1. 개요 [1]

- 미국 국가안보국(NSA), 연방수사국(FBI), 국무부는 이메일 보안 프로토콜을 악용한 북한 해킹그룹 관련 보안 권고 발표
- 북한 해킹그룹은 신분을 가장하여 스피어피싱 캠페인을 수행

 

2. 주요내용

북한 해킹그룹은 이메일 보안 프로토콜 DMARC을 악용해 피싱 메일을 발송

 

- DMARC (Domain-based Message Authentication Reporting and Conformance) [2][3]
SPF와 DKIM을 사용해 메일의 인증 여부를 확인하고, 메일이 SPF와 DKIM 검사를 통과하지 못하면 DMARC 정책이 실행

> DNS TXT 레코드에 명시

※ DMARC 정책 : 의심스러운 메일을 처리하는 방법이 명시

 

> SPF와 DKIM을 기반으로 동작하기에 SPF와 DKIM을 먼저 설정해야 함

※ SPF (Sender Policy Framework) : 수신측 메일서버가 발신측 메일 발송 IP가 DNS에 등록된 IP가 맞는지 확인하여 스팸인지 아닌지 확인

※ DKIM (Domain Keys Identified Mail) : 수신측 메일서버가 발신측에서 보낸 전자서명과 DNS에 등록된 DKIM 공개키로 전자서명을 검증하여 스팸인지 아닌지 확인

 

- DMARC 레코드 다음과 같은 항목으로 구성 [4][5]

DMARC 레코드 형식 예시: v=DMARC1; p=none; aspf=r; adkim=r; rua=mailto:report@example.com
항목 설명 비고
v - DMARC의 버전을 설명하며, 반드시 가장 먼저 선언되어야 함 필수
p - 반드시 v 다음에 선언되어야 함
- 수신 서버에서 DMARC로 인증되지 않은 메일에 대한 처리 방법 명시
> none : 아무런 조치를 하지 않고 메일을 수신
> quarantine : 이메일을 스팸으로 표시하고 스팸함으로 보냄
> reject : 수신을 거부 (스팸함에도 도착하지 않음)		 필수
sp - 하위 도메인에서 전송된 메일에 대한 정책
> none : 아무런 조치를 하지 않고 메일을 수신
> quarantine : 이메일을 스팸으로 표시하고 스팸함으로 보냄
> reject : 수신을 거부 (스팸함에도 도착하지 않음)		  
aspf - 메일 정보가 SPF 서명과 어느 정도 정확하게 일치해야 하는지 정의
- 값을 설정하지 않으면 기본적으로 r 값으로 설정
> s: 모두 일치
> r: 부분적 일치		  
adkim - 메일 정보가 DKIM 서명과 어느 정도 정확하게 일치해야 하는지 정의
- 값을 설정하지 않으면 기본적으로 r 값으로 설정
> s: 모두 일치
> r: 부분적 일치		  
rua - DMARC 처리 보고서를 수신할 이메일 주소
- 메일 주소 앞에 "mailto:"를 입력
- 쉼표(,)를 연결하여 여러 이메일 주소 지정 가능		  
ruf - DMARC 처리 실패 보고서를 수신할 이메일 주소
- 메일 주소 앞에 "mailto:"를 입력
- 쉼표(,)를 연결하여 여러 이메일 주소 지정 가능		  
pct - DMARC 정책을 적용할 이메일 비중
- 0 ~ 100까지 설정 가능하며 기본값은 100		  
fo - 실패 보고서(ruf)를 생성할 기준
> 0: SPF, DKIM 모두 실패 (기본값)
> 1: SPF, DKIM 둘 중 하나 실패
> s: SPF 실패
> d: DKIM 실패		  
rf - 실패 보고서(ruf) 형식에 대한 설정
- 값 afrf 고정		  
ri - 실패를 집계할 기간으로, 설정된 주기마다 rua 발송
- 기본값: 86400초		  

 

- 북한 공격자들은 "p=none" 설정의 약점을 공격에 악용

> DMARC 레코드 설정에 따르면 p=none 설정은 검증 실패 시 아무런 조치 없이 메일을 수신

[사진 1] p=none

 

- 또는 메일 헤더를 조작하거나 [사진 2], 메일 본문에 회신 메일을 명시하여 회신을 유도 [사진 3]

