정상적이지 않은 메일은 광고 메일, 악성코드 포함 메일, 소셜 엔지니어링 활용 메일 등 사용자에게 불필요 한 스팸 메일에 포함됩니다. 악성코드(랜섬웨어)와 같이 사용자에 큰 피해를 발생시키는 악성 메일을 탐지하고 차단하기 위해 오랫동안 보안 탐지기술이 연구&개발되었습니다. 그러나 보안 탐지 기술이 발전함에 따라 그 보안 기술을 우회하는 시도가 항상 있으면서 현재 보안 탐
지 기술을 통하더라도 악성 메일이 최종 사용자에게 도달하기도 합니다.
현재 확인되는 스팸 메일 유통 정보 및 악성 메일 정보와 함께 보안 탐지 기술을 우회하는 원인 파악과 해결 방법을 제시합니다.
비정상 메일의 분류
- 광고 메일 - 악성코드 포함 메일 - 소셜 엔지니어링 활용 메일 메일의 '정상' 기준을 정하는 것은 매우 어려운 일입니다. 정상 기준을 판단하는 것은 개인에 따라 다르기 때 문입니다. 그래서 ‘비정상' 메일의 조건을 이해하고 그 범위를 정리하면서 실제 악의적인 목적을 가진 메일 이 어떻게 탐지되고 있는지 혹은 왜 탐지를 피해 사용자에게 도달하는지 알 수 있습니다.
광고 메일
적절한 메일 시스템 설정을 하지 않으면 무분별한 광고 메일이 쌓인 메일 함을 보게 됩니다. 광고 메일은 마케팅 방법의 하나로 현재까지 활용되고 있고 사용자가 수신 동의를 철회하기 전까지 꾸준히 수신 되는 메일 중 하나 입니다.
하지만 광고 메일이라고 스팸 메일로 단정할 수 없습니다. 사용자가 이미 수신 동의한 경우 발송자는 합법적으로 광고 메일을 발송할 수 있고 수신자도 필요로 인해 광고 메일 수신을 동의하고 광고 메일을 받기를 원할 수 있기 때문입니다. 기본적으로 광고 메일을 스팸 메일로 판단하는 경우는 발송자가 수신 동의 없이 영리 목적으로 광고성 정보에 해당하는 메일입니다.
현재 방송통신위원회와 한국인터넷진흥원은 매년 2회상반기/하반기) 스팸 유통현황을 조사를 실행하고 있으며 이를 통해 매년 스팸 메일 유통 현황을 알 수 있습니다.
“2021년 하반기 스팸 유통현황” 자료의 국내외에서 발송된 메일 중에 스팸으로 탐지한 메일입니다. 이 자료의 데이터는 가상의 이메일 주소 약 13만개 계정으로 수신되는 메일 중 영리 목적의 광고성 정보에 해당 하는 메일을 모두 스팸으로 정의합니다. 가상의 이메일 주소는 이용자에게 할당된 이력이 없어서 정보통신망법 제50조 제1항에 따른 수신 동의를 받을 수 없는 메일 계정입니다. 주의 깊게 검토할 것은 매년 탐지 된 스팸메일이 줄어든다는 사실입니다. 탐지 된 스팸 메일이 줄어든다는 것은 스팸 메일을 발송하는 횟수가 줄어들었거나 현재의 스팸 탐지 우회 기술이 발전했을 가능성이 있기 때문입니다. 2021년 12월 기준 대한민국의 20대~40대 인구 수는 2,154만 명입니다. 동일 비율로 개인이 평균 1개의 이 메일 계정을 소유하고 유통 현황을 평균 값이라 가정하면 2021년 한해 41억 회의 탐지 될 수 있는 스팸 메일이 발생한 셈입니다. 또한 자료의 스팸 메일은 광고의 성격을 가진 비정상 메일들로 이루어져 있습니다.
악성코드 포함 메일
2018년 기준 전체 악성코드 배포 중 91%가 이메일을 통해 이루어졌고 현재도 악성코드를 배포하는 방법 중 많은 비율을 차지하고 있습니다. 메일에 포함된 악성코드는 본문과 첨부파일 내부에 숨겨져 있습니다. 많은 사례에서 확인할 수 있는 이메일 속의 악성 코드는 특수하게 조작된 첨부파일입니다. 고전적인 방법으로 실행 파일의 아이콘과 이름을 문서 파일과 비슷하게 변경하여 마치 문서 파일인 것처럼 사용자를 속입니다. 또한 문서 파일 내부에 악성코드를 삽입하여 발송되는 악성 메일도 존재합니다. 특히 기업의 경우 문서 파일을 다루는 경우가 많아서 이런 악성코드가 포함된 문서 파일은 BEC공격에 사용됩니다. # BEC : 기업 이메일 침해
소셜 엔지니어링 활용 메일
소셜 엔지니어링은 사용자의 신뢰를 기반으로 속이는 행위를 목적으로 둡니다. 인간의 심리를 이용하여 신뢰를 구축하고 이를 바탕으로 정보 탈취를 탈취하거나 악성코드를 실행하도록 유도합니다.
