꼰머의 보안공부

1. 개요

- BEC 공격자들이 탐지 기술을 회피하는 새로운 방법을 터득

- ‘불가능한 이동(Impossible Travel)’ 경고 기능을 악용
- MS는 현재 아시아와 동유럽의 해커들 사이에서 이러한 수법이 유행하고 있다고 경고

불가능한 이동(impossible travel)
- 현재 접속하려는 자가 물리적으로 불가능한 공간 이동을 감행했다고 알리는 것으로, 계정 탈취 시도를 탐지하고 어렵도록 하기위한 목적을 지님
- 접속을 시도하려는 사용자의 마지막 접속 위치와, 현재 접속 시도가 이뤄지고 있는 위치 사이의 시간과 거리를 계산하여 경고 발생
- 즉, 물리적으로 불가능한 접속 시도가 확인된 경우 경고를 발생시키는 것
- 불가능한 이동 경고가 발생한 경우 공격자들의 침투 가능성이 높음을 의미

2. 주요 내용

- 공격자들은 2가지 방식을 공격에 사용하여 ‘불가능한 이동’ 경고를 우회
① 불릿프로프트링크(BulletProftLink) 플랫폼: 대규모 악성 이메일 캠페인을 실시할 수 있도록 해 주는 플랫폼
② 피해자 지역 내 IP로 위조

- 2022년 FBI의 BEC 공격 피해 규모
> 2만 1천 건 이상의 신고 접수
> BEC 공격에 의해 피해는 최소 27억 달러

- BEC 공격은 임원 또는 관리자급의 직원을 대상으로 수행
> 금융 정보와 개인정보를 탈취하기 위해 재무 담당자와 HR 직원들을 자주 공략

- 지역 정보만 확인해서 접속 시도 트래픽의 악성 여부를 판단할 수 없다는 지적
> 브라우저 정보, 접속 후 행동 패턴, 특정 데이터의 활용 여부 등 악성을 판단할 때 참고해야 할 정보는 많기때문

3. 대응

- MS는 디마키(DMARC)를 활성화 권장

> 이메일 인증 프로토콜로, DMARC 레코드가 활성화된 메일을 수신하면 정책에 따라 메일을 검사

> 인증을 통과하면 전송되며, 통과하지 못할 경우 격리

> SPF(Sender Policy Framework)와 DKIM(DomainKeys Identified Mail)을 먼저 설정해야 함

SPF(Sender Policy Framework)
- 메일의 발신자가 정상적으로 등록된 서버인지 확인
- 메일 수신 시 발신지의 IP주소를 DNS 서버에 정의된 IP주소와 비교
- 발신자가 SPF 레코드(메일 서버의 정보와 정책을 나타냄)를 설정하여 발송
- 수신자는 발신자의 DNS에 등록된 SPF 레코드와 발송 IP를 대조하고 결과에 따라 수신여부 결정

DKIM(DomainKeys Identified Mail)
- 메일이 실제 도메인으로부터 발송되었는지 확인하여 이메일 위변조 여부를 판별
- 이메일 발송 시 발신자 측 메일 서버는 메시지 내용과 발신자의 개인키를 기반으로 DKIM-Signature를 생성 및 발송되는 메일 헤더에 첨부
- 메일 수신 시 수신자 측 메일 서버는 서명을 검증할 공개키를 DNS 서버에서 선택 및 서명 검증
- 서명의 유효성 검증에 실패할 경우 검사 결과가 ‘DKIM Fail’로 표시되며, 수신자의 메일 서버가 해당 메일을 스팸으로 차단

- 인증 관련 규정을 보다 엄격하게 설정

> 다중 인증 옵션을 활성화

- 기본 보안 수칙 준수