받은 편지함에서 시작된 Exchange 제로데이 CVE-2026-42897, OWA 세션을 노린다

Microsoft Exchange Server에서 다시 긴급 대응이 필요한 제로데이 취약점이 발견되었다. CVE-2026-42897 취약점은 On-Premises Microsoft Exchange Server의 Outlook Web Access, 즉 OWA에 영향을 준다. 캐나다 사이버보안센터는 Microsoft가 2026년 5월 14일 해당 취약점을 공개했으며, Exchange Server 2016, Exchange Server 2019, Exchange Server Subscription Edition의 On-Premises 버전이 영향 대상이라고 안내했다. 또한 Microsoft가 제한적 악용을 인지하고 있으며, CISA가 2026년 5월 15일 이 취약점을 Known Exploited Vulnerabilities 목록에 추가했다고 밝혔다.

CVE-2026-42897을 단순히 “Exchange Server를 원격에서 장악하는 취약점”으로만 인식하면 실제 위협의 구조를 놓칠 수 있다. 공개된 설명에 따르면 공격자는 특수하게 조작된 이메일을 사용자에게 보내고, 사용자가 OWA에서 해당 이메일을 열어 특정 상호작용 조건이 충족될 때 브라우저 컨텍스트 안에서 임의의 JavaScript 실행을 유도할 수 있다. 즉 취약점을 활용하는 공격자의 무대는 서버의 명령 실행 환경이라기보다, 사용자가 이미 로그인해 있는 웹메일 화면이다.

이 차이는 중요하다. 과거 Exchange Server 취약점은 ProxyLogon이나 ProxyShell처럼 서버 측 침투, 웹셸 설치, 내부망 이동이라는 이미지로 남아 있다. 그러나 CVE-2026-42897은 조금 다른 위험을 만든다. 공격자는 외부에서 방화벽을 뚫고 들어오지 않고 받은 편지함 안으로 들어온다. 사용자는 평소처럼 OWA에 접속하고, 메일을 열고, 본문을 확인한다. 바로 이 정상적인 행위가 공격 조건이다. 메일 시스템이 기업 커뮤니케이션의 중심이라는 점을 고려하면, 이는 단순한 웹 보안 결함으로 끝나지 않는다.

특히 이번 취약점에서 놓치지 말아야 할 부분은 메일 본문 조회 자체가 기업에게 매우 큰 위협이 될 수 있다는 점이다. 많은 조직은 메일을 단순한 메시지 전달 수단으로 생각하지만, 실제 기업의 메일함은 계약서 초안, 견적서, 법무 검토 의견, 인사 평가, 고객 정보, 장애 대응 내역, 보안 사고 보고, 회의록, 인증 코드, 내부 의사결정 과정이 뒤섞여 있는 저장소에 가깝다. 공격자가 사용자의 OWA 세션 안에서 메일을 읽거나 화면상의 정보를 접근할 수 있다면, 서버 전체를 장악하지 않아도 기업의 민감한 맥락을 훔칠 수 있다.

따라서 CVE-2026-42897의 위험은 세션 탈취나 스크립트 실행이라는 기술적 표현은 표면적이며 취약점을 활용한 공격 실행이 갖는 의미를 설명하기에 부족하다. 보다 본질적인 위험은 신뢰받는 사용자의 메일 화면을 통해 조직 내부의 정보 흐름이 노출될 수 있다는 것이다. 공격자가 특정 임원의 메일 본문을 읽을 수 있다면 인수합병, 투자, 법적 분쟁, 제품 출시, 보안 사고 대응 같은 민감한 정보를 조기에 파악할 수 있다. 영업 담당자의 메일을 읽을 수 있다면 고객 목록과 견적 조건을 확보할 수 있다. 보안 담당자의 메일을 읽을 수 있다면 조직의 방어 수준과 미조치 취약점을 추정할 수 있다.

이 구조는 내부 피싱으로도 이어질 수 있다. 공격자가 메일 본문을 읽을 수 있으면 단순히 주소록을 훔치는 것보다 훨씬 정교한 사칭이 가능해진다. “최근 논의한 계약서”, “지난주 장애 대응 건”, “방금 회의에서 나온 자료”처럼 실제 맥락을 반영한 메일은 일반적인 피싱보다 높은 신뢰를 얻는다. 사용자는 낯선 사람이 보낸 메일보다, 실제 업무 맥락을 알고 있는 내부자의 메일을 더욱 신뢰하기 때문이다. 결국 메일 본문 조회는 정보 유출이면서 동시에 다음 공격을 위한 정찰 행위가 된다.

