회사 이메일 계정이 탈취되면 어떤 일이 생길까. 고객 정보, 계약서, 내부 결재 문서가 한꺼번에 외부로 흘러나간다. 거래처 명의로 사기 메일이 발송된다. 그리고 그 책임은 시스템을 관리하지 못한 회사와, 계정 주인이었던 직원 모두에게 돌아온다. 지금 Microsoft Exchange — 많은 중견기업과 대기업이 쓰는 기업용 이메일·일정 관리 시스템 — 에서 해커들이 적극적으로 악용 중인 보안 구멍이 발견됐다. 문제는 Microsoft가 아직 수정 업데이트를 내놓지 않았다는 것이다. 회사가 Exchange를 쓴다면, 지금 이 글이 당신과 직접 관련 있다.
---
이 "보안 구멍"이 왜 보통 버그와 다른가
보안 취약점에는 등급이 있다. 개발사가 미리 알고 수정한 뒤 발표하는 것이 일반적인 패치 과정이다. 그런데 제로데이 취약점은 다르다. 개발사도 모르는 보안 구멍이다. 자동차 회사가 결함을 모르고 있는데, 도둑이 그 빈틈을 이미 알고 있는 상황과 같다. 패치 — 취약점을 막는 수정 업데이트 — 가 나오기 전까지 그 빈틈은 열려 있다.
이번에 발견된 취약점은 Exchange 서버에 접근 권한이 있는 공격자가 시스템 내부를 더 깊이 장악할 수 있게 해주는 종류다. Tom's Guide가 보안 연구기관 발표를 인용해 보도한 내용에 따르면, 현재 이 취약점은 실제 공격에서 이미 활용되고 있다. Microsoft는 이를 자사 보안 공지 채널인 MSRC(Microsoft Security Response Center)를 통해 공식 확인했으나, 이 글 작성 시점 기준으로 수정 패치는 제공되지 않은 상태다.
제로데이가 특히 위험한 이유는 "발견과 악용이 동시에 진행된다"는 점이다. 방어자(기업 IT팀)는 패치가 나올 때까지 막을 도구가 없다. 공격자는 그 시간을 그대로 사용한다.
---
왜 Exchange 취약점은 개인 해킹과 차원이 다른가
개인 이메일 계정이 털리면 피해는 그 계정 주인에게 집중된다. Exchange 서버가 뚫리면 이야기가 달라진다. 서버 하나에 수십, 수백 명의 이메일 계정이 올라가 있기 때문이다. 해커가 서버에 발판을 마련하면 그 회사 전 직원의 받은편지함, 첨부파일, 연락처, 일정에 동시에 접근할 수 있다.
이것이 이번 취약점이 단순 기술 뉴스가 아닌 이유다. 개인이 아무리 강한 비밀번호를 쓰고, 수상한 링크를 클릭하지 않아도, 회사 서버가 뚫리면 소용없다. 보안의 가장 약한 고리는 사용자 개인이 아니라 조직 시스템 자체가 된다.
더 중요한 구조적 문제가 있다. Exchange를 자체 서버에 직접 설치해서 운영하는 기업 — IT 업계에서는 이를 "온프레미스(on-premises) 환경"이라고 부르는데, 쉽게 말해 회사 건물 안에 서버를 두고 직접 관리하는 방식 — 은 Microsoft가 패치를 내놓더라도 그것을 적용하기까지 시간이 필요하다. 자동으로 업데이트되는 소비자용 소프트웨어와 달리, 기업 서버는 패치 적용 전에 내부 테스트를 거쳐야 하고 운영 중단 시간을 잡아야 한다. 실무에서는 패치 발표 후 실제 적용까지 2주에서 한 달이 걸리는 경우도 흔하다.
결국 패치가 나온 뒤에도 기업들은 수주간 취약한 상태로 서버를 계속 운영해야 하는 딜레마에 놓인다. 멈출 수 없는 시스템이기 때문이다. 이 공백기가 실제 피해를 키우는 구간이다.
Microsoft Exchange의 보안 취약점 이력이 이 우려를 뒷받침한다. 2021년 발생한 ProxyLogon 취약점(CVE-2021-26855 등 복수의 취약점 묶음)은 Exchange 서버를 공격 대상으로 삼아 전 세계 약 25만 개 이상의 서버가 영향을 받았고, Microsoft가 긴급 패치를 배포했음에도 수만 개 서버가 몇 주 뒤에도 패치를 적용하지 못한 상태였다는 사실이 당시 미국 CISA(사이버보안 및 인프라 보안국) 발표로 확인됐다. 2021년의 사례는 "취약점 발표 후 기업 패치 적용까지의 공백"이 얼마나 실질적인 위험을 만드는지를 보여주는 전례다.
---
회사 규모별로 위험 수준이 다르다
모든 Exchange 사용 기업이 동일한 위험에 처한 건 아니다. 현실적인 차이를 짚어야 한다.
위험이 상대적으로 낮은 경우: Microsoft 365 같은 클라우드 기반 Exchange Online을 쓰는 기업은 Microsoft가 서버 측 패치를 직접 관리하기 때문에, 기업 IT팀이 별도로 패치를 적용할 필요가 없다. 또한 외부 인터넷에서 Exchange 서버로 직접 접근하지 못하도록 네트워크를 분리해 둔 기업도 노출 면적이 훨씬 작다.
