※ 블로그 운영자의 개인적인 의견입니다. 팩트와 글의 내용이 다를 수 있습니다.
서론
침해사고 중 대부분은 악성메일로 시작되며, 독자가 다니는 회사에서도 악성메일이 정말 많이 발송되고 있다. 사내에서 악성메일 관련 보안솔루션들을 사용하고 있지만, 100% 막을 수 없다. 거르고 걸러도 지속적으로 사내로 들어오고 있다. 일주일에 한번 이상은 정체를 알 수 없는 메일인데 악성메일인지 아닌지 판단해달라고 요청이 들어온다. 독자가 대응해줬던 방법에 대해서 소개해주겠다.
Part 1. 신고 프로세스
사내에 신고 프로세스가 있긴하지만 그 절차에 대해서 깊게 생각해본적이 없다. 악성메일로 판단되면 '보안팀으로 신고해라!'가 끝이라고 생각되기 때문이다. 그래서 독자는 독자만의 신고 프로세스를 만들었고, 해당 절차대로 악성메일을 대응해주고 있다.
Part 2. 악성메일 분석
송신자 도메인 분석
조직의 구성원들은 서로 다른 업무를 하고 있기에 메일 내용만 보면 악성메일인지 아닌지 판단할 수 없다. 따라서, 송신자의 도메인을 확인하고 사칭메일인지 아닌지 판단한다. 예를들어 구글 사칭메일이라면 구글 도메인을 검색해서 확인해보면 된다.
IP 분석
도메인의 IP를 nslookup 명령어를 통해 확인한다. 그리고 해당 IP를 바이러스 토탈 같은 CTI(Cyber Threat Intelligence)를 보유하는 기업 서비스를 이용하여 악성 IP인지 확인한다. 독자는 사내에서 운영하는 백신 제조회사에서 CTI를 제공하고 있기에 함께 활용하고 있다.
첨부파일 분석
대부분의 악성 파일은 백신에서 차단하며, 독자가 느끼기에 악성메일의 첨부파일 같은 경우 90%이상 정탐이었다. 백신에서 걸러내지 못하는 악성 파일은 대부분 파일 자체는 정상이지만 악성url을 연결시켜 백신에서 탐지를 우회한다. (악성URL의 경우 AI를 통해 자동생성하는 것으로 확인된다.) 악성 url 인지 확인하는 방법은 CTI에 검색해서 확인해본다. 내 PC가 감염이 될 수도 있기에 CDR에서 Base64로 인코딩된 코드를 디코딩하여 확인하는 방법도 있다.
도메인 차단
도메인 차단은 다양한 솔루션에서 할 수 있으나 스펨메일 차단 솔루션에서 차단 등록하고 있다.
IP 차단 및 첨부파일 차단
IP 차단 및 첨부파일 차단은 백신에서 하고 있다. 첨부파일의 경우 hash 기준으로 차단된다.
Part 3. 신고 대응
독자는 메일서버의 권한이 없기에 누가 어떤 메일을 받았는지 확인할 수 없다. CDR(Content Disarm and Reconstruction)을 통해서 해당 메일을 수신한 사용자를 추적하고, 안내문을 발송한다. 메일의 주요 내용은 '해당 메일은 악성메일이니 보는 즉시 삭제하고, 첨부파일 다운 또는 url을 클릭했다면 백신 클리닝과 사용하는 계정을 변경해라' 이다.
Part 4. 문제점
POP3의 문제인가..
기술적으로 악성메일에 대해 차단했으나, 로컬PC에 저장된 메일은 사용자가 직접 삭제 조치해야한다. 안내 메일 안읽는 사람이 있고... 읽어도 반복적으로 문의하는 사람들에 대해 대응해줘야하는게 번거롭다.
계정 탈취 피싱 파일
계정 탈취 피싱 파일은 대부분 html 또는 xml 확장자를 가지고 있다. 따라서 입력 값은 로컬에서 진행되나 결과 값은 탈취 사이트로 넘어간다. 만들기도 너무 간단한 코드이기에 AI를 활용하여 만들고 있는거 같다. 파일 내용도 송신자의 메일을 포함하고 있어, 보낸 사람마다 파일의 hash값이 달라진다. 그래서 파일 자체를 백신에서 차단할 수 없고, 연결된 ip나 url만 차단한다. 악성 사이트와 통신은 안되지만 로컬에서 파일은 실행되기에 문의가 계속 와서 번거롭다.
악성메일 수신자 정보 확인
보안팀에서는 악성메일 수신자의 도메인만 알 수 있지, 수신자의 정보는 알 수 없다. 즉 어느 법인의 누구인지 수신자의 정보를 알 수 없다는 것이다. 법인에서 악성메일 수신자 정보를 달라고하면 줄 수가 없다....
요약
1. 악성 메일 신고 프로세스를 수립하여 신고 대응을 해야 하며, 다양한 보안솔루션들을 활용하여 기술적으로 차단할 수있다.
2. 악성메일 수신자는 메일을 직접 삭제해야 한다.
3. 계정 탈취 메일은 문의가 많이온다.