[security] CVE-2026-42897: 패치 없는 Exchange 제로데이, CISA KEV 등록까지

Posted May 17, 2026

By Jung Woojin

16 min read

서론

온프레미스 Exchange Server를 운영 중인 조직이라면 이번 주 긴장이 높아졌을 것이다. 2026년 5월 14일, Microsoft는 Exchange Server의 OWA(Outlook Web Access)에 영향을 미치는 CVE-2026-42897을 공개했고, 이틀도 안 돼서 CISA(미국 사이버 보안 인프라 보안국)가 이 취약점을 Known Exploited Vulnerabilities(KEV) 카탈로그에 등록했다. 현재까지 정식 패치가 존재하지 않는 상태에서 실제 공격이 이미 발생 중이라는 점이 사태를 더욱 심각하게 만든다.

XSS(Cross-Site Scripting)라고 하면 “그냥 프론트엔드 문제 아닌가?” 하고 가볍게 볼 수 있지만, Exchange OWA의 XSS는 전혀 다른 맥락이다. 이메일을 열기만 해도 피해자 브라우저에서 임의 JavaScript가 실행될 수 있고, 이를 통해 세션 토큰 탈취, 내부망 횡적 이동, 추가 멀웨어 배포까지 이어질 수 있다. 특히 Exchange Server는 기업 이메일 인프라의 핵심이기 때문에 성공적인 익스플로잇은 조직 전체 보안에 직격탄이 된다.

이 글에서는 CVE-2026-42897의 기술적 세부 사항부터 현재 취할 수 있는 완화 조치, CISA의 대응 타임라인까지 정리한다.

본론

취약점 개요: CVE-2026-42897이란

CVE-2026-42897은 Microsoft Exchange Server의 OWA(Outlook Web Access) 컴포넌트에 존재하는 XSS/스푸핑(Spoofing) 취약점이다. CVSS(Common Vulnerability Scoring System) 점수는 8.1(High)로 평가됐다.

기술적으로는 웹 페이지 생성 과정에서 입력값을 적절히 무력화(Neutralize)하지 못하는 문제(CWE-79) 가 근본 원인이다. Exchange Server가 이메일 콘텐츠를 OWA 화면에 렌더링할 때 특정 조건에서 악성 JavaScript 코드가 필터링되지 않고 브라우저에 그대로 전달된다.

취약점 정보를 표로 정리하면 다음과 같다.

항목	내용
CVE ID	CVE-2026-42897
공개일	2026년 5월 14일
CVSS 점수	8.1 (High)
취약점 유형	XSS / 스푸핑
영향 제품	Exchange Server 2016, 2019, SE RTM
Exchange Online 영향	없음 (온프레미스만 해당)
현재 상태	패치 미출시, 임시 완화 조치 제공
CISA KEV 등록	2026년 5월 15일

공격 시나리오: 어떻게 익스플로잇되나

공격 벡터는 이메일이다. 공격자가 특수하게 조작된(crafted) 이메일을 피해자에게 전송하고, 피해자가 OWA에서 해당 이메일을 열면 “특정 상호작용 조건(certain interaction conditions)”이 충족될 경우 브라우저 컨텍스트에서 임의 JavaScript 코드가 실행된다.

Microsoft는 구체적인 익스플로잇 기법이나 위협 행위자의 신원에 대한 세부 사항을 아직 공개하지 않았다. 다만 실제 공격이 탐지됐다는 사실 자체가 이미 누군가가 이 취약점을 실전에 활용하고 있음을 의미한다.

XSS 공격이 성공하면 공격자는 다음과 같은 행동을 할 수 있다.

세션 쿠키/토큰 탈취: 피해자의 Exchange 세션을 가로채 이메일 계정에 무단 접근
피싱 페이지 삽입: OWA 화면 위에 가짜 로그인 폼을 오버레이해 자격증명 수집
내부망 정찰: 피해자 브라우저를 통해 내부망 HTTP 요청 송신
추가 페이로드 실행: 멀웨어 다운로드 스크립트 삽입

특히 Exchange Server가 Active Directory와 연동된 기업 환경에서는 세션 탈취만으로도 심각한 내부망 침해로 이어질 수 있다는 점을 주목해야 한다. 이메일 계정에 대한 접근권이 생기면 이후 비밀번호 재설정 이메일을 가로채거나 내부 커뮤니케이션을 감시하는 등 더 광범위한 공격으로 확장될 수 있다.

