Contents
see List이번 영상은 Microsoft Exchange Server CVE-2026-42897 이슈를 짧게 정리한 보안 콘텐츠입니다. Exchange를 직접 운영하는 회사라면 단순한 취약점 번호로 넘기기보다, 메일 서비스 운영 방식과 임시 완화 적용 상태를 바로 확인해야 하는 사례입니다.
핵심은 Outlook Web Access, 즉 OWA 환경에서 조작된 이메일을 열었을 때 브라우저 안에서 스크립트가 실행될 수 있는 교차 사이트 스크립팅(XSS) 취약점입니다. Microsoft는 Exchange Server 2016, Exchange Server 2019, Exchange Server Subscription Edition 온프레미스 환경을 영향 대상으로 안내했고, Exchange Online은 영향이 없다고 밝혔습니다.
이번 이슈가 특히 중요한 이유는 공개 시점 기준으로 정식 보안 업데이트보다 임시 완화가 먼저 제공됐다는 점입니다. Microsoft는 Exchange Emergency Mitigation Service(EM Service)를 통해 완화 조치를 배포했고, EM Service를 사용할 수 없는 폐쇄망 또는 제한된 환경에서는 Exchange On-premises Mitigation Tool(EOMT)을 통해 수동 적용을 확인해야 합니다.
관리자가 우선 확인할 항목은 명확합니다. EM Service가 활성화되어 있는지, 서버가 2023년 3월 이후의 지원 가능한 빌드인지, CVE-2026-42897 완화 ID인 M2.1.x가 적용됐는지, 그리고 Health Checker 결과에 위험 신호가 없는지를 점검해야 합니다. 오래된 Exchange 서버일수록 자동 완화가 제대로 들어오지 않았을 가능성을 배제하기 어렵습니다.
임시 완화는 일부 OWA 기능에 영향을 줄 수 있습니다. 예를 들어 달력 인쇄, 인라인 이미지, OWA light 같은 기능에 제약이 생길 수 있습니다. 하지만 메일을 통해 브라우저 코드 실행 위험이 열리는 상황과 비교하면, 운영상 불편보다 보안 완화가 우선입니다.
결론은 단순합니다. Exchange Online만 쓰는 조직은 영향 범위가 다르지만, 회사 내부에서 Exchange Server를 직접 운영한다면 오늘 바로 EM Service, EOMT, 서버 빌드, Health Checker를 확인해야 합니다. 메일 서버는 외부와 내부 업무가 만나는 관문이기 때문에, 작은 XSS 이슈도 업무 계정과 내부 시스템 접근 위험으로 이어질 수 있습니다.