위험이 상대적으로 높은 경우: 회사 건물 안 서버에 Exchange를 직접 설치해 운영하면서, 외부에서도 이메일에 접속할 수 있도록 서버를 인터넷에 노출시켜둔 경우다. 국내 중소기업 중에는 전담 보안 인력 없이 외주 IT 업체에 서버 관리를 맡기는 경우도 적지 않은데, 이런 환경에서는 패치 적용 결정과 실행이 더 늦어지기 쉽다.
클라우드로 이메일 시스템을 옮기는 과정에서도 자체 서버와 클라우드가 동시에 운영되는 전환 기간이 생기는데, 이 기간에는 두 시스템 모두를 관리해야 하는 부담이 생겨 패치 대응이 더 복잡해진다.
---
지금 당장 할 수 있는 것, 할 수 없는 것
패치가 없는 상황에서 기업이 선택할 수 있는 방어 수단은 "공격 경로를 줄이는 것"이다. 취약점 자체를 없앨 수는 없지만, 해커가 그 취약점에 도달하기 어렵게 만들 수 있다.
Microsoft MSRC(보안 공지)를 통해 권고되는 임시 완화 조치는 다음과 같다. Exchange 서버의 불필요한 외부 노출을 줄이고, 관리자 권한 계정의 접근을 제한하며, 인증 방식을 강화하는 것이다. 대기업은 이미 이런 조치를 일상적으로 적용하고 있지만, 소규모 기업일수록 이 설정이 되어 있지 않을 가능성이 높다.
개별 직원 입장에서 직접 서버를 건드릴 수는 없지만, 할 수 있는 것은 있다.
- 회사 이메일 계정의 비밀번호가 다른 계정과 공유되지 않는지 확인한다. 서버가 뚫리더라도 동일한 비밀번호로 다른 계정까지 연쇄 피해가 나는 상황을 막을 수 있다.
- 회사 이메일로 주민번호, 금융 계좌, 계약서 원본처럼 가장 민감한 정보를 주고받는 빈도를 줄인다. 지금처럼 취약점이 열려 있는 기간에는 특히 그렇다.
- 회사 이메일에 접속하는 기기의 운영체제와 백신 프로그램을 최신 상태로 유지한다. 서버 취약점과 별개로, 기기가 감염되면 이메일 내용이 다른 경로로 유출될 수 있다.
---
패치는 언제 오나, 그 전까지 어떻게 버티나
이 글 작성 시점(2026년 5월)까지 Microsoft는 이번 Exchange 취약점에 대한 공식 패치 일정을 발표하지 않았다. Microsoft는 매월 두 번째 화요일에 정기 보안 업데이트를 배포하는데, 업계에서는 이를 "패치 화요일(Patch Tuesday)"이라고 부른다. 긴급도가 높다고 판단되면 이 정기 일정을 앞당겨 별도 긴급 패치를 내놓기도 한다. 2021년 ProxyLogon 때는 긴급 패치를 별도 배포했다.
회사의 IT 담당자나 서버 관리 업체가 Microsoft 보안 공지(MSRC 페이지: microsoft.com/en-us/msrc)를 정기적으로 확인하고 있는지가 관건이다. 패치가 나온 사실을 늦게 알수록, 적용도 늦어진다.
AI 데이터센터에 대한 세금 감면 정책과 기업의 숨은 보안 비용 문제처럼, 기업 인프라의 취약점은 정책과 비용 결정이 기술적 위험과 직접 연결되는 구조다. Exchange 보안 사고도 결국 "유지 관리에 비용을 쓰지 않은 결과"로 귀결되는 경우가 많다.
---
지금 확인해야 할 세 가지
이 글을 읽고 나서 해야 할 행동은 다음 순서로 정리된다.
첫째, IT 담당자에게 구체적으로 물어본다. "우리 회사가 Exchange를 쓰는지, 만약 그렇다면 자체 서버 방식인지 클라우드 방식인지, 이번 취약점 패치를 받았는지 또는 받을 예정일이 언제인지"를 물어본다. 모호한 답변이 돌아온다면, 패치가 아직 적용되지 않았거나 담당자도 현황을 파악하지 못하고 있다는 신호다. 이 경우 서버 관리 외주 업체 담당자와 직접 연결해줄 것을 요청하는 것이 낫다.
둘째, 지금 당장 민감한 정보 전송 채널을 점검한다. 계약서, 고객 개인정보, 금융 정보가 이메일로만 오가고 있다면, 암호화된 별도 채널(사내 문서 시스템, 암호화 파일 전송 서비스 등)을 병행할 수 있는지 IT팀과 논의한다. 이메일 서버가 뚫렸을 때 피해를 최소화하는 경로 분산이 목적이다.
셋째, 개인 기기 보안 상태를 확인한다. 회사 이메일을 개인 스마트폰이나 집 컴퓨터에서도 접속하고 있다면, 그 기기들의 운영체제 업데이트와 백신 상태가 최신인지 확인한다. 서버 취약점이 아니라 개인 기기를 통한 우회 침입도 실제로 발생하는 경로이기 때문이다.
패치가 배포된 뒤에도 확인이 필요하다. 패치 발표일과 실제 회사 서버 적용일 사이의 간격이 얼마나 되는지를 IT 담당자에게 다시 한번 확인하는 것이 마지막 체크포인트다. 패치가 나왔다는 뉴스를 들었다고 해서, 우리 회사 서버에도 이미 적용됐다고 가정해서는 안 된다.
관련 위키
더 자세한 배경은 다음 위키 항목에서 확인하세요.