필자가 다년간 메일 서버 제품의 엔지니어로 근무하면서 느꼈던 부분이 바로 스팸 메일을 대하는 사람들의 태도입니다. "스팸은 그냥 지우면 그만이죠.", "좀 많을 때 짜증 나지만 별 상관 없어요" 라는 말을 하곤 합니다.

거의 모든 포탈에서는 자체적인 메일 서비스를 무료로 제공하지만, 실제 메일 서비스만 제공할 뿐이지 스팸을 차단하는데에는 그리 큰 예산이나 인력을 사용하고 있지 않은거 같습니다.

<필자가 사용하는 메일 서비스의 받은 편지함 부분. 뉴스레터 한 두 통을 제외하고는 모두 스팸>


이제 스팸 즉 이메일을 통해 사용자의 PC를 공격하는 방식에 설명하고자 합니다. 물론, 대부분 알고 있을 수도 있을 것입니다.

  • 피싱 - 메일의 본문에 악성 코드가 포함된 URL을 삽입하고, 사용자가 이를 클릭하는 과정에서 피싱 공격이나 악성 코드를 다운로드하게 하는 방식.
  • 감염 - 메일의 첨부 파일에 HTML이나 실행 파일을 포함시키고, 사용자가 이를 클릭하여 실행하게 함으로써 PC에 악성 프로그램이 감염되도록 하는 방식


이러한 공격의 사례를 살펴 보면 다음과 같습니다.

사례 1. 피싱:메일의 본문에 교묘하게 위장된 사이트에 방문하도록 유도하는 시나리오

네이버 DDOS 공격 최초 보고 - 우리은행 BC카드 이용대금명세서로 위장한 이메일 주의
출처: http://viruslab.tistory.com/1923


 

사례 2. 감염: 메일의 첨부파일에 포함된 HTML/실행파일을 실행하게 함으로써 공격

네이버 DDOS 공격 최초 보고 - 우리은행 BC카드 이용대금명세서로 위장한 이메일 주의

출처: http://viruslab.tistory.com/1922



즉, 스팸은 사용자의 실수를 이용하기 때문에, 보통 사용자 책임으로 돌리기 쉽습니다만, 사용자가 모두 책임지기에는 너무나 억울할 수 밖에 없습니다. 보낸 사람을 일일이 확인할 수도 없을 뿐더러, 대부분 보안에 대해 충분한 지식을 가지고 있지 못한 경우가 대부분입니다.


따라서, 스팸에 대한 문제는 바로 메일 서비스를 제공하는 회사(포탈)이 어느 정도 책임을 지고 해결을 해야 한다고 봅니다. 

특히, 일반 회사와 같이 독자적인 메일 시스템을 구축하는 경우에 메일에 대한 안티 스팸/바이러스 장비나 소프트웨어를 구비하지 않는 경우가 대부분입니다. 이러한 경우에는 당연히 구비해야 하며, 사용자 수가 50명 미만인 경우에는 구글이 제공하는 무료 서비스를 이용하는 편이 훨씬 낫습니다.

참고로, 2번째와 같이 첨부파일로 공격하는 형태는 메일 서버의 필터링 기능에서 html, exe와 같이 위험한 확장자를 차단하는 방법을 동원해도 충분히 막을 수 있습니다. 구글에서도 실행 파일을 첨부할 수 없게 되었습니다.

감사합니다.









reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    어제 오바마가 미국 44대 대통령에 당선되었습니다. 스패머들은 이러한 이슈를 그냥 넘기지 않습니다. 바로 금전적인 이익을 거둘 수 있는 스팸 메시지의 제목으로 선량한 시민의 눈길을 잡아 끕니다.

    지난 수요일, 보안 업체인 소포스랩스(SophosLabs)에서 오바마의 대선 승리에 대한 뉴스 및 비디오를 보여준다는 대규모의 스팸 공격을 발견했습니다.

    소포스랩스는 영국에 위치한 안티스팸 및 안티 바이러스 전문 업체입니다.

    이메일은 보낸 사람이 "news@president.com"이고 제목은 "Obama win preferred in world poll"로 되어 있습니다.

