라떼군 이야기

Microsoft Outlook이 example.com을 일본 기업 서버로 연결하는 기이한 버그

Microsoft의 Autodiscover 서비스가 2020년부터 IANA 예약 도메인인 ’example.com’을 엉뚱하게도 특정 일본 기업(Sumitomo Electric)의 메일 서버로 라우팅하고 있다는 사실이 밝혀졌습니다. 사용자가 Outlook에서 테스트 목적으로 이 도메인을 입력할 경우, 실제 DNS 설정과 무관하게 해당 기업의 서버로 연결되어 자격 증명이 전송될 위험이 존재합니다.

이 현상은 DNS 레벨의 문제가 아니라 Microsoft 내부 데이터베이스의 잘못된 설정(misconfiguration)에서 비롯된 것으로, ’example.com’이 Null MX 레코드를 가지고 있음에도 불구하고 발생한다는 점이 기술적으로 흥미롭습니다. API 응답 헤더를 분석한 결과, 이 설정은 자동 수집된 것이 아니라 6년 전 수동으로 데이터베이스에 추가된 것으로 보여 대규모 시스템에서의 데이터 무결성 관리 문제를 시사합니다.

개발자나 QA 엔지니어가 습관적으로 사용하는 테스트 계정 정보가 의도치 않게 제3자에게 유출될 수 있다는 점에서 보안 경각심을 일깨우는 사례입니다. 아무리 거대한 플랫폼 기업의 서비스라도 내부 로직에 예상치 못한 하드코딩이나 레거시 설정이 숨어있을 수 있음을 기억하고, 테스트 데이터라도 신중하게 다뤄야 함을 보여줍니다.

원문 읽기