보안

스피어 피싱, 자동화 도구를 이용해도 막기 힘들다…그레이트혼

Tim Greene  | Network World 2017.02.01
보안 소프트웨어 업체인 그레이트혼(GreatHorn)은 새 연구 보고서에서 자동화를 통해 더 나은 보안 방법을 시도하는 기업들조차 피싱 이메일 차단에 어려움을 겪는다고 분석했다.

약 50여만 곳의 스피어 피싱 고객 대응 사례를 분석한 그레이트혼의 조사 결과에 따르면, 피싱 시도를 탐지해 이를 자동으로 차단하는 소프트웨어를 개발했지만, 자사의 고객조차 이런 기능을 제대로 이용하고 있지 않다.

의심스러운 이메일에 대해 가장 많이 사용되는 자동화 실행은 관리자에게 정책 위반 사실을 통보, 이후 조치를 결정하도록 경고하는 것이다. 약 1/3이 여기에 해당된다. 또한 이를 통해 의심스러운 위협에 대한 기록을 생성한다. 6%의 이메일은 수신자에게 경고를 발송한다. 그러면 사용자는 유사한 시도가 있었는지 확인한다.

이 플랫폼으로 정책을 집행할 수 있다. 예를 들어, 의심스러운 이메일을 받은 편지함에서 휴지통으로 옮긴다(의심스러운 이메일의 2%). 격리를 시킬 수도 있다. 약 1%의 의심스러운 이메일이 여기에 해당된다. 7%는 추가 조사를 위해 특정 폴더로 옮겨진다. 

또 받은 편지함에 그대로 남겨 두지만 표시를 하는 의심스러운 이메일도 있다. 라벨을 부착해 수신자에게 이메일에 위협이 존재할 수 있음을 알리는 비율은 약 6%다. 4%의 의심스러운 이메일에는 내부에 경고 배너가 계속 표시된다. 그러나 의심스러운 메시지에 어떤 옵션도 적용하지 않는 경우가 41%다. 그레이트혼 CEO 케빈 오브라이언은 "이것이 위협 가능성을 무시해도 된다는 것을 의미하지는 않는다"고 경고했다.

자동화 실행 대신 감시만 하는 저수준의 위협도 있다. 그러면 보안 전문가들이 조사를 하고, 이메일 인증 규칙을 조정할 수 있다. 이는 제공되는 데이터를 토대로 보안 사고 대응 계획을 확립하는데 도움이 된다.

수신자가 알고 있는 누군가의 이름을 도용했지만, 일치하지 않는 도메인 이름 등의 해당 메일이 가짜일 수 있다는 다른 단서를 남기는 스피어 피싱이 50만 사례 가운데 49만 557건에 달한다.

4만 5,000건의 사례에는 From과 Return Path, 기타 필드를 수정, 수신자의 도메인에서 발송된 것처럼 위장한, 즉 동료 직원이 보낸 것처럼 위장한 '다이렉트 스푸핑'이 이용됐다. 또 내부 메시지로 위장하기 위해 조직의 도메인과 유사한 가짜 이름을 사용한 사례가 2,334건이었다.

3가지 이메일 표준  
피싱 공격 시도를 차단할 수 있는 이메일 표준이 존재한다. 그러나 오브라이언은 이를 구성하기가 어렵다고 말했다. SPF(Sender Policy Framework), DKIM(Domain Keys Identified Mail), SPF 및 DKIM으로 사용된 메일 서버를 대조하는 DMARC(Domain-based Message Authentication, Reporting and Conformance)가 여기에 해당된다.

오브라이언은 "DMARC는 피싱과 위장 공격을 아주 효과적으로 차단할 수 있지만, 복잡한 조직과 도메인을 중심으로 이를 구성하기 아주 어렵다는 단점이 있다. 성공적인 활용 사례가 드문 이유가 여기에 있다"고 설명했다. 그레이트혼에 따르면, 구성된 DMARC의 테스트를 통과한 이메일은 약 7%다. 또 전체 이메일의 21%에만 DMARC가 구현되어 있었다.

SPF는 3가지 표준 가운데 가장 제약이 적다. 수신자의 이메일 도메인이 이메일 소스 IP 주소의 메일을 허용하는지 확인한다. 조사에 따르면, 레코드의 20%가 테스트 통과에 실패했고, 75%에 구현되어 있었다.

DKIM은 SPG보다 제약이 크다. 암호화 된 이메일 신호로 발송인의 진위를 확인하고, 전송 중 수정되지 않도록 만들기 때문이다. SPF가 구현된 이메일 가운데 테스트에 통과하지 못한 비율은 8%이며, 53%에 구현되어 있었다.

오브라이언은 "기업이 발송하는 모든 이메일에 올바르게 이들 3가지 표준 가운데 하나를 적용하기가 어렵다. 다른 기업들도 마찬가지일 것이다. 내부로 유입되는 스피어 공격 방어에 이를 이용하기 힘든 이유가 여기에 있다"고 말했다. editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.