악성코드 포함 메일을 탐지하기 위해 고도의 기술을 요구하는 보안 장치를 사용하는 반면 소셜 엔지니어링을 통해 공격을 시도할 경우는 일부 기술적 보안 기술을 우회합니다. 특히 본문의 악성 링크의 경우 HTTPS 이용한 패킷 암호화를 하거나 특정 기간만 잠시 사용되는 도메인을 활용하여 보안 제품의 탐지기능을 우회 할 수 있습니다.
정상으로 위장한 악성메일
많은 보안 시스템의 탐지 기술은 데이터 패턴 필터 방식을 사용합니다. 데이터에 악의적인 동작이 실현되는 코드나 기존 악성 동작의 변종 가능성이 있는 코드를 진단합니다. 진단 결과 악성으로 확인되면 적절한 보안 조치를 수행하는 것으로 데이터를 차단하거나 백업,삭제 그리고 보안 조치 결과를 관리자 (사용자) 에게 보고합니다. 이상적인 악성 메일 탐지 필터 기술은 모든 정상 메일을 자유롭게 통과하고 모든 악성 메일은 탐지하여 격리 등의 보안 조치하는 기술입니다. 지금까지 보안 탐지 기술은 이상적인 악성 탐지 기술과 그 격차를 좁히기 위해 다양한 기술 연구개발을 수행해 왔습니다. 하지만 이상적인 악성 메일 탐지필터 기술에 도달하기는 쉽지 않습니다. 보안이 고도의 기술력으로 발전하는 반면 그 보안 기술을 우회하는 공격 기법도 다양하게 시도 되었기 때문입니다. 그 결과 많은 악성 메일을 탐지/차단하고 있지만 여전히 악성 메일이 최종 사용자에게 전달되는 상황이 일어나고 그로 인해 실제 피해가 발생하고 있습니다.
악성 메일 탐지필터 기술을 우회하고 최종 사용자에게 전달되는 악성 메일은 악성 메일 전체 중에 아주 적은 일부일 수 있습니다. 하지만 그 적은 수의 악성 메일을 통해 랜섬웨어와 같이 감염 즉시 조직의 전체 디지털 자산이 피해를 받을 수 있습니다.
악성 메일 탐지 필터 기술을 우회하는 일부 메일들은 소셜 엔지니어링을 통해 공격을 시도하는 경우가 많습니다. 위험한 피싱 링크 정보도 없고 첨부파일도 없으며 오로지 텍스트로만 이루어진 메일의 경우 일부 메일 보안 제품을 제외하고는 쉽게 우회하게 됩니다.
악성 메일이라고 모두 첨부된 악성 파일이나 문서 그리고 피싱을 위한 URL을 사용하지 않습니다. 최근 들어 평문의 메일이 확인되며 사용자에게 협박용 내용을 담고 있습니다. 메일 내부의 첨부파일이나 본문의 URL 등을 확인하여 악성코드나 스피어 피싱과 같이 고도의 해킹 공격에 대응하는 경우가 많습니다. 악성 메일이 흔하게 사용하는 방법이기 때문에 오랜 시간 동안 관련 보안 연구 개발이 진행되면서 현재 많은 악성 메일을 탐지할 수 있게 되었습니다. 하지만 여전히 해킹 공격 방법 중 상대적으로 현재의 보안 기술에 영향을 덜 받는 소셜 엔지니어링을 이용한 공격은 악성코드 탐지를 위한 패턴 분석이나 악성 URL을 확인(RBL)하거나 직접 렌더링하여 심도 있게 분석하는 탐지 행위와는 무관합니다. 현재 악성 메일이 첨부파일과 URL 정보를 제외하고 소셜 엔지니어링을 이용한 정보 탈취용 메일을 제작하고 불특정 다수에게 배포한다면 일부 보안 제품을 제외하고 많은 최종 사용자에게 이 악성 메일이 도착할 수 있습니다.
적용 솔루션 : SPAM PRISM (머신러닝) 필터
SPAM Prism ML 필터는 K-NN(K-Nearest Neighbor) 알고리즘 기반 머신러닝으로 지도학습을 통해 메일 본문을 심도 있는 탐색을 수행합니다. 기존 보안 탐지 기술을 우회한 악성 메일 (정상으로 위장한)의 본문을 실시간으로 세밀하게 분석하면서 사용자에게 불필요한 스팸 메일을 탐지합니다.
특히 K-NN 알고리즘의 데이터 변종 탐지에 대한 탁월한 효과가 있으며 기존 보안 탐지 기술을 우회하기 위해 제작되는 수많은 변종 악성 메일에 효과적입니다.
실시간 지도 학습을 수행하면서 메일 텍스트로만 이루어진 본문의 문맥 탐지뿐만 아니라 악성 URL 탐지나 악성 첨부파일 (랜섬웨어)탐지 등 기존 보안 기술과 융합되어 높은 탐지율을 제공할 수 있습니다.
