Outlook, 수십 년간 암호화되지 않은 연결 허용 가능성 제기 — Fedora·Dovecot 업그레이드가 2007년부터 이어진 프로토콜 다운그레이드 문제 드러내

출처: Tom’s Hardware

(이미지 출처: Getty Images)

IT 블로거가 마이크로소프트 Outlook에서 고위험 보안 취약점을 발견했다고 주장한다. 이 취약점은 보안 SSL/TLS 연결을 조용히 평문(암호화되지 않은)으로 다운그레이드하고 있었으며, 이를 알리지 않았다. 이 문제는 최소 Outlook 2007부터 2016까지 영향을 미치는 것으로 보이며, 이후 버전에도 존재할 가능성이 있지만 Outlook 2019 이후에도 동일한 동작이 있는지는 아직 확인되지 않았다.

이 보고서는 Marius World 블로그 게시물을 통해 전해졌다. 글쓴이는 Fedora 42에서 Fedora Server 43(2025년 10월 출시)으로 메일 서버를 업그레이드한 뒤 문제를 발견했다고 설명한다. Marius는 고객들로부터 메일을 받지 못한다는 불만을 받기 시작했고, 모두 메일 서버에서 동일한 오류 메시지를 받았다: “Cleartext authentication disallowed on non-secure (SSL/TLS) connections”. 이는 사용자의 메일 클라이언트가 암호화되지 않은 연결을 시도하고 있다는 뜻이며, 시스템 관리자는 수십 년째 이를 금지해 왔다.

Marius는 영향을 받은 모든 사용자가 최소 Outlook 2007‑2016 버전을 사용하고 있음을 확인했다. 더 심각한 점은, 거의 모든 사용자가 “Use TLS/SSL”(TLS/SSL 사용) 체크박스를 켜 두었음에도 불구하고 프로토콜 보안이 조용히 다운그레이드된 상태였다는 것이다. 이 버그는 POP3 프로토콜을 사용하면서 포트 110을 선택했을 때 발생한다. TLS를 강제하도록 설정했어도 클라이언트는 자동으로 포트 995로 전환하거나 최소한 포트 110에서 TLS 연결을 시도했어야 한다. 그러나 Outlook은 암호화 없이 그대로 진행한다. “고객들은 암호화가 활성화된 것으로 착각하고 10년 넘게 평문으로 메일을 받아왔을 가능성이 높다”고 Marius는 말한다.

Fedora 서버 관리자가 최근에야 이 현상을 발견한 이유는 버전 43에서 Dovecot SMTP/IMAP 메일 서버를 2.4.3으로 업그레이드했기 때문이다. 이 버전은 백엔드에서 암호화되지 않은 인증을 완전히 차단한다. 문제가 더 일찍 발견되지 않은 이유는 현재 기본 메일 계정 유형이 IMAP이며, Outlook의 기본 설정이 POP3의 경우 포트 995를 기본값으로 지정하고 있기 때문이다. 그럼에도 불구하고 특히 웹 호스팅처럼 다양한 구성을 지원해야 하는 환경에서는 상당수 사용자가 영향을 받았을 것으로 추정된다.

대응 방법은 매우 간단하다: Outlook 계정 설정을 확인하고 POP3를 사용 중이라면 연결 포트를 995로 지정한다. 암호화되지 않은 연결을 통해 메일을 주고받으면 네트워크 상의 누구든지 메일 내용을 읽을 수 있어, 자신의 통신뿐 아니라 다른 사람들의 통신까지 노출된다. Marius는 이 상황이 EU GDPR 위반에 해당한다고도 지적한다. GDPR은 고객 데이터가 암호화된 연결을 통해 전송될 것을 암묵적으로 요구하기 때문이다.

팔로우* Google 뉴스에서 Tom’s Hardware*, 또는* 우리를 선호 소스로 추가*, 최신 뉴스·분석·리뷰를 피드에서 받아보세요.*

Tom’s Hardware의 최고의 뉴스와 심층 리뷰를 바로 받은 편지함으로 받아보세요.

Bruno Ferreira는 Tom’s Hardware의 기고 작가다. 그는 PC 하드웨어와 각종 주변기기에 수십 년간 종사했으며, 개발자 경력도 가지고 있다. 세부 사항에 집착하고 자신이 좋아하는 주제에 대해 장황하게 이야기하는 경향이 있다. 게임을 하거나 라이브 음악 공연·축제에 참석하는 것이 취미다.