이번 취약점의 영향 대상은 모든 Exchange 사용자가 아니다. 현재 공개 자료 기준으로 Exchange Online은 영향 대상에서 제외되며, 위험의 중심은 On-Premises Exchange Server와 OWA다. 그러나 이 구분을 단순하게 받아들여서는 안 된다. 많은 조직은 Microsoft 365를 일부 도입했더라도 하이브리드 구성을 유지하거나, 특정 부서와 레거시 업무를 위해 On-Premises Exchange Server를 남겨둔다. 결국 외부에 노출된 OWA 주소, 리버스 프록시, 레거시 메일박스, 관리 목적의 Exchange Server가 남아 있다면 별도의 점검이 필요하다.

공개 직후 Microsoft는 Exchange Emergency Mitigation Service, 즉 EEMS를 통해 긴급 완화 조치를 제공했다. Microsoft 문서에 따르면 EEMS는 Exchange Server에 대한 알려진 위협을 완화하기 위해 Microsoft의 Office Config Service에서 완화 조치를 내려받고 적용하는 서비스다. 이 서비스는 정식 업데이트 전까지 공격 경로를 줄이기 위한 임시 방어선이다.

Microsoft의 Exchange Emergency Mitigation Service 설명은 중요한 운영상의 전제를 담고 있다. EEMS가 동작하려면 Exchange 서버가 Microsoft의 Office Config Service에 접근할 수 있어야 하며, 네트워크 연결과 인증서 검증 경로가 막혀 있지 않아야 한다. 즉 “EEMS가 기본적으로 활성화되어 있다”는 사실만으로 충분하지 않다. 프록시, SSL 검사 장비, 폐쇄망 구성, 방화벽 정책, 오래된 Exchange Server 업데이트 수준은 자동 완화 조치 적용을 방해할 수 있다.

그러므로 이번 취약점 대응에서 가장 위험한 착각은 “자동 완화 기능이 있으니 보호되고 있을 것”이라는 판단이다. 실제 운영 환경에서는 일부 서버만 완화 조치를 받거나, 관리자가 과거 운영 안정성을 이유로 EEMS를 비활성화했거나, 인터넷 연결 제한 때문에 새로운 완화 조치를 가져오지 못한다. 나아가 Exchange Server가 여러 대라면 모든 서버에 동일한 완화 조치가 적용되었는지도 확인해야 한다. 보안 사고는 기능이 존재하지 않아서만 발생하지 않는다. 기능이 적용되었다고 믿었지만 실제로는 적용되지 않았을 때도 발생한다. 또한 폐쇄망 환경은 별도의 주의가 필요하다. 망이 닫혀 있다는 사실은 Attack Surface를 줄일 수 있으나, 동시에 긴급 완화 조치가 들어오는 경로도 막을 수 있다. 이런 환경에서는 Microsoft가 제공하는 Exchange On-premises Mitigation Tool 같은 수동 절차를 검토해야 한다.

탐지 관점에서도 접근이 달라져야 한다. CVE-2026-42897은 서버 측 악성코드 실행이나 웹셸 생성만을 기준으로 보면 놓칠 수 있다. 공격의 출발점은 이메일이고, 실행 위치는 사용자의 브라우저이며, 피해 흐름은 OWA 세션 안에서 이어질 수 있다. 따라서 조직은 Exchange Server의 파일 변경, 프로세스 생성, 비정상 서비스 등록만 살피는것 뿐만 아닌 의심스러운 OWA 접근, 특정 사용자의 비정상적 메일 열람 패턴, 갑작스러운 대량 메일 조회, 내부 사용자 계정에서 발생한 이상 발송, 일정·첨부파일 접근 증가도 함께 봐야 한다.

메일 본문 조회 가능성은 사고 대응의 우선순위도 바꾼다. 일반적인 침해 대응에서는 “계정이 탈취되었는가”, “악성코드가 실행되었는가”, “데이터가 외부로 전송되었는가”를 중심으로 판단한다. 그러나 이번 유형의 공격에서는 어떤 메일이 열람되었는지, 어떤 본문과 첨부파일이 노출되었을 가능성이 있는지, 노출된 메일을 바탕으로 어떤 내부 사칭이 가능해졌는지를 함께 검토해야 한다.

