짐브라, 조작된 이메일 열면 악성코드 실행되는 XSS 결함 발견
작성일 수정일
짐브라, 클래식 웹클라이언트 XSS 결함 발견…버전 10.1.19 긴급 패치 권고
구글 위협분석그룹이 보고, 과거엔 러시아 해킹조직이 유사 결함 반복 악용

이메일·협업 소프트웨어 짐브라(Zimbra)가 클래식 웹 클라이언트(Classic Web Client)에서 발견된 치명적 보안 결함을 패치하라고 고객들에게 긴급 권고했다. 특별히 조작된 이메일을 열기만 해도 악성 코드가 사용자 세션에서 실행될 수 있는 저장형 크로스사이트스크립팅(XSS, Stored Cross-Site Scripting) 취약점이다. 짐브라는 “이번 업데이트는 클래식 웹 클라이언트에서 특별히 조작된 이메일을 열었을 때 악성 코드가 실행되는 보안 문제를 수정한 것”이라며 “악용되면 메일함 정보, 세션 데이터, 계정 설정에 접근할 수 있다”고 밝혔다. 아직 이 결함에는 CVE(공통취약점식별자) 번호가 부여되지 않았다. 짐브라는 이 취약점이 실제 공격에 악용된 사례를 확인하지 못했다고 밝혔지만, 클래식 웹 클라이언트를 쓰는 고객은 즉시 버전 10.1.19로 업그레이드할 것을 권고했다.
조작된 이메일 하나로 세션 탈취까지
이번 결함은 저장형(퍼시스턴트) XSS로 분류된다. 공격자가 삽입한 악성 스크립트가 서버 데이터베이스에 겉보기에는 무해한 형태로 영구 저장되고, 해당 페이지를 불러오는 순간 방문자의 브라우저에서 자동 실행되는 방식이다. 일반적인 XSS는 애플리케이션이 검증이나 이스케이프 처리 없이 신뢰할 수 없는 데이터를 웹페이지에 포함시킬 때 발생하며, 공격자가 피해자 브라우저에 악성 자바스크립트를 주입해 세션 하이재킹, 자격증명 탈취, 계정 탈취로 이어질 수 있다.
짐브라 측 설명에 따르면 이번 문제는 클래식 웹 클라이언트 사용자에게만 영향을 미친다. 클래식 웹 클라이언트는 짐브라 협업 스위트(Zimbra Collaboration Suite)에 접속하는 아약스(Ajax) 기반 웹메일 인터페이스로, 대용량 이메일 폴더를 불러올 때 더 많은 리소스를 요구하는 최신 웹 클라이언트보다 속도가 빠르다는 특징이 있다. 짐브라는 “클래식 웹 클라이언트를 사용하는 고객은 최대한 빨리 ZCS(Zimbra Collaboration Suite) v10.1.19로 업그레이드해야 한다”며 “이 문제는 클래식 웹 클라이언트 사용자에게만 영향을 미치기 때문”이라고 강조했다.

구글 위협분석그룹이 포착한 결함
이번 취약점은 구글 위협분석그룹(Threat Analysis Group, TAG)이 보고한 것으로 알려졌다. 이 조직은 반체제 인사, 야권 정치인, 언론인 등 고위험 표적을 겨냥한 국가 지원 해킹 조직의 제로데이 공격을 자주 포착해온 팀이다. 짐브라는 이번 결함이 실제 공격에 악용된 것으로 규정하지는 않았지만, 발견 주체가 구글 TAG라는 점은 국가 지원 해킹과 무관하지 않을 가능성을 시사한다.
짐브라의 XSS 결함은 수년째 공격자들의 표적이 돼왔다. 위협 행위자들이 이런 취약점을 무기화하려던 시도는 지난 2021년 12월까지 거슬러 올라간다. 지난해 10월에는 클래식 웹 클라이언트의 저장형 XSS 결함(CVE-2025-27915, CVSS 점수 5.4)이 브라질 군을 표적으로 한 공격에서 제로데이로 악용됐다는 의혹이 제기됐다. 다만 짐브라는 당시 디해커뉴스(The Hacker News)에 이를 뒷받침할 증거를 찾지 못했다고 밝혔다. 이외에도 위협 행위자들에게 악용된 XSS 결함으로는 CVE-2023-37580, CVE-2024-27443 등이 있다.
러시아 국가 해킹조직의 반복 표적
짐브라 보안 이슈는 최근 몇 년간 러시아 국가 지원 해킹조직의 공격에 반복적으로 악용돼 수천 대의 취약한 서버가 침해당한 전례가 있다. 러시아 지원 해킹조직 윈터 비번(Winter Vivern)은 지난 2023년 2월 반사형(reflected) XSS 익스플로잇을 이용해 짐브라 웹메일 포털을 침해했다. 이 공격으로 정부 관료, 군 인사, 외교관을 포함한 나토(NATO) 우방 조직·개인의 이메일이 유출됐다.
지난 2024년 10월에는 미국과 영국 사이버보안 당국이 러시아 해외정보국(SVR) 산하 해킹조직 APT29(미드나이트 블리자드·코지 베어로도 알려짐)가 취약한 짐브라 서버를 대규모로 표적 삼고 있다고 경고했다. 이 조직은 이전에 이메일 계정 자격증명을 탈취하는 데 악용됐던 결함을 겨냥한 익스플로잇을 사용했다. 지난 3월에는 미국 사이버보안·인프라보안청(CISA)이 또 다른 짐브라 XSS 결함(CVE-2025-66376)을 연방기관들에 즉시 패치하도록 지시한 바 있다. 짐브라는 수억 명이 사용하는 이메일·협업 소프트웨어로, 수천 개 기업과 수백 개 정부기관이 활용하고 있어 이번과 같은 결함이 반복적으로 국가 지원 해킹조직의 표적이 되는 배경이 되고 있다.
이런 반복된 악용 사례를 고려하면 이번 결함의 잠재적 악용 가능성도 낮게 볼 수 없다는 우려가 나온다. 아직 CVE 번호가 부여되지 않은 만큼 추적 관리에는 다소 어려움이 있을 수 있지만, 짐브라는 클래식 웹 클라이언트 사용자에게 버전 10.1.19로의 신속한 업그레이드를 재차 권고하고 있다.