CISA, Roundcube 웹메일 취약점 2건 ‘활성 악용’ KEV 등재…보스턴 소규모 조직·유학생 커뮤니티도 웹메일 운영 점검 필요

미국 사이버보안·인프라보안국(CISA)이 오픈소스 웹메일 ‘Roundcube’에서 확인된 취약점 2건을 Known Exploited Vulnerabilities(KEV) 목록에 추가하며, 실제 공격에 악용(활성 악용)되고 있다고 밝혔다.[1][2][3]

이번에 KEV에 포함된 항목은 다음 두 건이다.[2][3]

• CVE-2025-49113: 로그인한 사용자 권한이 있는 상태에서 원격 코드 실행(RCE)로 이어질 수 있는 취약점. Roundcube Webmail 1.5.10 미만 및 1.6.11 미만(1.6.x)에서 영향이 보고됐다.[2]
• CVE-2025-68461: SVG 문서의 animate 태그 처리 과정과 관련된 교차사이트스크립팅(XSS) 취약점. Roundcube Webmail 1.5.12 미만 및 1.6.12 미만에서 영향이 보고됐다.[3]

CISA는 KEV 등재와 함께 연방 민간 행정부(FCEB) 기관에 대해 2026년 3월 13일까지 조치(벤더 지침에 따른 완화 적용, 클라우드 서비스는 BOD 22-01 지침 준수, 완화가 불가하면 제품 사용 중단)를 요구하고 있다.[2][3] 이 기한은 연방 기관 기준이지만, ‘활성 악용’이 확인된 취약점이라는 점에서 민간 조직·학교·비영리·소규모 사업장도 동일한 방향(패치/완화/노출 축소)으로 대응 우선순위를 재정렬할 필요가 있다.[1][2][3]

보스턴 지역에서 자주 마주치는 운영 형태는 “메일은 자체 호스팅(또는 저가 VPS/공유호스팅), 운영은 소수 인력”이라는 조합이다. 이 환경에서는 웹메일이 외부에 노출돼 있고, 계정 관리(졸업생 계정 유지, 외주 설치 후 장기 방치 등)가 느슨해지기 쉬워 계정 탈취가 곧바로 서버 침해 시도로 확장될 가능성이 커질 수 있다(실제 영향은 버전·설정·권한 구성에 따라 달라질 수 있음).[2]

특히 CVE-2025-49113은 ‘인증된 사용자’가 필요하다고 알려져 있지만, 현실에서는 피싱·비밀번호 재사용·유출 크리덴셜 등으로 “메일 로그인 1개”가 먼저 탈취되는 경우가 흔하다. 이때 웹메일 취약점이 결합되면 단순 계정 사고를 넘어 서버 내부 침해로 이어질 여지가 생긴다.[2]

Roundcube 쪽에서 공개한 수정(패치) 버전은 비교적 명확하다.[4][5]

• CVE-2025-49113 관련: 1.6.11 및 1.5.10 보안 업데이트에서 수정 공지가 나왔다.[2][4]
• CVE-2025-68461 관련: 1.6.12 및 1.5.12 보안 업데이트에서 SVG animate 태그 기반 XSS 수정이 공지됐다.[3][5]

현장에서의 점검은 ‘패치부터’가 아니라 ‘내가 쓰는지부터’가 빠르다. 아래는 소규모 조직·학생단체 운영 환경을 기준으로 한 최소 점검 흐름이다.

1. 사용 여부·노출면 확인(약 30분)

• 도메인 메일의 웹메일 로그인 URL이 Roundcube인지 확인한다(호스팅 패널에 ‘Webmail: Roundcube’ 옵션이 표시되는 경우가 많다).
• 외부 공개 여부를 함께 확인한다(공개라면 공격 표면이 넓어질 수 있어 우선순위가 올라간다).

2. 버전 확인 및 업데이트 계획(가능하면 당일)

• 현재 Roundcube 버전이 1.6.11/1.5.10, 1.6.12/1.5.12 이상인지 확인한다.[2][3][4][5]
• 서비스 중단이 부담되는 경우에는 ‘백업/스냅샷 → 스테이징에서 업데이트 리허설 → 본 서버 반영’ 순으로 리스크를 줄인다(환경에 따라 절차가 달라질 수 있다).

3. 패치 전·패치 중 임시 리스크 저감(필요 시)

• 가능하면 웹메일 계정에 다중인증(MFA)을 적용한다(메일은 비밀번호 재설정의 관문이 되는 경우가 많다).
• 운영 여건이 된다면 웹메일 접근을 IP 제한 또는 VPN 뒤로 두는 방식도 고려할 수 있다(특히 관리자 영역).
• 첨부·업로드 관련 기능/권한이 과도하게 열려 있다면 업무 영향 범위 안에서 최소화한다.

4. 침해 징후의 빠른 확인(약 1~2시간)

• 웹서버/메일서버 로그에서 반복 로그인 실패, 비정상 업로드 시도, 낯선 User-Agent, 관리자 권한 변경·신규 관리자 계정 생성 흔적을 우선 확인한다.
• “비밀번호가 갑자기 변경됨”, “발신함에 모르는 메일이 있음”, “자동 포워딩 규칙이 생김” 같은 제보가 있으면 포워딩/필터 규칙과 접근 로그를 함께 본다(메일 계정 탈취의 전형적 징후로 알려져 있다).

사례로, 학과·랩·학생단체가 저렴한 VPS에 Roundcube를 올려두고 계정을 장기간 유지하는 구조에서는 ‘관리자 부재(인수인계 공백) + 오래된 버전 + 외부 노출’이 겹치기 쉽다. 이때는 업데이트 자체가 어렵더라도, 우선순위를 (1) 노출 축소(접근 통제) (2) 계정 보안 강화(MFA·비밀번호 재사용 억제) (3) 로그 점검 루틴 마련 순으로 잡는 편이 현실적인 대안이 될 수 있다.

[출처] [1] CISA ‘KEV 카탈로그에 2건 추가’ 알림(2026-02-20) [2] NVD: CVE-2025-49113(KEV 등재 정보·Due Date 2026-03-13·조치 요구사항 포함) [3] NVD: CVE-2025-68461(KEV 등재 정보·Due Date 2026-03-13·조치 요구사항 포함) [4] Roundcube 보안 공지: 1.6.11 / 1.5.10 보안 업데이트(2025-06-01) [5] Roundcube 보안 공지: 1.6.12 / 1.5.12 보안 업데이트(2025-12-13) [6] The Hacker News 보도(2026-02-21) [7] Security Affairs 보도(2026-02-21)