안녕하세요, 기원테크입니다!
오늘은 [기·이·한] 세 번째 시리즈입니다.
'기·이·한'이란?
기원테크의 이메일 보안 한 주 소식으로,
고도화되는 이메일 공격에
대응할 수 있는 방법을
기원테크 이메일 보안 솔루션을 통해
제시해 드립니다.
바로 전 시리즈에서는
전처리 구간에 대해서
설명을 드렸는데요.
복습 개념으로 다시 한번
정리해 드리겠습니다.
기원테크 이지플랫폼(EG-Platform)의
전처리 구간에서는 기존에 알고 계신
스팸 차단 솔루션에서의 탐지보다
더 넓은 영역을 탐지합니다.
스팸 메일 차단, 광고성 메일 차단,
RBL, SURBL, 대량 메일 공격 차단,
불법 릴레이, 네트워크 사전 차단을
전처리 구간에서 진행하고 있습니다.
그럼 다음 구간에서는
어떤 기능을 수행할까요?
전처리 구간 다음에는
필터링 및 차단 구간으로
수신된 메일의 발신자 진위 여부를 확인하고,
실제 악성 요소에 대해서
탐지하고 격리하고 있으며,
메일의 헤더나 발송지, 그리고
도메인의 위변조 여부를
검출하고 있습니다.
발신자 진위 여부 검사에
대해 설명드리기 전에,
SPF 레코드가 무엇인지
알고 계신가요?
SPF는 Sender Policy Framework의 약자로
발송 서버 등록 제도를 뜻합니다.
쉽게 말하면 해당 도메인으로
발송하는 서버의 IP를 미리 등록해
SPF 레코드에 등록되지 않은
IP에서 발송 시
도메인 위조를 의심할 수 있는
정책입니다.
EG-Platform의 필터링 및 차단 구간을
담당하는 ReceiveGUARD에서는
SPF 정책을 지키지 않은 메일에 대해
[차단]이라는 필터 로그로 분류하고 있습니다.
필터링 결과값인 필터 로그는
운영 정책 설정에 따라
ReceiveGUARD에서 차단하거나
사서함으로 전달하도록 설정할 수도 있습니다.
발신자 진위 여부 검사에는
한 가지가 더 있는데요,
바로 발신자의 도메인과
통신 도메인이 다를 경우도 검출합니다.
예를 들어 발신자 도메인은 kiwon.com인데,
실제 메일을 발송한 통신 도메인은
newsletter.com인 경우가 있습니다.
이런 경우는 광고 대행업체에서
뉴스레터를 대신 발송해 주는 경우,
많이 발생합니다.
필터링 및 차단 구간에서는
이때 [경고] 필터 로그로 분류합니다.
기업에 따라 SPF 정책을 지키지 않거나
발신 도메인과 통신 도메인이 다르지만,
이러한 메일이 정상 업무 메일일 때
해당 정보에 대해서 ‘허용’하여
신뢰도 검사를 진행합니다.
추후 학습한 정보와
일치하는 정보로 수신 시
발신자 진위 여부 검사에서
통과되지만,
학습한 정보와 다르게
메일이 계속 수신될 경우
신뢰도가 점점 떨어져
80% 미만으로 떨어질 시
차단됩니다.
그리고 앞서 말씀드렸듯이
수신 메일 내
악성 요소에 대해서도
검사를 진행하는데요.
잘 알고 계시는 첨부파일!
필터링 및 차단 구간에서는 첨부파일을
자체 개발한 가상 서버에서 열어보고
3단계 검사를 진행합니다.
1단계 백신 검사
2단계 환경 변화 검사
3단계 행위 분석검사
위 3단계를 통해 첨부파일에 숨겨진
악성 요소까지 탐지를 하고 있습니다.
메일에서 첨부파일만 문제가 있을까요?
아닙니다!
URL 링크도 악성 메일 공격으로 사용되는
대표적인 케이스입니다.
본문에 포함된 URL 링크는
정상 링크일 수 있지만
on-road 스크립트 형태의 URL인 경우
N차에서 악성 링크가 실행될 수 있습니다.
이때 어떤 바이러스가 다운로드 되거나
피싱 사이트로 이동되는 경우
아마 한 번쯤 경험해 보신 분들도 계실 텐데요.
