젬브라 웹메일 결함, 이메일 ‘열기만’ 해도 코드 실행된다

젬브라 클래식 웹 클라이언트 XSS 결함의 공격 방식, 영향 범위, 패치 버전을 정리한 요약 카드 인포그래픽

이메일 한 통을 열어봤을 뿐인데 계정이 통째로 털릴 수 있다는 경고가 나왔습니다. 전 세계에서 수억 명이 쓰는 웹메일·협업 솔루션 ‘젬브라(Zimbra)’가 지난 7일(화요일) 클래식 웹 클라이언트의 치명적 결함을 패치했습니다. 아직 CVE 번호도 배정되지 않은 이 결함은 저장형 XSS(교차 사이트 스크립팅) 유형으로, 조작된 이메일을 열기만 해도 공격자의 코드가 사용자 세션에서 그대로 실행됩니다.

이 결함을 신고한 곳이 국가배후 해킹을 주로 추적하는 구글 위협분석그룹(TAG)이라는 점, 그리고 젬브라가 과거 여러 차례 러시아발 해킹조직의 표적이 됐다는 이력 때문에 보안 업계는 이번 패치를 예사롭지 않게 보고 있습니다.

젬브라 결함, 핵심만 정리

항목 내용
제품 젬브라 콜라보레이션 스위트(ZCS) 클래식 웹 클라이언트
결함 유형 저장형 크로스사이트스크립팅(XSS) → 임의 코드 실행
CVE 번호 아직 미배정
공격 방법 조작된 이메일을 클래식 UI에서 열기만 해도 코드 실행
잠재적 피해 메일함 정보, 세션 데이터, 계정 설정 탈취
신고자 구글 위협분석그룹(TAG)
패치 버전 ZCS 10.1.19 (7월 7일 공개)
실공격 확인 여부 패치 시점 기준 아직 없음

영향을 받는 건 신형 ‘모던 UI’가 아니라 예전부터 쓰이던 ‘클래식 웹 클라이언트’ 사용자로 한정됩니다. 다만 젬브라 측은 대용량 메일함을 다룰 때 클래식 UI가 더 가볍다는 이유로 여전히 이를 쓰는 기업·기관이 적지 않다고 안내했습니다.

젬브라 클래식 UI 쓰는 조직이라면 지금 확인할 것

  • 우리 조직이 클래식 웹 클라이언트를 지금도 쓰고 있는지 IT 부서에 먼저 확인하세요. 모던 UI만 쓴다면 이번 결함과는 무관합니다.
  • ZCS를 10.1.19 이상으로 즉시 업데이트하세요.
  • 업데이트 전까지는 낯선 발신자의 이메일, 특히 HTML로 꾸며진 이메일을 미리보기 창에서 바로 열지 않도록 직원들에게 안내하세요.
  • 관리자는 최근 로그인 세션 목록과 계정 설정 변경 이력에 낯선 활동이 없는지 점검하세요.

왜 이번 소식이 유독 찜찜한가 — 젬브라를 노려온 러시아발 공격들

젬브라의 웹 클라이언트 결함이 국가배후 해킹조직에 악용된 전례는 한두 번이 아닙니다.

  • 2023년 2월, 러시아 연계 조직 ‘윈터비빈(Winter Vivern)’이 반사형 XSS 결함으로 젬브라 웹메일을 뚫고 나토 관련 기관과 정부 관계자의 이메일을 훔쳤습니다.
  • 2024년 10월, 미국과 영국 정보당국은 러시아 대외정보국(SVR) 산하 APT29(미드나잇 블리자드)가 대규모로 젬브라 서버를 노리고 있다고 공동 경고했습니다.
  • 2026년 3월, 러시아 군정보기관 연계 조직 APT28이 젬브라 XSS 결함(CVE-2025-66376)으로 우크라이나 정부기관을 공격한 사실이 드러나 CISA가 연방기관에 긴급 패치를 지시했습니다. 학생 계정으로 위장한 피싱 메일에 악성 스크립트를 숨겨 자격증명과 2단계 인증 코드, 최대 90일치 메일함 데이터를 훔쳐간 수법이었습니다.
  • 올해 들어서만 CISA의 KEV(실제 공격 확인) 목록에 오른 젬브라 결함이 벌써 3건입니다.

이번 결함이 아직 실공격 확인 전이라는 점은 앞선 사례들과 다릅니다. 다만 구글 TAG가 신고에 나섰다는 사실 자체가, 국가배후 해킹조직이 이미 이런 유형의 결함을 노려왔다는 정황과 무관하지 않다는 게 보안 업계의 시각입니다.

필자 시사점

젬브라 같은 웹메일 솔루션은 한 조직의 이메일 데이터가 한곳에 모여 있어, 공격자 입장에서는 단 하나의 결함으로 여러 사람의 메일함을 한꺼번에 들여다볼 수 있는 매력적인 표적입니다. 이번 결함이 실제 공격에 쓰였다는 증거는 아직 없지만, 앞선 사례들을 보면 패치가 공개된 뒤 며칠 안에 공격 코드가 등장한 경우가 드물지 않았습니다. 클래식 웹 클라이언트를 쓰는 조직이라면 “아직 안 뚫렸으니 괜찮다”가 아니라 “아직 패치할 시간이 남아있다”는 쪽으로 받아들이는 편이 안전합니다. 젬브라·아웃룩 웹앱 같은 웹메일 솔루션을 노리는 국가배후 공격은 계속 반복돼 온 패턴인 만큼, 앞으로도 이 블로그에서 관련 소식을 이어서 짚어보겠습니다.

출처

댓글 남기기