Security

MS와 CISA, 새로운 익스체인지 서버 취약점 관련 경고 발표

JustAnotherEditor

09 Aug 2025 — 10 min read

💡

Editor's Pick
- 공격자들이 항상 좋아하는 단골 공격 표적, 익스체인지 서버
- 온프레미스 공략하면 클라우드 서버로도 진입 가능
- 관리자 권한 먼저 취득해야 공격 가능...하지만 공격자들에겐 별 거 아냐

마이크로소프트(MS)와 미국 사이버 보안 전담 기관인 CISA가 온프레미스 익스체인지 서버와 관련된 새로운 보안 경고문을 발표했다. 아직까지 실제 익스플로잇 사례는 발견되지 않았지만, 해커들 사이에서 인기가 높은 익스체인지 서버에 있는 권한 상승 취약점이기 때문에 시급한 패치가 요구된다고 한다.

문제의 취약점은 CVE-2025-53786으로, 온프레미스 익스체인지 서버 여러 버전에 영향을 미치는 것으로 분석됐다. 온프레미스 서버에 있는 취약점이긴 하지만 인터넷에 ‘전체 공개’ 옵션으로 연결돼 있는 경우가 적지 않기 때문에 사용자 측에서 주의가 요구된다. 특히 지원이 종료된 버전들의 경우, 인터넷으로부터 분리해낼 것이 권장되고 있다. CISA는 이 대목에서 셰어포인트 서버 2013과 그 이전 버전들 모두 사용을 중단해야 한다고 밝히기도 했다.

취약점 익스플로잇 공격에 성공하면 어떤 일이 있을 수 있을까? CISA는 “기업/기관 익스체인지 온라인 서비스의 ID들까지도 침해될 수 있다”고 경고했다. 크리스 부테라(Chris Butera) CISA 부국장은 경고문을 통해 “취약점의 심각도가 높은 편”이라며 “MS의 관련 지침을 반드시 적용해야 할 것”이라고 말했다. 여기서 ‘MS의 지침’이란, 보안 패치를 의미한다. MS는 이미 지난 4월 정기 패치를 통해 핫픽스를 발표한 바 있다.

이 취약점은 네덜란드 보안 업체 아웃사이더시큐리티(Outsider Security)가 제일 먼저 발견해 제보한 것으로 알려져 있다. 이 제보에 따르면 “익스플로잇에 성공하려면 온프레미스 서버에서 권한을 먼저 확보해야 한다”고 한다. 즉 CVE-2025-53786이라는 취약점을 악용하려면 ‘선결 과제’를 마쳐야 한다는 것이다. 이는 실제 해킹 공격을 실행할 때의 난이도를 높일 수 있는 요소이지만, 공격자들에게 대단히 어려운 것은 또 아니다. 관리자 계정을 훔치는 방법은 여러 가지 존재한다.

공격자들 사이에 인기 높은 익스체인지
익스체인지 서버는 기업 환경에서 매우 높은 사용률을 보이는 솔루션이며, 그렇기 때문에 공격자들의 집중적인 관심을 받는 편이다. 특히 2020년 12월부터 2021년 3월 사이에 발생한 프록시로그온(ProxyLogon) 사태가 유명하다. 익스체인지 서버에서 무려 4개의 초고위험도 제로데이 취약점이 익스플로잇 된 것으로, 전 세계 25만 대 이상의 서버가 실제 공격에 노출됐었다. 배후에는 하프늄(Hafnium)이라는 단체가 있었다. 이 4개의 취약점을 통틀어 프록시로그온이라고 부르며, CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065이다. 공격자들은 이를 통해 이메일을 훔치는 것은 물론 백도어와 웹셸을 심기도 했었다.

2022년 후반에는 프록시낫셸(ProxyNotShell) 사태가 발생했다. 온프레미스 익스체인지 서버에서 두 개의 취약점이 발견된 것으로 하나는 ‘서버 측 요청 조작 취약점(SSRF)’인 CVE-2022-41040이고, 다른 하나는 ‘원격 코드 실행 취약점(RCE)’인 CVE-2022-41082였다. 이 취약점을 통해 세계 여러 국가의 선거 시스템이 침해를 당했었다. 차이나초퍼(China Chopper)라는 백도어가 심기기도 했다.

가장 최근에는 익스체인지 서버의 로그인 페이지에 자바스크립트 기반 키로거를 심는 캠페인이 발견되기도 했다. 이 캠페인은 이미 2021년부터 시작된 것으로 추정된 것으로, 공격이 4년이나 지속된 시점에 적발된 것이다. 이미 26개국에서 피해가 발견되고 있다. 공격자들은 주로 MS 익스체인지 크리덴셜을 노리는 것으로 분석됐다. 이 정보는 텔레그램 채널로 전송됐다고 한다. 아직 중단되지 않은, 진행 중인 캠페인이다.

권한을 상승시켜야 하는 전제 조건
이번에 문제가 된 CVE-2025-53786 취약점의 경우 ‘공격을 위해서는 권한을 먼저 취득해야 한다’는 전제 조건이 있다 했다. 그리고 공격을 통해 얻어내는 것 역시 ‘권한 상승’이라고 CISA는 경고했다. 권한이 있어야만 공격이 가능한데, 공격을 통해 얻어내는 것도 권한이라면 어딘가 이상하게 들린다. 이에 대해 설명을 추가하고자 한다.

취약점이 발견된 건 ‘온프레미스 서버’다. 즉 사용자 기업이나 기관 내에서 운영하는 서버에서만 문제가 된다는 뜻이다. 하지만 요즘 세상에서 오프라인용 서버가 엄격하게 오프라인에서만 사용되지는 않는다. 온프레미스 익스체인지 서버의 경우도 클라우드 기반 익스체인지 서버와 연계가 가능하다. CVE-2025-53786 취약점의 근간은 이 연계 가능성에 있다.

풀어쓰자면 문제는 이것이다. “온프레미스 익스체인지 서버의 CVE-2025-53786 취약점을 공략하려면 미리 관리자 권한을 가지고 있어야 한다. 그 전제 조건을 성립시켜 공격에 성공할 경우 온프레미스 익스체인지 서버만이 아니라 클라우드 기반 서버로까지 진입이 가능하다.” 즉 전제 조건이 되는 ‘권한’은 온프레미스에 관한 것이고, 공격 성공으로 얻게 되는 ‘권한’은 클라우드에 관한 것이라고 보면 된다.

온프레미스에서의 높은 권한은 어떻게 얻어내는가? 아직 MS나 CISA가 공개한 바는 없지만 기본적으로 공격자들이 권한을 취득하는 방법에는 여러 가지가 있다. 더 오래된 취약점을 익스플로잇 하거나, 피싱 공격으로 관리자 계정을 탈취하는 것 등이다. 설정 오류를 노리고 들어가는 방법도 있다. 이 모든 것들이 공격자 수준에서 그리 난이도 높은 작업이라고 보기는 힘들다. 그럼에도 직접 수행하기 힘들다면 다크웹에서 크리덴셜이나 탈취 계정을 구매할 수도 있다. 다크웹이 상업화 되어 간다는 건, 이런 측면(즉 공격 난이도를 전반적으로 하향평준화 시킨다는 점)에서 위험한 일이다.