Exchange Server SE로 바꾸면 컴플라이언스가 해결될 거라고 생각하기 쉬운데, 현실은 좀 달라요. 온프레미스는 통제권이 있는 만큼 책임도 전부 조직에 있거든요. 패치 하나 늦게 적용했다가 감사에서 지적받는 일이 실제로 일어납니다. Exchange SE 도입을 앞두고 있다면, 먼저 이 5가지부터 점검해 보세요.
보안 패치, 왜 이게 컴플라이언스 문제인가?
2025년 11월 미국 NSA와 CISA가 공동으로 Exchange Server 보안 모범사례 가이드를 발표했어요. 핵심 메시지는 하나 — 패치 안 한 Exchange 서버가 가장 큰 보안 위협이라는 것입니다.
Exchange Server SE는 모던 라이프사이클 정책 아래 지속적으로 보안 업데이트를 받지만, 적용은 관리자 몫이에요. 클라우드처럼 자동으로 패치가 올라가지 않습니다. 패치 지연은 보안 취약점이고, 보안 취약점은 컴플라이언스 위반으로 직결돼요. "바빠서 다음 달에 하려고 했다"는 감사관 앞에서 통하지 않는 말이죠.
패치 관리 프로세스를 문서화하고, 적용 이력을 감사 증적으로 남기는 체계를 반드시 갖춰야 합니다.
라이선스 미준수, 그 자체가 감사 리스크
Exchange Server SE는 기존 영구 라이선스 모델에서 구독형으로 바뀌었어요. 모든 사용자와 디바이스에 대해 M365 E3/E5 클라우드 구독 또는 소프트웨어 보증(SA) 기반 CAL을 유지해야 합니다.
라이선스 미준수 상태에서 Exchange를 운영하면 그 자체가 Microsoft와의 계약 위반이에요. 감사 시 라이선스 불일치가 발견되면 컴플라이언스 이슈로 비화될 수 있습니다. 사용자 수 변동이 잦은 조직이라면 분기별로 라이선스 현황을 점검하는 프로세스를 만들어 두는 게 안전해요.
암호화와 백업, 클라우드에선 알아서 해주던 것들
M365에서는 Microsoft가 기본적으로 제공하던 것들이 온프레미스에서는 전부 자체 구현 대상이에요.
| 항목 | M365 (Exchange Online) | Exchange Server SE (온프레미스) |
|---|---|---|
| 저장 데이터 암호화 (at-rest) | 기본 제공 | BitLocker 등 자체 구현 |
| 전송 암호화 (in-transit) | TLS 기본 적용 | TLS 인증서 자체 관리 |
| 다중 인증 (MFA) | Entra ID 통합 | 별도 MFA 솔루션 연동 |
| 백업 | Microsoft 관리 | 자체 백업 솔루션 필수 |
| 재해복구 (DR) | 지역 간 복제 제공 | RTO/RPO 자체 설계·테스트 |
특히 백업은 빠뜨리기 쉬운 부분이에요. 온프레미스에서는 Microsoft가 백업을 관리해 주지 않기 때문에, 데이터 유실 방지와 복구 시간 목표를 자체적으로 설계하고 정기적으로 복구 테스트까지 해야 합니다.
하이브리드 환경, 유연하지만 컴플라이언스는 복잡해진다
2026년 현재 업계 추정으로 약 64%의 조직이 M365와 온프레미스를 병행하는 하이브리드 환경을 운영하고 있어요. 임원과 규제 대상 부서는 온프레미스 Exchange SE에, 일반 직원은 Exchange Online에 두는 식이죠.
유연한 구성이지만, 컴플라이언스 관점에서는 복잡성이 확 올라가요.
- 어떤 데이터가 어디에 있는지 명확한 분류 체계가 필요
- 온프레미스와 클라우드 각각에 서로 다른 통제 정책을 수립하고 문서화해야 함
- 데이터가 두 환경 사이를 이동할 때 국외이전 규정 적용 여부 검토 필요
- eDiscovery나 감사 요청 시 두 환경의 데이터를 통합 검색·제출할 수 있는 체계 필수
이 마지막 포인트가 실무에서 가장 자주 문제가 돼요. 감사관이 "2024년 3분기 A 부서의 이메일 전수 제출"을 요구했을 때, 온프레미스와 클라우드에 흩어진 데이터를 하나의 검색으로 끌어올 수 있어야 하거든요. Enterprise Vault와 Discovery Accelerator 를 활용하면 온프레미스 Exchange 저널 데이터에 대한 eDiscovery 검색·리뷰·내보내기를 하나의 케이스 안에서 처리할 수 있어요.
개인정보 영향평가, 시스템 변경이면 다시 해야 할 수 있다
이건 놓치기 쉬운데 중요한 포인트예요. 이메일 시스템은 개인정보를 대량으로 처리하는 시스템이잖아요. 한국 개인정보보호법상 개인정보 영향평가 대상이 될 수 있고, Exchange 2019에서 SE로 시스템이 변경되면 재평가가 필요할 수 있습니다.
영향평가 항목에는 데이터 수집·저장 범위, 접근 권한 체계, 보존 기간, 파기 절차 등이 포함돼요. SE로 업그레이드하면서 아키텍처나 데이터 흐름이 바뀌는 부분이 있다면, 개인정보보호 담당자와 사전 협의를 거치세요.
자주 묻는 질문 (FAQ)
Q. Exchange Server SE 도입 자체가 컴플라이언스를 보장하나요?
A. 아니요. SE는 온프레미스 통제권을 주는 플랫폼일 뿐이에요. 보안 패치 적용, 암호화, 백업, 접근 통제, 감사 체계를 조직이 직접 구현하고 유지해야 컴플라이언스를 충족합니다. 통제권이 있다는 건 책임도 있다는 뜻이에요.
Q. 하이브리드 환경에서 eDiscovery는 어떻게 하나요?
A. 온프레미스와 클라우드 데이터를 통합 검색할 수 있는 아카이빙·eDiscovery 솔루션이 필요합니다. Enterprise Vault로 온프레미스 이메일을 저널 아카이빙하고, Discovery Accelerator로 케이스 기반 검색·리뷰·내보내기를 수행하면 하이브리드 환경에서도 감사 대응이 가능해요.
Q. Exchange 2019에서 SE로 업그레이드하면 데이터가 날아가나요?
A. 아니요. SE는 Exchange 2019 CU15 기반 인플레이스 업그레이드를 지원해요. 메일박스 데이터가 유지됩니다. 다만 업그레이드 전 전체 백업은 필수이고, 라이선스 모델이 바뀌니 사전에 CAL 현황을 정리해 두셔야 합니다.
온프레미스 Exchange SE가 주는 통제권은 분명한 장점이지만, 그 통제권을 제대로 행사하지 않으면 오히려 리스크가 돼요. 도입 전에 이 체크리스트부터 챙겨보세요. 더 자세한 내용은 휴미즈에서 확인하세요.
이 글은 기업 데이터 관리 및 컴플라이언스 전문 기업 휴미즈가 작성했습니다.
0 댓글