 

[사진 2] 메일 헤더 조작
[사진 3] 메일 본문 회신 메일 명시

 

- 따라서, 위협에 대응하기 위해 DMARC 보안 정책을 구현할 것을 권장

> "v=DMARC1; p=quarantine;" 또는 "v=DMARC1; p=reject;"로 설정을 업데이트

> rua, ruf 레코드를 사용해 통합 보고서를 수신하여 가시성 확보 및 잠재적 보안 침해 식별

> 단, DMARC 정책 적용으로 발송한 메일이 수신자에게 전달되지 않을 수 있으므로, 영향도 검증 필요

 

3. 참고

[1] https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3762915/nsa-highlights-mitigations-against-north-korean-actor-email-policy-exploitation/
[2] https://www.crinity.net/Newsletter/2019/06/Coffee_Break.html
[3] https://help.worksmobile.com/kr/administrator/service/mail/advanced-setting/what-is-dmarc/
[4] https://help.worksmobile.com/kr/administrator/service/mail/advanced-setting/what-is-dmarc/
[5] https://docs.nhncloud.com/ko/Notification/Email/ko/dmarc-record/
[6] https://www.dailysecu.com/news/articleView.html?idxno=155699

'취약점 > Social Engineering' 카테고리의 다른 글

큐싱(Qshing)  (1) 2023.11.01
MS Teams 공격 도구 TeamsPhisher  (0) 2023.07.06
국정원, 北의 '네이버 복제 피싱사이트' 주의 당부  (0) 2023.06.14
마이크로소프트, 다단계 AiTM 피싱 및 BEC 공격에 대해 경고  (0) 2023.06.12
국정원, 국내 '포털사이트' 사칭한 北 해킹공격 주의 촉구  (1) 2023.05.26
요약 - 사이버 공격자들은 이러한 이메일을 노린 공격(랜섬웨어, 악성파일 유표 등)을 가장 많이 수행
- 표적 공격으로 공격 방법이 진화하면서 이메일 보호가 더욱 중요해짐
내용 - 이메일 공격
> 1994년 등장한 ‘스팸(Spam)’을 최초의 이메일 공격으로 지정
> 단순 스팸, BEC, 피싱, 스피어피싱, 이메일 하이재킹 등 다양한 공격을 통해 랜섬웨어 등의 악성파일 유포
> 방통위에 따르면 23년 상반기 스팸 신고·탐지건수는 484만건

- 이메일 공격 방식
> 기관이나 기업을 사칭해 악성파일 첨부 또는 악성링크를 삽입
> 코로나 이후 이메일을 활용한 업무가 증가
> 공격 이메일 중 89%는 이메일 보안 기술(SPF, DKIM, DMARC) 인증 확인을 통과
> 이메일 보안 솔루션 역시 발신자 및 첨부 파일이나 링크를 검증

- BEC(Business Email Compromise, 기업 이메일 침해)
> 알고 있는 또는 신뢰 하는 사람이나 조직에서 온 메일로 수신자를 속이는 여러 방법을 총망라하는 단어
> 지금까지 약 500억 달러(한화 약 67조)의 피해 발생
※ EAC(Email Account Compromise, 이메일 계정 침해): 모종의 방법으로 실제 메일 계정을 탈취해 메일 공격을 수행
※ EAC의 경우 공격자가 내부에 위치하기에 이메일 보안 기술이 작동하지 않음

- 이메일 보안 솔루션
> 이메일 공격은 개인은 물론 기업들도 대응하기 어려움
> 블랙리스트 기반 차단에서 랜섬웨어, 샌드박스, DRM, DLP 등의 기능을 포함
> 최신 이메일 보안 솔루션의 트렌드는 클라우드, 통합, 제로트러스트, 인공지능, 모의훈련
① 클라우드: 서비스 확장성, 경제적 비용, 운영 편의성 등의 이유로 클라우드 서비스로 전환이 이루어지는 중
② 통합: 여려 솔루션을 하나씩 사용하는 것을 M&A 등을 통해 통합하는 중
③ 제로트러스트: 대부분의 이메일 공격이 신뢰를 바탕으로 이뤄지기 때문
④ 인공지능: AI 및 머신러닝 기술을 활용해 탐지 기능을 적용
⑤ 모의훈련: 감염 시뮬레이션, 개인 대상 특정 콘텐츠, 시나리오 기반, 위반자 대상 연계 교육 등 정교하고 고도화된 방식으로 발전
※ 솔루션별 특징은 기사 참고

