Outlook이 수십 년간 암호화되지 않은 연결을 허용했을 수도 있다는 보고 — Fedora 및 Dovecot 업그레이드로 2007년 이후

한 IT 블로거가 Microsoft Outlook에서 영향력이 매우 큰 보안 취약점을 발견했다고 주장했습니다. 보고에 따르면 Outlook은 아무런 알림 없이 보안 SSL/TLS 연결을 암호화되지 않은 평문 (plaintext)으로 조용히 다운그레이드해 온 것으로 나타났습니다. 이 문제는 적어도 Outlook 2007부터 2016 버전까지 영향을 미치는 것으로 보이며, Outlook 2019 이후 버전에서도 이 동작이 나타나는지는 아직 확인되지 않았으나 그 이후 버전까지 영향을 미칠 가능성도 있습니다.

이 보고는 Marius World의 블로그 포스트를 통해 공개되었습니다. 작성자는 메일 서버를 Fedora 42에서 Fedora Server 43(2025년 10월 출시)으로 업그레이드한 후 어떻게 이 문제를 접하게 되었는지 설명합니다. Marius는 고객들로부터 이메일을 수신할 수 없다는 불만을 받기 시작했습니다. 모든 고객은 메일 서버로부터 동일한 오류 메시지를 받았습니다: "비보안 (SSL/TLS) 연결에서는 평문 인증이 허용되지 않습니다 (Cleartext authentication disallowed on non-secure (SSL/TLS) connections)". 이는 사용자의 메일 클라이언트가 암호화되지 않은 연결을 사용하려고 시도했음을 의미하며, 이는 시스템 관리자들이 수십 년 동안 사용을 중단해 온 방식입니다.

Marius는 영향을 받은 모든 사람이 적어도 2007 버전부터 2016 버전까지의 Outlook을 사용하고 있다는 사실을 깨달았습니다. 최악인 점은, 겉보기에 모든 사용자가

Fedora 서버 관리자들이 최근에서야 이러한 동작을 목격하기 시작한 이유는, 버전 43에서 Dovecot SMTP/IMAP 메일 서버를 2.4.3 버전으로 업그레이드했기 때문입니다. 이 버전은 백엔드에서 암호화되지 않은 인증 (unencrypted authentication)을 완전히 비활성화했습니다. 이 문제가 더 일찍 발견되지 않은 이유는 아마도 오늘날 기본 메일 계정 유형이 IMAP이고, Outlook의 기본 설정이 POP3에 대해 995 포트를 기본값으로 설정하기 때문일 것입니다. 그럼에도 불구하고, 특히 웹 호스팅과 같이 많은 구성을 지원해야 하는 환경에서는 상당수의 사용자가 영향을 받고 있을 것이라는 추측이 있습니다.

완화 방법은 상당히 간단합니다. Outlook 계정 설정을 확인하고, 만약 POP3를 사용 중이라면 연결 포트가 995인지 확인하십시오. 이메일이 암호화되지 않은 연결을 통해 전송된다는 것은 네트워크 내의 누구나 또는 서버로 가는 경로에 있는 누구나 이를 기쁘게 읽을 수 있음을 의미하며, 이는 귀하의 통신뿐만 아니라 다른 사람들의 통신까지 노출시킵니다. Marius는 또한 모든 고객 데이터가 암호화된 연결을 통해 전송되어야 한다고 법률이 암묵적으로 규정하고 있기 때문에, 이 상황이 기술적으로 EU GDPR 위반이라고 언급했습니다.

최신 뉴스, 분석 및 리뷰를 피드에서 받아보려면 Google 뉴스에서 Tom's Hardware를 팔로우하거나, 저희를 선호하는 소스로 추가하세요.

Tom's Hardware의 최고의 뉴스와 심층 리뷰를 귀하의 편지함으로 직접 받아보세요.

Bruno Ferreira는 Tom's Hardware의 기고가입니다. 그는 개발자로서의 경력과 더불어 PC 하드웨어 및 각종 잡다한 분야에서 수십 년의 경험을 쌓았습니다. 그는 세부 사항에 집착하며 자신이 좋아하는 주제에 대해 장황하게 늘어놓는 경향이 있습니다. 그렇지 않을 때는 보통 게임을 하거나 라이브 음악 공연 및 페스티벌에 참여하곤 합니다.