영향 범위: 어떤 시스템이 위험한가

현재 공식적으로 취약한 제품 목록은 다음과 같다.

Microsoft Exchange Server Subscription Edition (SE) RTM
Microsoft Exchange Server 2019
Microsoft Exchange Server 2016

중요한 점은 Exchange Online(Microsoft 365)은 이 취약점의 영향을 받지 않는다는 것이다. 이미 클라우드로 마이그레이션한 조직은 이번 취약점에 대해 걱정할 필요가 없다. 그러나 여전히 온프레미스 Exchange를 운영 중인 조직, 특히 보안이나 규정 준수 이유로 클라우드 전환을 미뤄온 금융·공공·의료 기관들이 이번 취약점의 주요 표적이 된다.

Shodan과 Censys 같은 인터넷 스캐닝 서비스에 따르면 전 세계에 수만 대의 온프레미스 Exchange Server가 인터넷에 노출돼 있다. 공격자 입장에서는 충분한 규모의 공격 대상이 존재하는 셈이다. 국내에서도 금융감독원 규정이나 개인정보보호법 요건으로 온프레미스 이메일 시스템을 유지하는 기관들이 적지 않다.

타임라인: 발표부터 CISA KEV 등록까지

이번 취약점의 전개 속도는 눈에 띄게 빠르다.

2026년 5월 14일 (Patch Tuesday): Microsoft가 CVE-2026-42897을 보안 권고로 공개. Exchange Team 블로그를 통해 두 가지 임시 완화 방법 안내. 동시에 실제 공격(active exploitation) 탐지 확인.
2026년 5월 15일: CISA가 CVE-2026-42897을 Known Exploited Vulnerabilities(KEV) 카탈로그에 추가. FCEB(연방 민간 행정부) 기관에 2026년 5월 29일까지 완화 조치 적용 의무화.

CISA KEV는 실제 공격에 사용된 취약점만 등록하는 카탈로그다. 등록된다는 것 자체가 “이 취약점은 이미 공격에 활용 중”이라는 공식 확인 도장이나 다름없다. 발표 이튿날 바로 KEV에 올랐다는 것은 그만큼 실제 위협 수준이 높다는 방증이다.

일반적으로 신규 취약점이 KEV 등록까지 수 주가 걸리는 경우가 많은데, 이번에는 공개 다음 날 바로 등록됐다는 점에서 보안 커뮤니티 내에서도 주목을 받고 있다.

임시 완화 조치: EEMS vs EOMT

아직 공식 패치가 없는 상황에서 Microsoft는 두 가지 완화 경로를 제시했다.

방법 1: Exchange Emergency Mitigation Service (EEMS) — 권장

EEMS는 Exchange Server 2019/SE에 기본 탑재된 긴급 완화 서비스다. URL Rewrite 규칙을 자동으로 배포해 취약한 요청 경로를 차단한다. EEMS가 활성화된 환경(기본값)이라면 Microsoft가 CVE-2026-42897용 완화 규칙을 이미 자동으로 배포했기 때문에 별도 조치 없이 완화가 적용됐을 가능성이 높다.

EEMS 적용 여부 확인 방법:

  
# Exchange Management Shell에서 실행
Get-ExchangeDiagnosticInfo -Server <서버명> -Process EdgeTransport -Component MitigationService -Setting MitigationsApplied

결과에 CVE-2026-42897 관련 완화 항목이 있으면 적용 완료다. 없다면 EEMS가 비활성화돼 있거나 Microsoft 서버에 접근이 차단된 환경일 가능성이 있다.