- 이메일 보안 솔루션 인식조사 결과
> 이메일 보안 솔루션 사용하지 않음 41.3%
> 이메일에 대해 특별히 관리하지 않음 24.5% 등

- 제로트러스트 관점 이메일 보안 체계 정비 시급
> 매년 사이버 공격은 증가하며, 공격의 통로로 이메일이 사용
> 더욱 이메일 보안을 강화하기 위해 노력해야 함
> 안전한 것은 없다는 대전제 하에 이메일 보안 체계를 점검하고 정비
기타 - 한국인터넷진흥원 임채태 침해대응단 단장 인터뷰
> 주요 이메일 보안 위협은 자산 탈취 목적 스피어피싱, 업무망 침투 목적 악성코드 감염형 공격
> 시장에 나와 있는 이메일 보안 솔루션은 발견된 악성 이메일 유형에 대해서 재발 방지 및 피해확산 최소화 역할을 충분히 이행
> 보안 솔루션 우회를 위해 고도화되는 만큼 정적인 탐지·차단 형태에서 행위분석 기반 탐지·차단 형태로 더욱 고도화할 필요

- 프루프포인트 코스피 200(KOSPI 200) 기업 대상 이메일 인증 프로토콜(DMARC) 분석 결과
> DMARC(Domain-based Message Authentication, Reporting & Conformance)는 사이버 범죄자가 이메일을 도용(스푸핑, Spoofing)하는 것을 막도록 설계된 이메일 인증 프로토콜
> DMARC 채택을 통해 이메일이 정해진 수신자에게 전달되기 전에 발신자의 신원을 인증하여 이메일 사기 위험을 감소
> DMARC의 3가지 보안수준: ‘모니터(Monitor)-미인증 메일 수신허용’, ‘검역(Quarantine)-미인증 메일 휴지통 또는 스팸 폴더로 이동’, ‘거부(Reject)-미인증 메일 차단’
> 11%의 기업이 DMARC를 채택하고 있지만, 기업마다 보안 수준 상이
> 거부(Reject) 1%, 검역(Quarantine) 1%, 모니터(Monitor) 9% 수준

- 이메일 보안수칙
> 모든 이메일의 유효성을 확인하고 직원, 파트너사 및 기타 이해관계자를 사칭한 잠재적 사기성 이메일 주의
> 로그인 정보를 요구하거나 메일 내 특정 링크를 클릭하지 않으면 이메일 서비스 또는 계정을 중단하겠다고 위협하는 공격 시도 주의
> 비밀번호 관리자(Password Manager) 등을 사용해 비밀번호 관리 유의

 

보안뉴스

 

[2023 이메일 보안 리포트] 사이버 공격의 시작은 이메일로부터 시작된다

스마트폰을 이용한 메신저부터 SNS 서비스까지 다양한 방법으로 우리는 소통하고 있지만, 아직 공적인 업무에서는 이메일(e-mail)을 더 많이 사용하고 있다. 그 때문에 사이버 공격자들은 이러한

www.boannews.com

 

“코스피 기업 99%, 고객·파트너사를 이메일 사기 위험에 빠뜨릴 수 있어”

코스피 200 기업의 99%가 기업 정보보호에 필수적인 이메일 인증 프로토콜을 갖추지 않았다는 연구 결과가 발표됐다. 기업이 사기성 이메일을 적극적으로 차단하지 않아 고객·파트너사 및 내부

