마이크로소프트와 미국 사이버보안 및 인프라 보안국(CISA)이 하이브리드 익스체인지 서버 환경을 운영 중인 관리자에게 고위험 보안 취약점을 신속히 차단할 것을 촉구했다. 대응이 지연될 경우, 공격자가 시스템을 탈취할 수 있다는 경고다.

하이브리드 익스체인지 배포는 조직이 온프레미스 익스체인지의 사용자 기능과 관리자 제어 권한을 마이크로소프트 365 환경 내에서 확장하는 방식이다. 마이크로소프트는 이 방식이 익스체인지 온라인 조직으로 완전 이전하기 전의 중간 단계로 활용될 수 있다고 설명했다.

하이브리드 방식의 장점으로는, 온프레미스와 익스체인지 온라인 간 보안 메일 라우팅, 공유 도메인 네임스페이스(예 : @contoso.com) 기반의 메일 전달, 일정 공유 등이 있다.

이번 취약점을 악용하려면, 공격자가 먼저 온프레미스 익스체인지 서버에 대한 관리자 권한을 획득해야 한다. 그러나 마이크로소프트는 보안 공지를 통해 일단 권한을 확보하면, 기업의 클라우드 환경에서 권한을 수직 확장할 수 있으며, 탐지되거나 로그에 기록되지 않고 공격을 수행할 수 있다고 경고했다.

공식 문서에서는 “하이브리드 구성에서는 익스체인지 서버와 익스체인지 온라인이 동일한 서비스 프린시펄을 공유하고 있기 때문에 이러한 위험이 발생한다”라고 설명했다. 서비스 프린시펄은 응용 프로그램의 리소스 접근 권한을 제어하는 데 사용되는 식별자다.

이러한 하이브리드 환경을 보호하기 위해 관리자가 수행해야 할 조치는 다음과 같다:

• 아직 적용하지 않았다면, 4월 18일 발표된 핫픽스 또는 이후 버전을 온프레미스 익스체인지 서버에 설치하고, ‘전용 익스체인지 하이브리드 앱 배포’ 문서에 나와 있는 구성 지침을 따라야 한다. 추가 세부 내용은 ‘하이브리드 배포를 위한 익스체인지 서버 보안 변경사항’ 문서를 참조하면 된다.
• 그런 다음, 서비스 프린시펄의 keyCredentials 항목을 재설정해야 한다. 이는 과거에 하이브리드 또는 OAuth 인증 구성을 완료한 상태이거나, 현재 사용하지 않는 상태라 하더라도 반드시 수행해야 한다.
• 마지막으로, 마이크로소프트 익스체인지 헬스체커 도구를 실행해 추가 조치가 필요한지를 확인해야 한다.

CISA 또한, 지원이 종료(EOL)되었거나 서비스 종료된 익스체인지 서버 또는 셰어포인트 서버의 인터넷 연결을 차단할 것을 강력히 권고하고 있다. 예를 들어, 셰어포인트 서버 2013 및 이전 버전은 이미 지원이 종료됐으므로, 아직 사용 중이라면 인터넷 연결을 해제해야 한다는 것이다.

샌스연구소(SANS Institute)의 연구책임자 요하네스 울리히는 “이 취약점은 하이브리드 모드로 온프레미스 익스체인지를 운영하는 조직에만 영향을 준다”라고 분석했다. 울리히는 “지속된 취약점과 마이크로소프트의 지속적 권고로 인해, 많은 조직이 온프레미스 익스체인지를 포기하고 클라우드 솔루션으로 전환하고 있다”며, “온프레미스를 여전히 운영하는 조직은 점점 줄어들고 있다”라고 덧붙였다.

울리히는 또, “공격자가 이 취약점을 이용하려면 온프레미스 익스체인지 서버의 관리자 권한을 먼저 획득해야 한다”라면서 “공격자가 관리자 권한을 가진 시점부터 이미 위험은 존재하는 것이며, 이번 취약점이 그 위험을 크게 증폭시키는 것은 아니다”라고 분석했다. “이 취약점은 공격자가 조직의 클라우드 환경으로 더 쉽게 침투하도록 돕는 도구일 수는 있지만, 인내심 있는 공격자는 익스체인지 트래픽을 관찰하는 것만으로도 필요한 정보를 얻을 수 있다”라고 덧붙였다.

울리히는 최종적으로 “익스체인지 온프레미스는 점점 유지가 어려운 제품이 되었으며, 마이크로소프트의 클라우드 솔루션이 충분한 대안이 될 수 있다. 이번 취약점은 긴급 대응 수준의 위험은 아니며, 익스체인지를 안정적으로 패치하고 구성하는 것이 중요하며, 이 과정은 반드시 충분한 테스트와 함께 신중하게 진행되어야 한다”라고 조언했다.

이번 취약점(CVE-2025-53786)은 마이크로소프트가 4월 18일 발표한 하이브리드 배포 환경 보안 변경사항과, 이에 수반된 비보안 핫픽스에서 비롯됐다. 해당 조치는 하이브리드 익스체인지 배포의 보안을 강화하기 위한 목적이었다.

마이크로소프트는 추가 조사를 통해 4월 발표 당시 지침 및 구성 단계와 연계된 특정 보안 영향을 식별했으며, 네덜란드 보안 연구 기관 아웃사이더 시큐리티의 대표 디르크 얀 몰레마의 기여에 감사를 표했다고 밝혔다.

한편, 마이크로소프트는 이번 달부터 익스체인지 온라인에서 공유 서비스 프린시펄을 사용하는 익스체인지 웹 서비스(EWS) 트래픽을 일시적으로 차단하기 시작할 예정이다. 이 공유 프린시펄은 일부 하이브리드 구성 시 기본으로 사용되는 것으로, 마이크로소프트는 전용 하이브리드 앱으로의 전환을 가속화하기 위한 단계적 전략의 일환이라고 설명했다.
dl-itworldkorea@foundryco.com