방법 2: Exchange On-Premises Mitigation Tool (EOMT)

에어갭(air-gapped) 환경이나 EEMS를 사용할 수 없는 경우, EOMT(Exchange On-Premises Mitigation Tool)를 통해 수동으로 완화를 적용할 수 있다. Exchange Management Shell을 통해 개별 서버 또는 전체 Exchange 서버에 적용 가능하다.

  
# 개별 서버에 적용
.\EOMT.ps1

# 전체 Exchange 서버에 일괄 적용
.\EOMT.ps1 -ExchangeServerNames (Get-ExchangeServer).FQDN

EOMT는 Microsoft 공식 GitHub 저장소에서 최신 버전을 내려받아 사용해야 한다. 구버전 EOMT는 이번 CVE의 완화 규칙이 포함되지 않을 수 있다.

완화 후 알려진 부작용

Microsoft는 완화 적용 후 두 가지 알려진 부작용(known issues)이 있다고 밝혔다.

1. OWA 달력 인쇄 기능 미작동

OWA 내에서 달력을 직접 인쇄하는 기능이 동작하지 않게 된다. 대안으로는 달력 데이터를 복사하거나 스크린샷을 활용하는 방법, 또는 Outlook 데스크탑 클라이언트에서 인쇄하는 방법이 권고된다.

2. OWA 읽기 창에서 인라인 이미지 미표시

수신자의 OWA 읽기 창에서 이메일 내 인라인 이미지가 보이지 않게 된다. 대안으로는 이미지를 첨부파일로 전송하거나, Outlook 데스크탑 클라이언트를 통해 열어보는 방법을 사용할 수 있다.

기능 저하가 있지만, 패치 없는 제로데이가 실제 공격에 사용되고 있는 상황에서는 감수할 만한 트레이드오프다. 패치가 출시되면 이 완화 규칙들은 제거되고 원래 기능이 복구된다.

업계 대응 현황

보안 커뮤니티에서는 이번 취약점을 상당히 심각하게 바라보고 있다. SecurityWeek는 “패치 없이 실제 공격에 사용 중인 Exchange 취약점은 조직에 즉각적인 행동을 요구한다”고 보도했다. BleepingComputer와 The Hacker News 역시 CISA KEV 등록 소식을 신속하게 보도했고, SOC Prime은 탐지 쿼리를 공개했다.

Help Net Security는 “온프레미스 Exchange 운영 조직은 EEMS 적용 여부를 즉시 확인해야 한다”고 강조했다. Security Affairs의 피에르루이지 파가니니(Pierluigi Paganini)는 “Exchange의 특성상 성공적인 XSS 익스플로잇은 단순 피싱 그 이상의 결과를 초래할 수 있으며, 특히 AD와 연동된 환경에서 피해가 크게 확산될 수 있다”고 분석했다.

Microsoft는 현재 공식 패치 개발 중이며, 패치 출시 일정은 아직 공개되지 않았다. 보안 전문가들은 다음 Patch Tuesday(2026년 6월 둘째 주 화요일) 이전에 긴급 패치가 출시될 가능성도 있다고 보고 있다.

정리

CVE-2026-42897은 온프레미스 Exchange Server 2016/2019/SE의 OWA에서 발생하는 XSS/스푸핑 취약점으로, CVSS 8.1이다.
2026년 5월 14일 공개와 동시에 실제 공격이 확인됐고, 5월 15일 CISA KEV에 등록됐다. FCEB 기관은 5월 29일까지 완화 조치 적용이 의무화됐다.
아직 공식 패치가 없으며, EEMS(기본 활성화 환경은 자동 적용) 또는 EOMT(에어갭 환경)로 임시 완화 가능하다.
Exchange Online 사용자는 영향 없음. 온프레미스 운영 조직만 해당된다.
완화 후 OWA 달력 인쇄와 인라인 이미지 표시 기능에 알려진 부작용 있음.
온프레미스 Exchange를 운영한다면 EEMS 적용 여부를 즉시 확인하고, 공식 패치 출시를 예의주시해야 한다.

Reference

security

This post is licensed under CC BY 4.0 by the author.