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

[긴급] 260억 개 이상 사상 최대 해킹 데이터 저장소 발견…한국도 1만6천개 이상 사이트서 6천만개 이상 데이터 유출  (1) 2024.01.24
샤오치잉 활동했던 中 해커, ‘김천녹색미래과학관’ 디페이스 공격 이어 한국 정부기관 해킹 예고  (0) 2024.01.19
[단독] 중국 해커, 국내 IP 카메라 해킹... 4,500개 사생활 영상, 텔레그렘에 노출  (0) 2023.12.31
2024년 보안팀이 마주할 5가지 문제  (0) 2023.11.30
북한, 가짜 취업 면접 진행하며 소프트웨어 개발자들 노려 외 2건  (1) 2023.11.23
요약 - 구글 루커스튜디오(Looker Studio)를 악용한 피싱 공격 사례 발견
- 크리덴셜과 금융 정보를 대상으로 공격
내용 - 구글 루커스튜디오(Looker Studio)
> 웹 기반 데이터 정리 도구
> 다양한 형태의 정보를 차트나 그래프로 시각화
> 슬라이드쇼나 스프레드시트 등 루커스튜디오를 통해 여러 가지 형태로 정보를 정리할 수 있음

- 루커스튜디오를 활용해 이메일 보안 장치를 무력화시키는 피싱 사례 발견
> 구글에서 직접 전송된 것처럼 만들어져 있음
> 암호화폐 투자 전략에 관한 정보가 정리된 보고서가 링크로 연결
> 링크에 접속하면 로그인을 하도록 유도해 크리덴셜 및 금융 정보 탈취

- 공격자들이 구글의 메일 보안 시스템 우회 방법을 알아냈다는 뜻으로 해석할 수 있음
① 발신자 정책 프레임워크(Sender Policy Framework, SPF)
> 인증된 IP주소와 서버들을 지정해 이메일 도용을 방지
> ‘인증된 발신자’로 등록된 IP 주소로 메일을 보내기만 하면 우회가 가능

② 도메인키 인증 메일(DomainKeys Identified Mail, DKIM)
> 암호화 처리된 시그니처를 사용하여 이메일의 콘텐츠가 중간에 누군가에 의해 조작되지 않았음을 확인 (실제 메일이 출발한 도메인과, 글자로 쓰여 있는 도메인이 일치한다는 걸 확인)
> 정상 도메인에서 공격자의 메일이 전송시 우회 가능

③ 도메인 기반 메시지 인증, 보고, 적합성(Domain-based Message Authentication, Reporting, and Conformance, DMARC)
> SPF나 DKIM 검사에서 실패할 경우 도메인 소유주가 이메일 보안 시스템에서 어떤 조치를 취해야 할지 지정할 수 있도록 해 주는 기능
> 정상 도메인에서 공격자의 메일이 전송시 우회 가능
기타 SPF, DKIM, DMARC 모두 예전부터 이메일 보안 장치로서 불완전하다는 지적이 많았는데, 이런 공격 캠페인을 통해 실제적으로 증명되는 중
> 기존 이메일 보안 장치들로는 이메일을 완벽히 보호하기 힘든 것이 분명해짐
> 인공지능 기반 메일 보안 장치, 첨부파일 또는 문서 스캔 솔루션 등 새로운 공격기술의 등장에 따른 새로운 방어 기술의 도입이 필요

BEC 공격은 10년 전 최초 등장하여 현재까지 높은 인기를 유지하는 공격 방법
> 해킹 기술 없이도 실행할 수 있으며, 높은 수익률 때문에 BEC 공격을 계속해서 연마하고 발전시키는 중

 

보안뉴스

 

구글의 루커스튜디오 악용한 공격자들, 이메일 보안 장치들 농락

구글의 루커스튜디오(Looker Studio)라는 데이터 시각화 도구를 이용하는 수법의 피싱 공격이 발견됐다. 루커스튜디오를 활용해 이메일 보안 장치를 무력화시키는 것이다. 현재까지 공격자들의 궁

www.boannews.com

'보안뉴스' 카테고리의 다른 글

선관위 해킹 논란... 투개표 시스템 해킹 취약점 등 사이버보안 총체적 부실 확인  (0) 2023.10.12
'철통보안' 애플의 자신감..."아이폰15에 최강 보안 체계 구축"  (1) 2023.10.06
TLS 인증서의 유효 기간 줄인다는 구글, 어떻게 대처해야 할까?  (0) 2023.09.08
야심차게 준비한 크롬 웹스토어의 안전 장치, 잠깐의 실험만으로 뚫렸다  (0) 2023.09.08
사이버 생태계를 더 위험하게 만드는 골칫거리, 룻키트  (0) 2023.07.19

