[데이터넷] 사이버 공격의 대부분은 메일을 통해 시작된다. 새로운 메일보안기술이 계속 개발되고 있지만 지능적인 해킹메일을 완벽하게 탐지·차단할 수 있는 메일보안 시스템은 없다. 특히 신뢰할 수 있는 정상 사용자나 기관으로 사칭하는 악성메일 은 탐지하기 쉽지 않다.

악성메일 대응을 위해 정기적인 악성메일모의훈련 및 교육·캠페인으로 사용자가 메일을 수신할 때 발신정보를 정확히 확인한 후 읽도록 습관화하는 것이 권고 된다. 그러나 이 방법은 사용자가 사칭메일의 피해와 책임을 모두 지게 되므로 안전한 방법은 아니다. 정교하게 제작된 악성메일, 사용자의 사소한 실수로 사칭메 일을 수신했을 때, 매우 큰 피해를 입게 된다.

메일보안 솔루션, 악성코드 제거 후 사칭메일 전달

악성메일 공격은 사설메일서버를 이용해 사용자가 신뢰할 수 있는 발신자로 위장하는데, 이러한 공격으로 인한 피해는 2019년 15조원에 이르는 것으로 집계됐다. 사칭메일 피해자는 랜섬웨어·데이터 유출 등 실제 공격이 드러날 때까지 자신 이 피해를 입었다는 사실조차 알지 못하며, 정상 업무를 수행했다고 생각한다.

실제로 금전 사고가 일어난 후 보안 사고의 원인을 확인하는 과정에서 ▲발주서가 포함된 업무관련 사칭메일 ▲거래처를 사칭한 메일 ▲경찰청을 사칭한 과태료 메일 ▲고객센터를 사칭한 메일 ▲업무와 관련된 사칭메일과 같은 사칭메일에서 시작된 사고라는 것을 인지하게 된다. 하지만 그때는 이미 사고가 일어난 이후이기에 사고의 원인을 파악한다고 해도 되돌릴 수 없다.

사칭메일 공격은 해커가 수신자의 개인정보를 사전에 파악한 후 사설메일서버를 통해 수신자가 업무와 유관한 메일이라고 믿을 만한 발신자를 사칭하며, 해당 공격 목적에 따라 다양한 형태로 변형한 악성 메일을 보낸다.

사칭메일 공격은 대부분 악성코드와 URL링크를 포함하며, 수신자는 개인정보 유출 등 실질적인 피해를 입는다. 그래서 현재 메일보안 시스템들은 피해를 일으키는 악성코드를 탐지하고 차단하는 것에 메일 보안 기술을 집중 적용하고 있다.

악성코드 차단에만 집중하는 메일보안 시스템은 제로데이 공격이나 알려지지 않은 악성코드를 이용한 공격을 막지 못한다. 또한 악성코드를 제거했다 해도 사칭메일 내용은 그대로 전달하기 때문에 사칭메일 내용을 사용자가 신뢰하게 된다는 문제를 해결하지 못한다. 악성코드 없이 메일 내용만으로 진행되는 이메일 무역사기, 스캠 등의 공격을 막지 못한다.

따라서 발신자를 확인해 실제로 신뢰할 수 있는 사람이 보낸 것인지 검증하는 시스 템이 더 확실하게 사칭메일을 차단할 수 있다. 사칭메일 차단 기술이 몇 가지 있지만, 기술적 한계와 운영상의 제약으로 실제 메일시스템에 적용할 수 없었다. 그래서 대부분의 메일보안 솔루션은 사칭메일을 직접 차단하는 방법 대신, 사칭메일에 포함된 악성코드와 악성 URL을 차단하는 수 준에 머무르고 있다.

정상 사용자 계정 도용해도 탐지 가능

공격자가 사칭메일을 보내기 위해서는 사설메일서버를 이용하므로, 사설메일서버에서 발송된 메일인지 검증할 수 있는 보안 기술이 필요하다. 사칭메일 관리 시스템은 ‘SMTP 응답코드’를 통해 메일서버의 서비스 상태를 직접 확인해 신뢰할 수 있는 사람·기관으로부터 발송한 것인지, 아닌지 확인할 수 있다.

SMTP 응답코드는 메일서버에서 제공하는 표준 프로토콜로, 사용자가 메일을 보내면 정상적으로 전달이 됐는지, 또는 어떠한 이유로 전달이 되지 않았는지를 알려주는 3자리 숫자 코드다. 사용자가 보낸 메일이 유실되는 것을 방지하기 위해 개발된 것이다.

사칭메일 관리 시스템에서는 SMTP 응답코드를 발신메일 서버의 설정과 발신메일서비스에 대한 정보를 해석하는 3자리 숫자코드로 활용한다. 3자리 숫자 코드를 통해 메일을 보낸 서버가 정상메일서버인지 사설메일서버인지를 정확히 구분할 수 있다.

사칭메일 관리 시스템에서 중요하게 검토하는 메일 계정정보는 유일한 메일 정보로, 절대 중복 등록될 수 없다. 도메인과 메일서버 IP는 중복 없이 DNS에 등록·관리되며, 계정 또한 중복없이 메일서비스에 등록돼 운영되고 있기에 메일을 정상적으로 수신할 수 있다.

