한 때는 보안과 프라이버시, 신뢰를 우려한 이들은 자체 이메일 서버를 실행했다. 이제 개인 메일 대부분 클라우드로 호스트하면서 구글, 마이크로소프트 등 대기업의 복잡한 보안과 엔지니어링 인력의 기본적인 부담을 대신 처리한다. 이제 다수 사이버 보안 전문가가 기업과 정부 네트워크의 보안 관리 방식을 또 다시 바꾸어야 한다고 말한다. 혹은 이미 오래전에 변경했어야 한다고 말한다. 온프레미스(on-premise) 마이크로소프트 익스체인지를 사용해, 작은 비공개 공간이나 데이터센터에서 이메일 장치를 운영하는 기업이라면, 이제 클라우드 서비스로 변경해야 할 때이다. 해커 세력의 접근을 확실히 막지 못한 익스체인지 서버에 다년간 문제를 일으킨 버그를 피하려면, 클라우드 서비스로 변경해야 할 것이다.
가장 최근 마이크로소프트 익스체인지 서버의 문제를 재차 상기시킨 사례로 2022년 10월, 대만 보안 연구원 오렌지 차이(Orange Tsai)가 공개한 마이크로소프트 익스체인지의 보안 취약점을 상세히 기술한 블로그 게시글 공개이다. 차이 연구원은 마이크로소프트에 자신이 발견한 보안 취약점은 2021년 6월부터 존재했으며, 마이크로소프트는 문제 일부를 수정했으나 자신이 강조한 보안 문제를 모두 해결하는 데 14개월이 걸렸다고 밝혔다. 차이는 앞서 블로그로 설명한 부분과 관련된 익스체인지 취약점을 보고했다. 해당 취약점은 2021년, 3만여 명에게 피해를 준 중국 정부 산하 해커 세력 하프늄(Hafnium)이 대규모 공격에 악용한 취약점이다. 그러나 차이 연구원이 최근, 블로그 게시글로 공개한 문제 발생 시점을 보면, 마이크로소프트는 같은 취약점에서 파생하여 변이된 문제 수정을 지연했다. 그러나 마이크로소프트는 문제 해결을 미루면서 차이 연구원에게는 최소 4차례 수개월 동안 완벽한 패치 작업을 마치기 전, 버그 패치 작업을 진행할 것이라고 전했다. 마이크로소프트가 버그 수정 사항을 배포한 시점에도 4개월 이상 수동 활성화가 필요했으며, 문제를 설명한 문서는 공개되지 않았다.
반면, 익스체인지의 취약점을 대규모 공격에 악용한 또 다른 사례는 2022년 9월 발견됐으나 여전히 패치 작업이 진행되지 않았다. 다수 연구원이 마이크로소프트의 초기 결함 수정 시도 실패 사실을 입증하면서 알려진 취약점이다. 익스체인지 코드의 다년간 이어진 보안 버그의 가장 최근 발생한 취약점이었다. 마이크로소프트가 익스체인지 패치를 배포했을 때도 취약점 수정 사항은 널리 적용되지 않았다. 설치 과정의 기술적 과정 소요 시간이 너무 긴 탓이었다.
여러 문제가 더해진 결과, 해커 세력이 일으킨 익스체인지 서버 실행 문제가 추가된 것을 지켜본 다수 전문가가 다음과 같은 결론을 내렸다. “익스체인지 서버 자체가 보안 취약점이므로 삭제해야 한다.”
보안 기업 트렌드 마이크로(Trend Micro)의 제로 데이 이니셔티브(Zero Day Initiative, 이하 ZDI) 위협 인지 사장 더스틴 차일드(Dustin Childs)는 “온프레미스 익스체인지 서버를 영구적으로 삭제해야 한다. 마이크로소프트 익스체인지 서버를 사용할 때, 사용 중인 인프라의 중요한 구성 요소로 기대할 수 있는 보안 지원을 전혀 받을 수 없다”라고 경고했다. 트렌드 마이크로의 ZDI는 사용 범위가 넓은 범용 소프트웨어의 취약점을 발견한 뒤 보고한 연구원에게 금전적 보상을 지급하며, Pwn2Own 해킹 대회 주최사이다.
