[데이터넷] 코로나19로 비대면 업무가 확산되면서 이메일 업무량도 함께 증대됐다. 이와 함께 사칭메일과 같은 악성메일을 이용한 사이버 공격도 증가했다. 해커들은 국세청, 경찰청 등의 공공기관, 파트너사, 거래처 등을 사칭한 뒤, 공문서 등을 위·변조해 이메일 사용자를 공격한다. 스팸메일 차단 솔루션, 메일보안 국 제표준 기술(SPF, DKIM, DMARC), 악성메일 모의훈련 등의 다 양한 대응책들이 제시되고 있지만 완벽한 방어는 어려운 실정이다.

이메일 통신 환경에도 제로 트러스트 적용해야

이메일 통신 환경에 제로 트러스트를 적용해 ‘모든 이메일 발신자를 신뢰하지 않는다’는 접근 방식을 채택하면 이메일 보안 수준을 강화할 수 있다. 이를 실현하기 위해서는 이메일 발신자 를 역추적해 모든 이메일 발신자의 정보를 확인하는 기술이 필요하다.

간이 우편 전송 프로토콜(SMTP) 응답코드를 활용하면 이메일 발신정보를 수집할 수 있고, 이메일 발신자의 도메인, 서버, 계정을 확인할 수 있다. SMTP는 인터넷 상에서 이메일을 전송할 때 쓰이는 표준 프로토콜로써, 기본적으로 TCP 25 포트를 사용하는데 PC에서 메일서버로 메일을 보낼 때나 메일 서버끼리 메일을 송수신 할 때 활용된다.

이메일 발신자 확인 기술이 가동되는 엔진을 네트워크와 수신메일 서버 사이에 위치시켜, 모든 이메일이 수신될 때 마다 검증 통신을 수행하고 SMTP 응답코드를 해석해 이메일을 처리하면 보안 수준을 제고할 수 있다.

특히 이 과정에서 SMTP 응답 코드, DNS 정보(A, MX, TXT, PTR record), 메일의 헤더, 도메인과 계정의 출처 정보를 종합적 으로 확인해 정상적인 도메인과 계정으로부터 발신된 메일만을 식 별해 관리해야 한다.

SMTP 코드를 활용해 이메일 발신자 확인 가능

이메일 발신자가 메일을 송신하면, 발신자 확인 기술 엔 은 메일 발신지 정보로 SMTP 연결 절차를 수행한다. 이후 SMTP에서는 해당 이메일의 정상 여부에 따라 ‘정상적으로 연결이 된 응답코드’와 ‘정상적으로 연결이 되지 않았음을 보여주는 여러 종류의 응답코드’를 회신한다. ‘정상적으로 연결이 되지 않는다는 응답코드’는 수신된 메일 의 발신정보가 조작됐거나, 사설 메 일서버를 통해 발신됐다는 것을 의미 한다.

따라서 정상 연결이 아님을 의미하는 코드, 즉 에러코드가 회신되는 경 우는 메일 수신자에게 메일을 전달하 지 않고, 사전 처리를 수행해야 한다.

구체적으로 ‘정상적인 발신자’와 ‘악의를 지닌 발신자’에 의한 메일 흐 름 및 처리 과정을 기술하면 아래 그림과 같다.

정상적인 발신자의 메일 발송 흐름 은 발신자가 메일을 작성해 발신메일 서버로 발송한 뒤, 발신메일 서버에서 수신 측 메일 서버로 메일을 전송한 다. 이후 수신메일 서버로 메일이 전달되기 전 발신 정보 확인 기술 엔진이 메일을 먼저 확인한다. 이 과정에서 SMTP 응답 코드 활용해 이메일 발신자 정보를 직접 검증한다. SMTP는 250라는 응답코드를 회신한다(응답코드 250은 이메일이 정 상메일이라는 것을 의미). 이메일 발신 정보 확인 기술 엔진에서 수신 메일 서버로 메일을 전달한다.

끝으로, 수신메일서버에서 수신자로 메일이 전송된다.

한편 악의를 지닌 발신자에 의해 전송되는 악성메일은 SMTP 응답코드를 활용해 이메일 발신자 정보를 검증하는 과 정에서 250이 아닌 다양한 에러 코드를 회신한다.

이러한 에러코드에는 421(수신 측 서버의 응답 지연), 452(수신자 메일 용량 부족), 5XX(발신정보를 확인 할 수 없 는 경우) 등이 포함된다. 발신 정보 확인 기술 엔진은 각 코드 별로 메일을 분류해 보안 위험이 높은 메일들을 따로 분류하 는 등의 처리를 수행한다.

여러 다양한 원인으로 이메일이 수신자에게 전달되지 않거나, 정상 메일이 아니라고 판별되면 이메일 발신자 확인 기술 엔진에서는 분류 기법을 통해 메일을 처리한다.

새로운 접근법으로 디지털 보안 실현해야

SMTP를 활용한 이메일 발신자 확인 기술은 다음과 같은 장점이 있다.

- 기존 스팸차단 솔루션들이 블랙리스트 기반으로 기 수신 된 메일들 정보가 존재해야만 스팸 차단 알고리즘 가동이 가능하다는 제약적 조건을 극복한다.

- 국제표준 기술이 메일 송수신 양측에 적용돼야만 이메 일 발신자 확인이 가능한 반면, 본 기술은 수신 측에만 적용돼도 발신자 확인이 가능하다. 따라서 기술 보급력이 높다.

- SMTP 응답코드 자체가 이메일 보안 환경에서 기본적으 로 실시간 제공되는 정보이기 때문에 기술 이식성이 뛰어 나다.

- 현재 우리나라에서 행해지고 있는 악성메일 모의훈련의 목적을 상당 부분 달성한다.

- 본 기술이 널리 보급된다면 사이버 피해를 줄일 수 있고, 메일 사용자들이 심리적인 안정감을 느낄 수 있을 것이 다. 또한 불필요한 메일을 확인하고 처리하는데 드는 매 몰 비용을 절감할 수 있으며, 각 조직은 핵심역량에만 집 중할 수 있어 효율성 및 효과성을 제고할 수 있게 된다. 궁극적으로 개인과 조직의 사이버 안녕과 디지털 번영을 함께 실현할 수 있을 것이다.