Microsoft, 7월부터 Exchange Online에서 레거시 TLS를 폐지

Source: Bleeping Computer

개요

Microsoft는 2026 년 7월부터 Exchange Online에서 POP 및 IMAP 이메일 클라이언트에 대한 레거시 TLS 연결을 차단하기 시작한다고 발표했습니다.

전송 계층 보안(TLS) 암호화 프로토콜은 클라이언트/서버 애플리케이션을 통해 인터넷으로 이메일에 접근할 때 사용자의 정보를 도청, 변조 및 메시지 위조로부터 보호합니다. 그러나 1999년에 도입된 원래 TLS 1.0 사양과 2006년에 도입된 TLS 1.1은 이제 구식이며 트래픽 암호화에 안전하지 않은 것으로 간주됩니다.

“우리는 POP3 및 IMAP4 연결에 대한 레거시 TLS 버전(TLS 1.0 및 TLS 1.1) 지원을 완전히 폐기할 계획입니다. 이 오래된 TLS 버전은 업계에서 이미 오랫동안 폐기되었으며 더 이상 안전하다고 간주되지 않습니다.” — Microsoft.

폐기의 영향

• POP3 및 IMAP4 연결은 TLS 1.2 이상이 필요합니다.
• TLS 1.0 또는 TLS 1.1을 사용하는 연결은 실패합니다.
• 레거시 애플리케이션이나 장치가 연결을 중단할 수 있습니다.
• 맞춤형 또는 임베디드 시스템은 업데이트가 필요할 수 있습니다.

(월요일 Message Center 업데이트에서 발췌.)

중단을 방지하려면 TLS 1.2+ 필요

레거시 TLS가 7월에 폐기되기 전에, POP 또는 IMAP을 사용해 이메일에 접근하는 Exchange Online 고객은 다음을 수행해야 합니다:

• 이메일 클라이언트와 애플리케이션이 TLS 1.2 이상을 지원하는지 확인합니다.
• 서비스에 연결하기 위해 레거시 엔드포인트를 사용하지 않도록 합니다.
• 현대 TLS 버전을 지원하는 버전으로 맞춤형 또는 임베디드 애플리케이션(예: 장치 또는 레거시 서비스)을 업데이트합니다.

“레거시 버전을 사용 중인지 확실하지 않은 경우 POP 및 IMAP 클라이언트 구성을 확인하고, 사용 중이라면 애플리케이션 또는 장치 공급업체에 TLS 지원 여부를 확인하고 업그레이드 안내를 받을 수 있습니다.” — Microsoft.

배경

2018년 10월에 Microsoft, Apple, Google, Mozilla가 협조 발표를 통해 2020년 상반기에 보안에 취약한 TLS 1.0 및 TLS 1.1 프로토콜을 폐기하겠다고 밝혔습니다. 이후 Microsoft는 2020년 8월에 출시된 Windows 10 Insider 빌드에서 기본적으로 TLS 1.3을 활성화하기 시작했습니다.

미국 국가안보국(NSA)도 오래된 TLS 프로토콜 버전 및 구성을 식별하고 현대적이고 안전한 대안으로 교체하여 공격 표면을 줄이고 데이터에 대한 무단 접근을 방지하는 가이드를 제공하고 있습니다.