    이메일 본문에는 "amazing speech"라는 링크를 클릭하도록 요구하고 있으며 만약 사용자가 이를 클릭하는 경우(특히 아도브 플래시 9를 사용하는 경우)에는 시스템을 원격에서 조종할 수 있는 악성 코드에 감염됩니다. 악성 코드의 이름은 Mal/Behav-027로 이름지었습니다.

    소포스랩스의 기술 컨설턴트인 그래함 클루레이(Graham Cluley)는 블로그에서 "사이버 범죄는 위험한 사이트에서 시작된다며 내 추측으로는 오바마의 사례를 볼 때 크래커는 인터넷 사용자를 감염되키기 위해 탐욕을 드러 낸다고' 언급했습니다
    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus


      인터넷을 사용하면서 가장 편하게 느껴지는 부분이 바로 메일이다. 또한, 가장 불편하게 만드는 부분이 스팸메일이다.

      메일은 우리 생활 아니 업무에 있어어 가장 핵심적인 통신 매개체 역할을 해 주고 있다.

      보안 벤더인 소포스에서는 2007년도 3/4분기에 가장 많이 스팸을 보낸 나라의 목록을 공개했다.

      이 정보는 소포스의 스팸 채집 기법인 스팸 트랩에서 수집된 모든 스팸메시지를 검토한 결과이다.
      1. 미국 - 28.4%
      2. 대한민국 - 5.2%
      3. 중국(홍콩 포함) - 4.9%
      4. 러시아 - 4.4%
      5. 브라질 - 3.7%
      6. 프랑스 - 3.6%
      7. 독일 - 3.4%
      8. 터키 - 3.2%
      9. 폴란드 - 2.7%
      10. 영국 - 2.4%
      11. 루마니아 - 2.3%
      12. 멕시코 - 1.9%

      대륙별로 비교하면 다음과 같다.

      1. 북미 - 32.3%
      2. 아시아 - 31.1%
      3. 유럽 - 24.8%
      4. 남미 - 9.1%
      5. 아프리카 - 2.1%
      6. 기타 - 0.9%

      여러분에 메일을 사용하면서 어쩔 수 없이 보게 되는 스팸. 어디서 많이 왔는가?

      출처: http://www.newswire.ca/en/releases/archive/October2007/24/c7637.html

      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        비트디펜더(BitDefender)는 메이저 안티 바이러스 벤더 중의 하나로 안티 바이러스 솔루션 이외에도 데이터 보안 솔루션을 제공하고 있다. 최근 2007년도 전반기 이미지 및 텍스트 기반의 스팸을 분석한 자료를 발표하였다.

        2007년도 상반기에는 주로 주식 관련 스팸이 주류를 이뤘으며 이미지 기반의 스팸은 중간 정도 점유율을 보이고 있었다. 성 기능 관련 약물은 2 등을 차지했다.

        제목으로 분류한 스팸의 유형
        1. 주식 - 75%
        2. 약물(성 관련) - 8.1%
        3. 짝퉁 시계 - 5%
        4. 모기지론 - 4%
        5. 피싱 - 2%
        6. 포르노 - 2%
        7. 학위 졸업장 - 1%
        8. 약물(다이어트 관련) - 0.9%
        9. 여행 - 0.5%
        10. 소프트웨어 - 0.5%
        11. 기타 - 1%

        이미지 기반의 스팸은 증권 관련하여 꾸준히 증가하고 있으며, 텍스트 기반의 스팸은 주로 약물에 관련된 내용을 담고 있었다. 텍스트 기반의 스팸 중 가장 많은 주제는 바로 성 관련 약물이며 뒤를 이어 짝퉁 시계가 차지했다.

        텍스트 기반의 스팸의 유형
        1. 약물(성 관련) - 42.5%
        2. 약물(다이어트 관련) - 13.8%
        3. 짝퉁 시계 - 9.1%
        4. 모기지론 - 7.4%
        5. 피싱 - 4.2%
        6. 전자 제품 - 3.8%
        7. 여행 - 3.6%
        8. 주식 - 3.6%
        9. 소프트웨어 - 2.5%
        10. 학위 졸업장 - 2.1%
        11. 허가증 - 1.5%
        12. 만남 주선 - 0.5%
        13. 기타 - 5.4%

        특히 2007년도 중반기에는 PDF로 된 새로운 이미지 기반의 스팸이 등장하기 시작했다. 스팸 메시지에는 PDF 파일을 첨부 파일로 제공하며 대부분 컴퓨터에서는 아크로뱃 리더 등이 깔려 있어 손쉽게 PDF 파일을 열어 볼 수 있다.