우리의 환경에도 이 문제는 가볍지 않다. 공공기관, 제조업, 병원, 금융권, 중견기업 중에는 여전히 On-Premises 메일 시스템을 운영하거나 하이브리드 구성을 유지하는 곳이 있다. 이들 조직에서 메일은 결재, 계약, 고객 응대, 장애 대응, 보안 보고, 협력사 커뮤니케이션의 중심이다. 공격자가 메일 본문을 조회할 수 있다면 기술 문서나 개인정보만이 아니라 조직의 판단 과정과 업무 관계망까지 파악할 수 있다. 이것이 기업에게는 더 큰 위협이다. 단순한 데이터 유출이 아니라, 조직이 어떻게 움직이는지를 보여주는 정보가 노출되기 때문이다.

CVE-2026-42897은 Exchange Server 역사에서 가장 파괴적인 취약점이라고 단정할 수는 없다. 그러나 이 취약점은 조직이 메일 시스템을 어떻게 이해하고 있는지 다시 묻게 만든다. On-Premises Exchange Server가 남아 있는가? OWA가 외부에 노출되어 있는가? EEMS가 실제로 동작하고 있는가? 폐쇄망 서버에 수동 완화 절차가 준비되어 있는가? 보안팀은 서버 침해 흔적뿐 아니라 메일 본문 조회와 내부 사칭 가능성까지 보고 있는가?

이번 사건의 핵심은 확인이다. 정식 패치가 나오기 전까지 조직이 할 수 있는 가장 중요한 일은 모든 On-Premises Exchange Server에서 긴급 완화 조치가 실제로 적용되었는지 확인하는 것이다. 동시에 메일 본문이 노출될 수 있다는 사실을 정보 유출 관점에서 다뤄야 한다. 받은 편지함은 단순한 사용자 화면이 아니다. 기업의 전략, 관계, 의사결정, 사고 대응이 축적되는 공간이다. CVE-2026-42897이 위험한 이유는 바로 그 공간이 공격 경로가 될 수 있기 때문이다.

Related Materials

• Microsoft Exchange Team, Addressing Exchange Server May 2026 Vulnerability CVE-2026-42897, 2026
• Canadian Centre for Cyber Security, Microsoft Security Advisory AV26-473, 2026
• NIST NVD, CVE-2026-42897 Detail, 2026
• Microsoft Learn, Exchange Emergency Mitigation Service, 2025
• Microsoft CSS-Exchange, Exchange On-premises Mitigation Tool, 2026
• CISA, Microsoft Releases Exchange On-premises Mitigation Tool, 2021

AI Workflow 도구는 어떻게 새로운 공격 허브가 되었는가

💡Editor Pick - Langflow 취약점 활용한 공격은 AI 시대의 ‘결제 권한’ 탈취 사건 - 서버보다 내부 AI 워크플로우와 자동화 구조를 이해할 수 있는 권한 탈취가 목표 - AI API Key는 단순 인증값이 아니라 기업의 AI 운영 구조에 접근할 수 있는 새로운 세션 토큰 AI 서버를 뚫은 것이 아닌, AI 사용권과

더테크엣지(The Tech Edge)Donghwi Shin

세계적 해킹 대회 폰투온, 19년만에 처음 겪는 난리로 진통

💡Editor’s Pick - 실용성 앞세운 해킹 대회, 19년만에 주최측 곤란 겪어 - AI 도움 받은 전문가들, 대회 등록 시도 쇄도 - 참가 실패한 전문가들, 취약점 정보 공개하기 시작 긴급한 전화가 걸려왔다. 독일행 비행기 탑승 직전이었던 지인이었다. 문이 곧 닫혀 오래 통화할 수 없으니 간략히 설명한다며 그는 14일부터 열리는 폰투온 대회가

더테크엣지(The Tech Edge)문가용 기자

ODINI가 보여준 에어갭 보안의 물리적 한계 : 물리적 망분리는 끝이아니다

💡Editor Pick - ODINI는 Air-gap 환경에서 CPU가 만드는 저주파 자기장을 이용한 데이터 유출 - Air-Gap을 완전한 단절로 이해 한다면 보안 사고의 시작점 - 물리적 망분리 정책은 “어떤 위협 모델을 기준으로 분리했는가”를 질문하고 답을 준비 망을 끊으면 정말 안전한가 우리나라의 보안 정책에서 물리적 망분리는 오랫동안 강력한 통제 수단으로 작동해왔다. 내부

더테크엣지(The Tech Edge)Donghwi Shin