차일드 사장은 오렌지 차이 연구원이 발견한 여러 취약점과 9월 발견된 널리 악용되지만 패치 작업이 되지 않은 버그 두 가지 이외에도 ZDI에 보고된 익스체인지 보안 결함이 20가지 더 존재한다고 밝혔다. ZDI는 2주 전, 해당 보안 결함을 마이크로소프트에 보고했으나 아직 패치 배포가 이루어지지 않았다. 차일드 사장은 “지금 당장 익스체인지 서버는 매우 광범위한 영역에서 공격 위험성에 노출됐다. 게다가 마이크로소프트는 지난 몇 년간 보안 측면에서 실질적으로 포괄적인 작업을 하지 않았다”라고 지적했다.
차일드 연구원은 ZDI가 발견한 또 다른 익스체인지 취약점 두 가지를 언급했다. 각각 2018년과 2020년에 발견한 취약점으로, 마이크로소프트에 버그를 보고하여 패치 배포가 완료된 후에도 해커 세력이 사이버 공격에 널리 동원한 사례가 발견됐다. 보안 팟캐스트 리스키 비즈니스(Risky Business)는 ‘익스체인지호그 데이(It’s Exchangehog Day)’라는 에피소드에서 지겨울 정도로 오래 이어지는 취약점 발견 반복과 기본적인 서버 패치 작업의 필요성을 언급했다.
[사진=Unsplash]
와이어드가 익스체인지 보안 문제에 대한 의견을 요청하자 안찰 굽타(Aanchal Gupta) 마이크로소프트 보안 대응센터(MSRC) 기업 부사장은 마이크로소프트가 완화와 패치 작업, 온프레미스 익스체인지 서버 강화 작업 조치를 담은 완벽한 목록을 보여주었다. 굽타 부사장은 차이 연구원이 발견한 보안 취약점에 신속 대응해, 취약점 일부를 차단했으며, 2022년 8월 자로 보안 취약점 6가지 모두 다룬 완벽한 업데이트사항을 배포했다고 밝혔다. 이어, 마이크로소프트 보안 대응센터가 시급한 상황에서도 열심히 작업해, 사용자가 하프늄 해킹 공격 사태 도중 익스체인지 서버를 업데이트하도록 도왔다고 덧붙였다. 또, 굽타 부사장은 2021년, 익스체인지 서버 보안 업데이트를 여러 차례 배포하고, 익스체인지 긴급 완화(Exchange Emergency Mitigation) 서비스로 사용자가 완벽한 패치 설치 전에도 이미 알려진 공격을 차단할 보안 완화를 자동 적용하도록 도왔다고 강조했다.
굽타 부사장은 지금도 대다수 고객이 온프레미스 익스체인지 서버에서 마이크로소프트 클라우드 기반 이메일 서비스인 익스체인지 온라인(Exchange Online)으로 변경해야 한다고 생각한다. 굽타 부사장은 와이어드에 보낸 이메일을 통해 “사용자에게 클라우드로 이관해, 실시간 보안과 신속 업데이트 등 장점을 최대한 활용하여 가장 최근의 위협에서 안전하게 보호할 상태를 유지하는 것을 권고한다. 마이크로소프트는 온프레미스 서비스 고객이 지원 수준이 강화된 최신 버전으로 서비스를 변경하도록 꾸준히 지원한다. 마이크로소프트는 시스템 최신 버전으로 업데이트할 수 없는 사용자에게 클라우드 이관을 강력히 권고한다”라고 전했다.
차일드 부사장은 이메일 관리자가 익스체인지의 완벽한 패치 작업 완료 상태를 유지하는 데 어려움이 있다면, 실제 익스체인지 업데이트 설치의 복잡함이 주된 원인이라고 말했다. 코드가 오래되었다는 문제점과 소프트웨어의 상호의존 메커니즘을 변경한 기능 저하 위험성 때문이다. 일례로, 케빈 뷰몬트(Kevin Beaumont) 보안 연구원은 익스체인지 서버 업데이트 경험을 실시간 트윗으로 전달하면서 무수히 많은 버그와 충돌, 서버 업데이트 과정의 장벽을 상술했다. 마이크로소프트 익스체인지 서버는 불과 몇 달 전 업데이트되었는데도 업데이트 과정에서 문제가 발행했다. 차일드 부사자은 “어렵고 많은 노력이 필요한 과정이다. 따라서 익스체인지 서버의 취약점을 악용한 공격이 기승을 부릴 때도 많은 사용자가 온프레미스 익스체인지 패치 작업을 진행하지 않는다. 따라서 영원히 수정해야 할 패치 작업이 진행된 버그와 아직 수정되지 않고 패치 작업도 진행되지 않은 버그가 있다”라고 말했다.