        최근의 스팸 유형은 진단하기 어렵도록 압축을 하거나, 파서를 속이기 위해 변형한 HTML 코드를 사용하곤 한다.

        출처: http://home.businesswire.com/portal/site/google/index.jsp?ndmViewId=news_view&newsId=20070814005179&newsLang=en
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          2007년 7월 초, 기존의 이미지 기반의 스팸의 대를 이어 PDF 문서를 첨부파일로 함께 배달되는 새로운 스팸 유형이 등장했다. 여기에서는 그냥 PDF 스팸이라 칭한다.

          PDF 스팸 메시지를 분석해 보면 다음과 같은 일정한 형태가 나타난다.(이 정보는 변경될 수 있으므로 참조용으로만 보세요)
          • 제목에 Re: 등으로 시작하고 첨부하는 PDF 문서의 이름만 포함(변경될 가능성이 많습니다)
          • 메일 발송 프로그램은 썬더버드 1.5를 사용한다는 헤더 내용 포함
          • 본문이 없음
          • 첨부파일은 BASE64로 인코딩

          사용자 삽입 이미지

          전통적인 스팸 메시지를 차단하는 가장 간단한 필터링 방법은 제목, 본문, 첨부 파일 등에 특정한 단어가 있을 때 이를 스팸으로 분류하는 것이다. 이러한 스팸이 차단되기 시작하자 스패머들은 이미지 기반의 스팸이라는 새로운 기술을 들고 나왔다. 이미지 기반의 스팸은 본문 가운데 그림을 넣어 그림 속에 광고 내용을 표현하는 것으로 이러한 스팸을 차단하기 위해서는 이미지를 분석하여 스팸 여부를 진단하는 OCR 기능을 가진 고가의 스팸 필터링 장비가 필요하다.

          현재 이미지 기반의 스팸을 분석하여 차단하는 기술이 점차 보편화되자 스패머들이 들고 나온 방법이 PDF 문서, 워드 문서, 엑셀 문서를 첨부로 보내는 것이다.

          그리고, 일반적으로 컴퓨터를 자주 사용하는 사람은 아크로뱃 리더 정도는 깔아서 쓰는 것이 대부분이며, 아웃룩이나 아웃룩 익스프레스로 메일의 첨부파일을 열더라도 별도의 설치 작업없이 바로 열어 볼 수 있다. 따라서, 스패머들은 아무런 제제를 받지 않고 목적을 달성할 수 있게 된다.

          그렇다고 해서 스패머가 PDF 스팸을 직접 발송하는 것도 아니다. 실제 스팸을 분석해 보면 증권 관련 PDF 스팸인 "pump-and-dump" 스팸은 W32/Strain 웜에 감염된 컴퓨터에서 발송된 것을 확인할 수 있다. 즉, 웜에 감염된 일반 PC에서 이러한 PDF 스팸을 발송하고 있던 것이다.

          특히, PDF 스팸 메시지의 내용이나 첨부 파일을 확인한 결과, 현재로는 단지 문서로서의 역할만 하고 있다. 하지만, 일부 보안 블로그/사이트에서는 다음과 같이 세 가지 사항을 경고하고 있다.

          • 첨부파일에 .exe 파일을 추가하여 사용자 컴퓨터에서 감염 등의 동작 실행
          • PDF 문서 자체에 자바스크립트를 동작시킬 수 있음
          • 이미지기반의 스팸에 비해 메시지의 크기가 현저하게 크므로 사용자 메일 박스에 부담을 줄 수 있음

          1. 첨부파일에 .exe 파일을 추가하여 사용자 컴퓨터에서 감염 등의 동작 실행 - 이 방법은 이미 최신의 아웃룩 버전 등에서는 사용할 수 없도록 무력화된 방법이다. 하지만, 모든 컴퓨터가 이러한 보안 정책을 가지고 있는 것은 아니므로 주의해야 한다.

