독일에서 17,000대의 마이크로소프트 익스체인지 서버가 노출됐다.

독일 국가안보 당국은 최근 독일 내 최소 17,000대의 마이크로소프트 익스체인지 서버가 온라인에 노출되어 하나 이상의 중대한 보안 취약점에 취약하다고 경고했다.

이번이 마이크로소프트 제품의 첫 대규모 보안 실패 사례는 아니며, 마지막도 아닐 것이다. 더 많은 마이크로소프트 제품이 업무 환경 생태계에 도입될수록 더 많은 문제가 발생하겠지만, 그 부정적 영향은 훨씬 적어지길 바란다.

마이크로소프트 익스체인지 서버는 구식 소프트웨어로 인해 취약합니다.

독일 연방정보보안청(BSI)에 따르면:

총 서버 수: 독일 내 약 45,000대의 Microsoft Exchange 서버에서 Outlook Web Access(OWA)가 활성화되어 있으며 인터넷을 통해 접근 가능합니다.

구버전:

• 이 서버 중 12%는 구버전(Exchange 2010 또는 2013)을 사용 중입니다.
• 이 버전들은 다음 날짜 이후로 보안 업데이트를 받지 않았습니다:
  • Exchange 2010: 2020년 10월
  • Exchange 2013: 2023년 4월

최근 노출:

• 노출된 버전: Exchange 2016 및 2019.
• 이 서버 중 28%는 최소 4개월 이상 패치를 적용하지 않은 상태입니다.
• 이들 패치되지 않은 서버는 원격 코드 실행 공격을 포함한 중대한 보안 결함에 취약합니다.

심각하게 취약한 서버:

• 독일 내 모든 Exchange 서버의 37%가 심각한 취약점을 가진 것으로 간주됩니다.
• 이는 최근 노출된 약 17,000대의 서버에 해당합니다.

가장 큰 위험은 교육, 의료, 지방 정부 및 중견 기업에 있다.

영국 보안정보국(BSI)은 2021년부터 마이크로소프트 익스체인지의 치명적 취약점이 '적색' 수준의 위협 상황이라며 적극적인 악용 가능성을 반복적으로 경고해왔다. 그러나 아무런 조치가 취해지지 않은 채, 많은 익스체인지 서버 운영자들이 여전히 매우 부주의하게 행동하며 이용 가능한 보안 업데이트를 제때 배포하지 않고 있다.

BSI는 노출 위험을 완화하기 위해 관리자들에게 최신 Exchange 버전을 사용할 것을 촉구합니다.

독일 내 약 17,000대의 마이크로소프트 익스체인지 서버가 노출된 상태입니다.

2월, 위협 모니터링 서비스 섀도서버(Shadowserver)는 28,500대의 마이크로소프트 익스체인지 서버가 CVE-2024-21410을 통해 진행 중인 공격에 취약하다고 경고했습니다. CVE-2024-21410은 마이크로소프트 익스체인지 서버를 겨냥한 새로운 유형의 공격입니다. 이 공격은 사용자 신원을 확인하고 데이터 안전을 보장하는 데 사용되는 보안 도구 세트인 마이크로소프트의 NTLM(Netlogon Trusted Local Authentication)의 취약점을 악용합니다.

이는 올해 초 마이크로소프트가 공개한 중대한 권한 상승 취약점입니다. 이 취약점을 방지하기 위해 기업들은 전용 PowerShell 스크립트를 사용하여 모든 Exchange 서버에 확장 보호 기능을 활성화할 것을 권장합니다.

섀도서버는 또한 확장 보호 기능이 활성화되지 않은 경우 최대 97,000대의 서버(독일에서만 22,000대 이상 포함)가 잠재적으로 취약할 수 있음을 확인했습니다. 마이크로소프트는 현재 Exchange 서버에서 확장 보호 기능을 자동으로 켜고 있지만, 이전에는 왜 그렇지 않았을까요?

온프레미스 서버를 업데이트하지 않은 Exchange 관리자에게도 일부 책임이 있지만, 마이크로소프트 역시 완벽한 제품을 제공해야 합니다.

지난해 이맘때쯤, 중국 사이버 공격으로다수 기업과 기관이 위험에 처하면서 마이크로소프트 클라우드가 주목받았다. 이 사건은 공격을 식별하는 데 필요한 핵심 로깅 데이터가 마이크로소프트 프리미엄 클라우드 서비스 고객에게만 제공된다는 사실을 드러냈다.

미국 국토안보부 산하 사이버보안 및 인프라 보안국(CISA)은 마이크로소프트가 이 로그 정보를 모든 사용자에게 제공하지 않은 점을 타당한 이유로 비판했다. 국토안보부 블로그의 공식 발표를 읽어보십시오.

이러한 데이터를 숨겨두는 것, 특히 사실상 유료 장벽 뒤에 숨기는 것은 기업들이 예방 가능한 취약점에 노출될 위험을 초래합니다. 모든 조직이 Microsoft 365와 같은 기술 서비스를 사용하므로, 이들 기업 역시 악의적인 사이버 활동을 합리적으로 탐지할 수 있도록 기본적으로 로깅 및 기타 보안 데이터에 접근할 수 있어야 합니다.

접근 권한이 없다면 잠재적 공격에 대비할 필수 데이터가 부족합니다. 이는 자동차를 판매하면서 안전벨트나 에어백 같은 안전 기능을 추가 비용으로 청구하는 것과 같습니다.