1. 개요

- BEC 공격자들이 탐지 기술을 회피하는 새로운 방법을 터득

- ‘불가능한 이동(Impossible Travel)’ 경고 기능을 악용
- MS는 현재 아시아와 동유럽의 해커들 사이에서 이러한 수법이 유행하고 있다고 경고

불가능한 이동(impossible travel)
- 현재 접속하려는 자가 물리적으로 불가능한 공간 이동을 감행했다고 알리는 것으로, 계정 탈취 시도를 탐지하고 어렵도록 하기위한 목적을 지님
- 접속을 시도하려는 사용자의 마지막 접속 위치와, 현재 접속 시도가 이뤄지고 있는 위치 사이의 시간과 거리를 계산하여 경고 발생
- 즉, 물리적으로 불가능한 접속 시도가 확인된 경우 경고를 발생시키는 것
- 불가능한 이동 경고가 발생한 경우 공격자들의 침투 가능성이 높음을 의미

 

2. 주요 내용

- 공격자들은 2가지 방식을 공격에 사용하여 ‘불가능한 이동’ 경고를 우회
① 불릿프로프트링크(BulletProftLink) 플랫폼: 대규모 악성 이메일 캠페인을 실시할 수 있도록 해 주는 플랫폼
② 피해자 지역 내 IP로 위조

 

- 2022년 FBI의 BEC 공격 피해 규모
> 2만 1천 건 이상의 신고 접수
> BEC 공격에 의해 피해는 최소 27억 달러

 

- BEC 공격은 임원 또는 관리자급의 직원을 대상으로 수행
> 금융 정보와 개인정보를 탈취하기 위해 재무 담당자와 HR 직원들을 자주 공략

 

- 지역 정보만 확인해서 접속 시도 트래픽의 악성 여부를 판단할 수 없다는 지적
> 브라우저 정보, 접속 후 행동 패턴, 특정 데이터의 활용 여부 등 악성을 판단할 때 참고해야 할 정보는 많기때문

 

3. 대응

- MS는 디마키(DMARC)를 활성화 권장

> 이메일 인증 프로토콜로, DMARC 레코드가 활성화된 메일을 수신하면 정책에 따라 메일을 검사

> 인증을 통과하면 전송되며, 통과하지 못할 경우 격리

> SPF(Sender Policy Framework)와 DKIM(DomainKeys Identified Mail)을 먼저 설정해야 함

SPF(Sender Policy Framework)
- 메일의 발신자가 정상적으로 등록된 서버인지 확인
- 메일 수신 시 발신지의 IP주소를 DNS 서버에 정의된 IP주소와 비교
- 발신자가 SPF 레코드(메일 서버의 정보와 정책을 나타냄)를 설정하여 발송
- 수신자는 발신자의 DNS에 등록된 SPF 레코드와 발송 IP를 대조하고 결과에 따라 수신여부 결정

DKIM(DomainKeys Identified Mail)
- 메일이 실제 도메인으로부터 발송되었는지 확인하여 이메일 위변조 여부를 판별
- 이메일 발송 시 발신자 측 메일 서버는 메시지 내용과 발신자의 개인키를 기반으로 DKIM-Signature를 생성 및 발송되는 메일 헤더에 첨부
- 메일 수신 시 수신자 측 메일 서버는 서명을 검증할 공개키를 DNS 서버에서 선택 및 서명 검증
- 서명의 유효성 검증에 실패할 경우 검사 결과가 ‘DKIM Fail’로 표시되며, 수신자의 메일 서버가 해당 메일을 스팸으로 차단

 

- 인증 관련 규정을 보다 엄격하게 설정

> 다중 인증 옵션을 활성화

 

- 기본 보안 수칙 준수

'취약점 > Social Engineering' 카테고리의 다른 글

마이크로소프트, 다단계 AiTM 피싱 및 BEC 공격에 대해 경고  (0) 2023.06.12
국정원, 국내 '포털사이트' 사칭한 北 해킹공격 주의 촉구  (1) 2023.05.26
북한 해킹 그룹 APT37(ScarCruft, Temp.Reaper) GitHub 저장소  (0) 2023.04.30
Browser in the Browser (BitB)  (0) 2023.04.20
랜섬웨어 그룹 사칭 피싱메일  (0) 2023.04.03

+ Recent posts

티스토리툴바