온프레미스 익스체인지 보안 서버에서 갈수록 더 심각해지는 또 다른 문제로 소프트웨어 자체에서 발견한 취약점 대부분 악용하기 쉽다는 점을 언급할 수 있다. 사이버 보안 기업 크립토스 로직(Kryptos Logic) 애널리스트 마르쿠스 허친스(Marcus Hutchins)가 설명한 바와 같이 익스체인지 버그는 마이크로소프트 원격 데스크톱 프로토콜(Remote Desktop Protocol)과 같은 다른 서비스만큼 이전보다 보편적이지 않다. 하지만 익스체인지 서버 버그는 해커 세력이 훨씬 더 안정적으로 악용하기 좋기 때문이다. 온라인 개입을 통해 웹 서버로 명령어를 전달하는 일이 이른바 메모리 변형 취약점과 같은 방식보다는 해킹 공격 성공 위험성이 높다. 메모리 변형 취약점은 피해자 기기에서 하위 수준에 있어, 예측 가능한 요소가 적은 곳의 데이터를 변경한다. 허친스 연구원은 “기본적으로 해커 세력이 공격에 동원하고자 하는 욕구를 자극하기 좋은 웹 악용사항이다. 문제를 일으키려 서버 장애를 일으키는 것과는 다르다. 매우 안정적이면서 간단하다”라고 말했다.
취약점 악용 가능성은 마이크로소프트가 클라우드 기반 이메일 서비스를 선호하면서 온프레미스 익스체인지의 보안을 유지하는 데 갈수록 집중하지 않는다는 사실을 시사한다. 뷰몬트 연구원은 2022년 10월, 마이크로소프트가 고객에게 익스체인지의 ‘레거시’ 인증을 비활성화할 것을 권고하면서 현재 인증에 채택할 수 있는 대안 서비스가 없다는 사실을 인지하지는 못한 점에 주목했다. (레거시 서비스는 오래돼, 종종 지원되지 않는 기능을 지칭하는 업계 용어이다.)
미국 국가안전보장국(NSA) 해커 출신이자 사이버 보안 시스(Scythe) 위협 정보 국자인 제이크 윌리엄츠(Jake Williams)는 “마이크로소프트의 클라우드 서비스 전환 권고는 온프레미스 익스체인지 서버 전체를 사실상 레거시 제품으로 생각한다는 사실을 강력하게 시사한다”라고 진단했다. 윌리엄스 국장은 마이크로소프트가 고객의 클라우드 기반 서비스 전환을 바란다는 점이 분명한 사실이므로 보안 자원도 그에 따라 전환한 듯하다고 전했다. 이어, “온프레미스 익스체인지 팀의 현재 작업 노력 상황은 몇 년 전 상황과 다르며, 이전과 보안 관리 대응 수준도 크게 다르지 않다는 점이 분명하다. 명백하게 드러난 사실이다”라고 말했다.
윌리엄스 국장은 일부 사용자가 법적 문제나 프라이버시 문제 때문에 이메일을 클라우드 서비스 대신 기기에서 직접 관리하는 방식으로 전환하는 것을 선호할 수 있다는 부분을 인정했다. 그러나 보안 관리 작업의 익스체인지 서버 의존도가 매우 높았던 기업은 문제를 피하는 것보다 자체적으로 더 많은 문제 발생을 유도할 수 있다고 추측해야 할 것이다. 윌리엄스 국장은 “마이크로소프트 서비스를 사용하는 고객을 만나면, ‘관리 문제 때문에 온프레미스 서비스를 원한다는 점을 이해한다. 하지만 법적 책임 문제로 평가해야 한다. 또, 마이크로소프트는 취약점 패치 작업 노력과 자원을 지원하지 않는다’라고 조언한다”라고 전했다.
윌리엄스 국장은 “직접 경험한 바를 바탕으로 가치를 판단해야 한다. 코드 베이스는 절실히 필요한 사실이 분명하게 필요한 요소를 선호하지 않는다”라고 덧붙였다. 마이크로소프트가 익스체인지 서버 보안을 위해 필요한 요소를 필요로 하지 않는다면, 익스체인지 서버는 사용자가 선호하는 서비스라는 평가를 받을 자격이 없다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202210/4291_5692_1133.jpg)
뉴스레터 신청