미국 국토안보부 산하 사이버보안·인프라보안청(CISA)이 마이크로소프트를 비판했다.

올해 1월에는 러시아 국가 지원 해킹 그룹 미드나이트 블리자드(Midnight Blizzard)에 의한 또 다른 침해 사고가 발생했습니다. 이들은 마이크로소프트의 레거시 비생산 테스트 테넌트 계정에 두 달 이상 접근했습니다.

지난해 여름 중국 기반 해킹 그룹 'Storm-0558'이 마이크로소프트의 Azure 서비스를 침해해 한 달 이상 데이터를 수집한 뒤 발견됐다. 이에 따라 미국 연방 정부는 마이크로소프트가 클라우드 보안을 전면적으로 개선할 것을 공식 권고하는 보고서를 발표했다. 피해 고객사 25곳 중 일부는 미국 연방 기관을 포함했다.

마이크로소프트는 지난해 11월'안전한 미래 이니셔티브(Secure Future Initiative)'를 창설하며 전환을 시도했다. 이 계획은 일련의 변화를 가져왔으며, 그중 핵심은 보안 계획 및 주요 목표 달성과 직접 연계된 고위 경영진 보상이 도입된 것이다.

이는 또한 마이크로소프트 시스템과 개발 관행의 취약점을 해결하기 위한 세 가지 보안 원칙과 여섯 가지 보안 기둥을 수립하는 것을 포함합니다. 이는 지난해 시행되었음에도 불구하고, 2024년이 된 지금까지도 문제가 지속되고 있습니다.

해커 그룹 미드나이트 블리자드가 1월 한 달 동안 마이크로소프트 테스트 계정을 침해했다.

1월 침해:

• 가해자: 러시아 국가 지원 해킹 그룹 미드나이트 블리자드.
• 기간: 두 달.
• 대상: Microsoft 레거시 비생산 테스트 테넌트 계정.

여름의 균열:

• 가해자: 중국 기반 해킹 그룹 Storm-0558.
• 기간: 한 달 이상.
• 대상: Microsoft의 Azure 서비스.
• 영향을 받은 대상: 25개 Azure 고객사(일부 미국 연방 기관 포함).

마이크로소프트의 대응: 안전한 미래 이니셔티브 (11월):

• 고위 경영진의 보수는 보안 계획 및 주요 목표 달성 여부에 연계된다.
• 세 가지 보안 원칙과 여섯 가지 보안 기둥의 수립.
• 2024년까지 지속되는 문제점 관찰됨.

보안 구현:

• 효과성은 상세한 개요에 달려 있다.
• 기존 제품의 새 버전 출시 시 발생하는 과제들.
• 지속적인 대규모 보안 문제가 안전한 제품 및 서비스에 의존하는 Microsoft 고객에게 영향을 미치고 있습니다.

현미경으로 들여다보면 보안 구현은 설계도만큼만 훌륭하다. 기존 제품의 새 버전 출시 과정에서 발생할 수 있는 다양한 문제들이 있지만, 그 세부 사항을 해결하는 것은 OEM의 몫이다. 이러한 문제가 계속해서 발생하고 그 규모가 이토록 크다는 점은, 마이크로소프트가 안전한 제품과 서비스를 제공해 줄 것이라고 믿는 마이크로소프트 고객들에게 문제가 된다.

마이크로소프트는 자사 제품 및 서비스와 관련된 모든 사항, 지원 업무를 포함하여 처리합니다. 그러나 수많은 신규 서비스가 추가되면서 지원 업무는 가장 낮은 우선순위로 밀려났습니다. 이 때문에 우선순위가 낮은 티켓의 경우 해외 제3자 기술자와 연결되는 것입니다.

이메일 주소에 v-대시(-)가 표시되면, 더 이상 Microsoft 지원팀과 직접 협력하고 있지 않은 것입니다. 

이는 잠재적인 보안 침해 위험에 노출될 수 있습니다. 해당 기술자들은 미국 엔지니어에게 요구되는 규정 준수 기준을 동일하게 적용받지 않기 때문입니다.

마이크로소프트 프리미어/통합 지원 아웃소싱 엔지니어는 "v-대시" 이메일 주소로 식별됩니다. 이는 마이크로소프트와 고객사가 해외 계약자를 쉽게 식별할 수 있도록 하는 고유 식별자입니다.

보안 분야에서 전반적으로 문제가 있었던 만큼, 현재 시점에서 지원 문제는 불가피합니다. 데이터 안전을 유지하려면 US Cloud와 같은 신뢰할 수 있는 공급처를 선택해야 합니다. 당사는 운영 기간 내내 단 한 번도 데이터 유출 사고가 없었으며, 모든 엔지니어가 미국에 상주하므로 의무화된 규정 준수 기준을 엄격히 준수합니다.

그뿐만 아니라 US Cloud는 다음과 같은 서비스를 제공합니다:

• 연간 지원 비용의 30~50% 절감
• 모든 티켓에 대해 15분 내 응답 보장
• 평균적으로 마이크로소프트보다 두 배 빠른 해결 시간

데이터 보안을 유지하면서 지원 비용을 절감할 수 있다고요? 더 이상 희망사항이 아닙니다. 과도한 요금에 비해 제대로 된 서비스를 제공하지 못하는 마이크로소프트 지원에 의존하는 것을 그만두세요. 더 빠르고 저렴한 마이크로소프트 지원을 원하신다면 US Cloud를 선택하십시오.