사칭메일 관리 시스템은 수신메일에 대한 발신 측 메일정보를 분석한 후 SMTP 응답코드를 발신메일서버에 직접 검증, 요청하고 ‘250’이 회신되면 ‘정상메일서버’로 판단하고 해당 메일을 수신한다. 메일계정정보는 중복해 사용될 수 없기 때문에 사칭메일 계정정보는 DNS에 등록돼 있지 않다는 의미다. 따라서 사칭된 도메인과 메일서버 IP는 DNS에 등록된 정보와 중복으로 등록될 수 없다.

해커는 사설메일서버를 구성하고 사칭하려는 도메인과 계정을 생성한 후 사칭메일을 발송한다. 사칭메일 관리 시스템은 수신메일에 대한 발신측 메일정보를 분석한 후 SMTP 응답코드를 발신메일서버에 직접 검증, 요청하고 ‘55X’가 회신되면 ‘사설메일서버’로 판단하고 모든 메일을 차단한다.

기존 메일보안기술에서는 사칭메일을 수신하게 되면 ‘출처가 불분명한 메일’이 돼 발신지를 확인할 수 없는 기술적인 한계가 있지만, 사칭메일 관리 시스템의 사칭메일 차단기술은 SMTP 응답코드의 3자리 숫자 코드를 회신받아 사설메일서버 를 정확히 확인할 수 있다.

업무 편의성 보장하며 사칭메일 효과적 차단

기존 메일보안 시스템은 수신 메일을 안티바이러스(Anti- Virus)와 안티스팸(Anti-Spam)으로 분류한 후, 각각의 세부적인 정책에 의해 차단 메일을 분류한다. 안티바이러스로 차단한 메일은 오탐이 거의 발생하지 않지만, 안티스팸은 텍스트 기반 탐지이기 때문에 오탐이 다수 발생하며, 업무에 많은 지장을 준다. 그래서 안티스팸 정책은 적용하는데 어려움이 있다.

사칭메일 관리 시스템은 수신 메일에 대한 새로운 분류방법으로 ‘발신 측 메일서버의 서비스 상태’로 분류한다. 수신된 메일을 통해 수집된 다양한 발신 측 정보를 분석한 후 최종적 으로 SMTP 응답코드를 통해 발신메일 서비스 상태를 직접 검 증해 ‘정상메일 서버’와 ‘사설메일 서버’로 크게 분류한다.

정상 메일서버는 일반적으로 사용하는 이메일 서비스로, DNS에 등록된 유일한 메일서버를 말한다. 이런 메일서버에서 발송된 메일은 ▲일반적인 메일 ▲업무메일 ▲정보메일 ▲광고메일 ▲웹광고메일 등 다양한 형태의 정상적인 메일이다. 즉, 수신하더라도 시스템과 네트워크에 문제를 일으키는 유해한 요소는 없다.

‘사설메일서버’는 일반적인 이메일 서비스에서는 절대 사 용할 수 없다. 사설메일서버는 DNS에 등록되지 않아 이메일을 수신할 수 없기 때문에 특수한 사용 목적에 의해 사용할 메일서버로 이러한 사설메일서버가 해커에 의해 악의적인 목적으로 사용될 경우 다양한 형태의 사칭메일과 함께 악성코드를 포함한 해킹메일을 발송하게 된다.

다양한 분석을 통해 ▲사칭메일 ▲위조메일 ▲스피어피싱 ▲출처가 불분명한 메일 ▲악성메일 등 다양한 형태의 사설메 일로 분류한다. 해킹메일은 대부분 사설메일서버를 통해 불법적으로 만들어진 악의적인 메일이며, 사칭메일 관리 시스템은 해킹메일을 원천 차단하는 것이 핵심이다.

사칭메일 관리 시스템을 도입하면 기존 메일보안 시스템이 필요 없다는 뜻은 아니다. 각각의 메일보안 시스템은 개발 목 적이 사칭메일 관리 시스템과 다르다. 스팸메일 차단 시스템은 스팸메일을 차단하는 목적으로 개발됐으며, 메일 APT 시스템은 유해한 악성코드를 차단하기 위해 개발됐다.

사칭메일 관리 시스템은 출처가 불분명한 메일인 사칭메일을 직접 차단하기 위한 목적으로 개발된 메일보안 시스템이다. 제로 트러스트 기반의 화이트리스트 기술이 적용돼 정상적인 메일서버에서 발송된 메일만을 수신한다. 사설메일서버에서 발송된 모든 악의적인 메일을 원천적으로 차단할 수 있다.

최근 국내외 많은 기업이 사칭메일공격을 통해 막대한 피해를 보았으며, 해킹메일은 그 수법을 교묘히 바꿔 언제나 업무메일 속에 숨어있다. 사용자들은 출처가 불분명한 이메일의 열람을 지양하고 신뢰할 만한 백신 프로그램을 사용해야 한 다. 그러나 업무와 연관된 메일을 수신해야 하기 때문에 강력 하고 근본적인 메일보안 시스템이 필요하다.

사칭메일 관리 시스템은 모든 기업이 사칭메일을 막을 수 있는 맞설 필수 시스템으로 차세대 메일보안 시스템의 표준이 될 것이라 기대한다.