하이브리드 환경 역시 안전하지 않습니다. 마이크로소프트는 2025년 8월, 관리자 권한 상승이 가능한 고위험 취약점(CVE-2025-53786)을 공개하며 보안 권고를 발표했습니다. 이는 4월에 배포된 긴급 패치의 업데이트 버전으로, 하이브리드 환경 또한 지속적인 보안 위협에 노출되어 있음을 시사합니다. 보안 기업 포지티브 테크놀로지스는 Exchange 인증 페이지에 키로거가 삽입된 사례를 경고하며, 26개국 65개 기업이 피해를 입었다고 밝혔습니다.

잊혀지지 않는 2021년의 악몽

많은 이들이 2021년 1월 발생한 대규모 Exchange 서버 공격 사건을 기억할 것입니다. 당시 ‘하프늄(Hafnium)’이라는 공격 그룹이 제로데이 취약점 4개를 악용하여 침투, 미국 내 약 3만 개 기업, 전 세계적으로는 25만 개 이상이 피해를 입은 것으로 추정됩니다. 이 사건은 온프레미스 Exchange 서버의 보안 취약점이 얼마나 심각한 결과를 초래할 수 있는지 보여주는 대표적인 사례입니다.

온프레미스 Exchange, 왜 여전히 남아있는가?

대부분의 기업들이 클라우드 이메일로 전환하는 추세이지만, 일부 기업과 정부 기관은 예산 부족 또는 직접 관리에 대한 신뢰를 이유로 여전히 온프레미스 환경을 유지하고 있습니다. 하지만 보호되지 않거나 잘못 구성된 Exchange 서버는 지속적인 공격 위협에 노출되어 있다는 것이 전문가들의 공통된 의견입니다. 특히 지원이 종료된 구버전은 더욱 심각한 위험에 직면해 있습니다.

CISA가 제시하는 보안 모범 사례

미국 사이버보안 및 인프라보안국(CISA)은 온프레미스 Exchange 서버 보호를 위한 모범 사례로 다음 세 가지 축을 제시했습니다.

  • 사용자 인증 및 접근 제어 강화: 강력한 인증 방식을 적용하고, 불필요한 접근 권한을 제한해야 합니다.
  • 강력한 네트워크 암호화 적용: 데이터 전송 시 암호화를 통해 기밀성을 유지해야 합니다.
  • 애플리케이션 공격 표면 최소화: 불필요한 기능은 제거하고, 최신 보안 패치를 적용하여 공격 경로를 줄여야 합니다.

이러한 지침은 완전한 보안 강화 매뉴얼은 아니지만, 침해 탐지 및 모니터링, 사고 대응 계획 수립과 함께 중요한 보안 요소로 작용합니다.

늦었지만 다행, 보안 권고의 중요성

캐나다 보안업체 DigitalDefence의 로버트 베그스 대표는 이번 권고안을 "너무나 늦게 나온 문서(long overdue)"라고 평가했습니다. 그는 "Exchange 서버는 민감한 이메일과 비밀번호가 저장된 매우 매력적인 공격 표적임에도 불구하고, 테스트한 모든 설치 환경에서 중대한 설정 오류가 발견되었다"라고 지적했습니다.

CISA 권고, 핵심 보안 지침 요약

CISA는 온프레미스 Exchange 서버를 ‘항상 공격 위험에 노출된 자산’으로 간주해야 한다고 강조하며 다음과 같은 구체적인 조치를 제시합니다.

  • 최신 버전 및 누적 업데이트(CU) 유지: Exchange 서버 구독판(Subscription Edition, SE)만이 현재 유일하게 지원되는 온프레미스 버전입니다.
  • Emergency Mitigation Service 활성화: 임시 대응 조치를 자동 수신해야 합니다.
  • 보안 기준선(Security Baseline) 설정: 보안 설정 불일치나 오구성 시스템을 빠르게 식별하고 교정해야 합니다.
  • 마이크로소프트 디펜더 안티바이러스 및 윈도우 내장 보안 기능 활성화.
  • 관리 환경 접근 제한: 승인된 전용 관리 워크스테이션만이 원격 파워셸(PowerShell)을 포함한 관리 환경에 접근하도록 제한해야 합니다.
  • 인증 및 암호화 절차 강화: 신원 검증을 강화해야 합니다.
  • 확장 보호(Extended Protection, EP) 구성: 일관된 TLS 및 NTLM 설정으로 구성해야 합니다.
  • P2 FROM 헤더 기본 설정 유지: 헤더 위조나 변조를 탐지해야 합니다.
  • HTTP 엄격 전송 보안(HSTS) 적용: 모든 브라우저 연결을 HTTPS로 강제 암호화해야 합니다.

결론

온프레미스 Exchange 서버는 여전히 중요한 공격 대상입니다. 3개국 사이버 보안 기관의 권고를 숙지하고, 제시된 보안 모범 사례를 적극적으로 적용하여 Exchange 서버를 안전하게 보호해야 합니다. 주기적인 보안 점검과 지속적인 업데이트는 필수입니다.

이것도 좋아하실 수 있습니다...