          2. PDF 문서 자체에 자바스크립트를 동작시킬 수 있음 - 실제 이 부분은 보안상 매우 민감한 사안에 해당한다. 우리가 널리 사용하는 웹 브라우저에서도 자바 스크립트로 인해 많은 공격이 이루어지고 있기 때문에 PDF에서도 이러한 공격이 나타날 가능성이 매우 높다.

          3. 이미지기반의 스팸에 비해 메시지의 크기가 현저하게 크므로 사용자 메일 박스에 부담을 줄 수 있음 - 기존의 이미지 기반의 스팸은 대략 10kb 미만의 크기를 가지고 있지만, PDF 스팸의 경우 보통 30kb 이상의 크기이다. 만약 사용자의 쿼터가 10mb라고 가정한다면 PDF 스팸 300 통이면 메일박스가 꽉차서 무용지물로 만들 수 있다. 스팸 메시지의 크기가 커진다면 그만큼 메일 서버의 부하도 증가한다고 볼 수 있다. 메일 스토리지뿐만 아니라 메일 서버끼리의 트래픽, 메일을 사용자가 가져갈 때의 트래픽 모두 적어도 3배 이상 증가한다는 것은 명약관화하나 사실이다.


          중요한 사실 한가지, 앞으로 아크로뱃/아크로뱃 리더의 취약점을 이용한 익스플로잇이 출현하거나 제로데이 웜이 출현할 경우에는 PDF 스팸은 스팸의 범위를 넘어서 바이러스/웜의 영역까지 침투해 들어올 수 있다는 점이다.

          손쉽게 예를 들어 보자면, 지난 3월 6일에 시큐니아(www.secunia.com)에서 발표한 아크로멧 리더의 취약점을 살펴 보자. 여기서 발생하는 취약점은 "file://"이라는 URL을 PDF 문서 내에서 동작할 수 있게 한다는 것으로 공격자가 마음만 먹는다면 컴퓨터에 있는 특정한 파일의 정보를 가져 갈 수 있다. 해킹 방법은 여기를 클릭해서 참고하도록 한다.


          현재까지 설명한 PDF 스팸은 아직은 위험한 단계는 아니지만, 적어도 보이는 족족 삭제하는 것이 가장 좋은 방법이며, 특히 윈도우 사용자들은 마이크로소프트의 보안 패치는 열심히 하지만 다른 응용 프로그램의 패치는 그리 중요하게 여기지 않는 경향이 있다. 따라서, 아크로뱃/아크로뱃리더 사용자들은 종종 업데이트 여부를 확인하여 보안 취약점을 해결하는 것이 가장 중요하다.


          감사합니다.

          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            중국은 막대한 인구수, 경제력 등을 바탕으로 빠르게 경제 성장을 이룩해 가고 있지만, 그 폐혜도 만만치 않습니다. 최근 조사한 연구에 따르면, 전세계에서 발생하는 악성 프로그램의 약 40%가 북경에서 발원한다고 합니다.  이러한 수치는 지난 5월의 21%에 비해 놀랄만큼 증가한 것이라고 보안 벤더인 Network Box Corp의 보안 관리자인 Simon Heron이 밝혔습니다.

            또한, 중국의 북경발 스팸이 전세계에서 가장 많이 발송되고 있어 약 11%정도를 차지하고 있으며 지난 5월달에는 5%정도에 머물렀다고 합니다.

            이러한 결과를 얻기 위한 연구작업은 이 회사가 공급하고 있는 보안 장비를 사용하는 약 700 여개의 고객사에서 전송한 이벤트 로그를 분석한 결과라고 합니다.
            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus

              오늘 네이버에서 메일 한통을 수신하였는데, 아래 그림과 깉이 일반적인 메일이었습니다. 그런데, 내용을 자세히 보니, 약간의 낚시질을 하는 듯한 행태가 보여 이 아이디를 검색해 보니,
              사용자 삽입 이미지

              진짜 낚시 같은 글이 하나 올라와 있네요.
              사용자 삽입 이미지

              http://www.csbang.com/becommunity/community/index.php?from_market=Y&pageurl=board&mode=view&b_no=83&bt_code=33&page=3

              이 메일이 정상 메일 일까요? 아니면 스팸 메일 일까요?

              오후에 갑자기 고민이 됩니다.

              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus


                Web Analytics Blogs Directory