CISA, Roundcube 웹메일 취약점 두 개를 탐지됨 목록에 추가

무슨 일이 있었나

미국 사이버보안당국(CISA)이 널리 사용되는 Roundcube 웹메일에 대한 두 개의 심각한 취약점을 탐지됨 취약점 목록에 추가했다. 이번에 추가된 취약점들은 원격 코드 실행과 스크립트 주입 공격에 악용될 수 있어 사용자들의 즉각적인 주의가 필요하다.

CISA는 2026년 2월 20일 Roundcube 웹메일의 취약점 두 개를 Known Exploited Vulnerabilities(KEV) 카탈로그에 공식 등록했다. 해당 취약점들은 별도의 마감이 설정되어 있으며, 관리자들은 2026년 3월 13일까지 필수 보안 패치를 적용해야 한다.

추가된 취약점들은 다음과 같다.

CVE-2025-68461는 Roundcube 웹메일의 XSS(교차 사이트 스크립팅) 취약점이다. 이 취약점은 SVG 문서의 animate 태그를 통해 악의적인 스크립트가 주입될 수 있어 발생한다. 공격자가 특수하게 조작된 SVG 파일을 업로드하면 사용자의 브라우저에서 임의의 자바스크립트 코드가 실행될 수 있다.

CVE-2025-49113는 더 심각한 역직렬화 취약점이다. Roundcube의 program/actions/settings/upload.php 파일에서 _from 파라미터가 적절하게 검증되지 않아 발생하는 문제다. 이 취약점을 악용하면 인증된 사용자가 서버에서 원격 코드를 실행할 수 있다. 즉, 웹메일 계정에 접근 권한을 가진 공격자가 서버를 완전히 장악할 가능성이 있다.

왜 중요한가

Roundcube는 전 세계적으로 사랑받는 오픈소스 웹메일 클라이언트다. 기업과 기관, 개인 사용자까지 다양한 곳에서 이메일 관리를 위해 사용되고 있다. 특히 자체 이메일 서버를 운영하는 조직에서는 자주 채택되는 솔루션이다.

이번에 발견된 취약점들이 중요한 이유는 다음과 같다.

첫째, 원격 코드 실행 취약점(CVE-2025-49113)은 인증만 하면 서버 전체를 장악할 수 있다. 한번 침투하면 이메일을 읽을 수 있을 뿐 아니라 서버에 저장된 다른 데이터에도 접근하거나 추가 공격을 수행할 수 있다.

둘째, XSS 취약점(CVE-2025-68461)은 사용자 세션을 탈취하거나 가짜 로그인 화면을 보여주어 비밀번호를 빼돌리는 데 악용될 수 있다. 특히 웹메일은 민감한 개인정보가 오가는 곳이라 피해가 클 수 있다.

CISA는 현재까지 이 취약점들이 랜섬웨어 공격에 활용되고 있는지는 확인하지 못했다. 하지만 탐지됨 목록에 추가되었다는 것은 실제 공격이 발생하거나 발생할 가능성이 있다는 뜻이다.

어떻게 대처해야 하나

Roundcube 사용자들은 최대한 빨리 최신 보안 패치를 적용해야 한다. CVE-2025-49113의 경우 _from 파라미터 검증 문제로 인해 인증된 사용자가 원격 코드 실행까지 가능하므로 특히 급하게 패치를 적용해야 한다.

보안 패치를 적용하기 어려운 상황이라면 다음의 완화 조치를 고려할 수 있다.

웹메일 접근을 VPN이나 IP 화이트리스트로 제한하는 방법이 있다. 외부에서 직접 접근할 수 없도록 하면 공격 노출 범위를 줄일 수 있다.

또한 웹 애플리케이션 방화벽(WAF)을 통해 의심스러운 요청을 차단하는 것도 하나의 방법이다.

로그를 자주 확인해서 비정상적인 활동이 있는지 점검하는 것도 중요하다.

가능하다면 가장 좋은 방법은 최신 버전의 Roundcube로 업그레이드하는 것이다. 개발팀에서 이미 보안 패치를 발표한 상태다.

앞으로 어떻게 될까

이번 사례는 오픈소스 소프트웨어의 보안 유지가 얼마나 중요한지를 보여준다. Roundcube처럼 널리 쓰이는 솔루션은 공격자의 주요 표적이 되기 쉽다. 소프트웨어를 최신 상태로 유지하고 보안 공지를 주기적으로 확인하는 것이 필수적이다.

CISA의 KEV 카탈로그는 미국 연방 정부 기관뿐 아니라 민간 기업들도 참고하는 중요한 정보원이다. 이번 추가로 인해 전 세계 Roundcube 사용자들이 보안에 더욱 신경 쓰게 될 것으로 예상된다.