필터링 및 차단 구간에서는 URL 링크가
N차에서 악성으로 탐지가 된 경우
해당 링크를 비활성화하여
사용자에게 안전하게 전달드리고 있습니다.
첨부파일, URL 링크의 경우는
악성 요소가 눈에 보이는
전형적인 공격 패턴 중 하나였습니다.
그러나 요즘은
바로 눈에 보이지 않는
사기성 메일에 주목하고 있는데요!
헤더가 변조되는 경우,
이전과 발송지가 변경되는 경우,
유사한 도메인으로 수신되는 경우,
이 3가지 중 복합적으로 탐지되는
경우까지 탐지합니다.
해커가 헤더를 변조하여
답장 시 답장 받는 주소가 변경될 시
전혀 다른 메일 주소와
메일을 주고받다가
사기 메일 피해를 입을 수 있습니다.
또한 기존 거래처의 메일 주소지만
해커에게 탈취되어 발송된 메일의 경우
기존 발송 경로와 달라질 수 있습니다.
또한 사칭 사기 메일 공격으로
많이 사용되고 있는 수법인
유사 도메인의 경우
필터링 및 차단 구간에서
기업별 수신 도메인의
학습 데이터를 구축해서
유사한 도메인의 메일을 수신 시
기업별 학습 DB 기반으로
도메인의 문자열을 비교해
검출해 내고 있습니다.
악성 요소가 없이
텍스트로만 이루어진
메일이라고 할지라도
헤더 위/변조, 발송지 위험,
유사 도메인으로 들어와
메일을 주고받게 되면
'언제', '어디서', '어떻게', '왜'
해커한테 당했는지 알 수가 없습니다.
그렇기 때문에
사전에 예방을 할 수 있도록
필터링 및 차단 구간에서는
관리자, 사용자에게 안내하여
사기 메일을 대비하고 있습니다.
오늘은 수신부터 발신까지
이메일 보안 전 영역에 대응하는
이지플랫폼(EG-Platform)의
‘필터링 및 차단 구간’에 대해
알아봤는데요.
최근에는 바이러스, 랜섬웨어 같은
악성 요소로 공격하는 방식뿐만 아니라
믿을 수 있는 계정을 사칭하여 사기 메일을
보내오는 공격 또한 증가하고 있습니다.
이에 대비하기 위해
악성 요소 검사뿐만이 아닌
발신자 진위 여부, 메일 위/변조 여부까지
다양한 범위로 검사하여
사용자가 이메일 공격을
인식할 수 있도록 해드리고 있습니다.
이메일 보안 솔루션에 대해
더 궁금하신 점이나 문의사항이 있으시면
언제든지 연락 주세요!
기원테크 카카오톡 채널을 추가하시면
다양하고 유익한 정보를
빠르게 받아보실 수 있습니다.
한국인터넷진흥원(KISA) 사칭 피싱 메일 유포 주의!
안녕하세요! 기원테크입니다! :D 어느덧 5월 중순에 접어들었습니다. 밖으로 놀러 가기 좋은 날씨가 딱 지...
blog.naver.com
[기·이·한] 시리즈 2_지긋지긋한 스팸메일! EG-Platform 전처리 구간으로 해결하세요!
'기·이·한'이란?기원테크의 이메일 보안 한 주 소식으로,고도화되는 이메일 공격에 대응할 수 있는 방법을기원테크 이메일 보안 솔루션을 통해제시해 드립니다. 안녕하세요기원테크입니다!
kiwontech-eg.tistory.com
'기원테크 > 이메일보안' 카테고리의 다른 글
| "받은 편지함이 꽉 찼습니다" 피싱메일 주의보! 이지플랫폼이 지켜드립니다 (3) | 2024.07.19 |
|---|---|
| 공격 수법이 광범위해지는 이메일 공격.. 이지플랫폼으로 대응하세요! (0) | 2024.07.18 |
| 한국인터넷진흥원(KISA) 사칭 피싱 메일 유포 주의! (0) | 2024.07.06 |
| [기·이·한] 시리즈 2_지긋지긋한 스팸메일! EG-Platform 전처리 구간으로 해결하세요! (0) | 2024.07.05 |
| [기·이·한] 시리즈 1_이메일 통합 보안 솔루션 "EG-Platform" (1) | 2024.07.03 |
