SMTP 밀수란 무엇인가요?

사이버 보안은 기존의 위협이 진화하고 새로운 위협 요소가 등장하는 역동적인 환경이며, SMTP 밀수와 같은 위협은 사이버 보안 위협과 사이버 공격을 방어하는 방법에 대한 최신 정보를 유지하는 것이 얼마나 중요한지를 극명하게 보여줍니다. 그렇다면 SMTP 밀수란 정확히 무엇이며 어떻게 작동할까요?

SMTP란 무엇인가요?

단순 전자우편 전송 프로토콜(SMTP)은 서로 다른 컴퓨터와 서버 간의 이메일 전송을 용이하게 하는 TCP/IP 네트워크 프로토콜입니다. 이 프로토콜은 매우 광범위하게 사용되고 있으며, SMTP 이메일 클라이언트에는 Gmail, Outlook, Yahoo, Apple이 포함됩니다.

그렇다면 이메일에서 SMTP란 정확히 무엇일까요? Microsoft Outlook과 같은 클라이언트에서 이메일을 작성하면 이 이메일은 SMTP 서버로 전달되며, 여기서 수신자의 도메인을 확인하여 이메일을 전달할 적절한 이메일 서버를 찾습니다. 이 과정이 원활하게 진행되면 수신자 도메인의 SMTP 서버가 이메일을 처리한 후 메시지를 전달하거나 다른 네트워크를 통해 전달하기 전에 SMTP를 사용하여 전달합니다.

이때 한 가지 알아두어야 할 중요한 점은 이전에는 SMTP의 인증 기능이 제한적이었다는 점입니다. 따라서 이메일 스푸핑은 심각한 문제였습니다. 공격자는 다른 메일 클라이언트, 스크립트, 유틸리티 등 적절한 도구를 선택하여 발신자의 이름을 선택할 수 있었습니다. 그런 다음 신뢰할 수 있는 발신자를 사칭하여 사용자가 피싱 링크를 클릭하거나 멀웨어에 감염된 파일을 다운로드하는 등 특정 조치를 취하도록 유도하는 방식으로 이메일을 통해 표적 공격을 수행합니다.

이 내재된 취약점(CVE-2023-51766)을 보완하기 위해 다음과 같은 몇 가지 안전장치가 설계되었습니다:

• 메일 서버 등록제(SPF): DNS 레코드를 사용하여 수신 메일 서비스에 특정 도메인에서 이메일을 보낼 수 있는 권한이 있는 IP 주소를 나타냅니다.
• 도메인 키 인증 메일(DKIM): 발신자 서버에 저장된 개인 키를 사용하여 발신 이메일을 디지털 서명하는 방법으로, 수신자 서버가 발신 서버의 공개 키를 사용하여 발신자를 확인할 수 있습니다.
• 도메인 기반 메시지 인증, 보고 및 적합성(DMARC): 이 프로토콜은 이메일의 "보낸 사람" 헤더에 있는 발신 도메인을 SPF 및/또는 DKIM과 비교하여 확인하며, 일치하지 않으면 DMARC 확인에 실패합니다. 그러나 이 프로토콜은 일반적으로 사용되지 않습니다.

SMTP 서버란 무엇인가요?

• 메일 제출 에이전트(MSA): 이메일 클라이언트로부터 메시지를 수신합니다.
• 메일 전송 에이전트(MTA): 이메일을 다음 서버로 전송합니다. 이 때 서버는 수신자 도메인의 MX(메일 교환) DNS 레코드에 대한 DNS 쿼리를 시작할 수 있습니다.
• 메일 배달 에이전트(MDA): 수신자의 받은 편지함에 이메일을 수신합니다.

SMTP 밀수란 무엇인가요?

SMTP 밀수란 이메일 주소를 스푸핑하여 합법적인 출처에서 보낸 것처럼 보이도록 하는 사이버 공격을 말합니다. 이러한 사이버 공격의 궁극적인 목표는 피싱 형태의 공격을 실행하여 피해자가 악성 링크를 클릭하거나 감염된 첨부파일을 열거나 민감한 정보 또는 송금을 하는 등의 조치를 취하도록 유도하는 것입니다.

이러한 공격은 아웃바운드와 인바운드 이메일 서버가 데이터 종료 코드 시퀀스를 처리하는 방식에 차이가 있다는 점을 이용합니다. “밀수된” SMTP 명령을 사용하여 수신자의 서버가 메시지 끝 부분을 다르게 해석하도록 속여 이메일이 두 개의 개별 메시지로 보이도록 하는 것이 목표입니다.

SMTP 밀수는 어떻게 이루어지나요?

사이버 범죄자는 이러한 공격을 수행하기 위해 모호한 SMTP 명령을 "밀수"하여 이메일 서버 통신의 보안을 손상시키는데, 이는 HTTP 요청 스머글링 공격의 작동 방식에서 착안한 것입니다. 좀 더 구체적으로 설명하자면, SMTP 서버는 전통적으로 메시지 데이터의 끝을 <CR><LF>.<CR><LF> 또는 \r\n.\r\n 코드로 표시합니다. 이는 각각 “캐리지 리턴”과 “라인 피드”를 나타내며 표준 텍스트 구분 기호입니다.

공격자는 이 코드 시퀀스를 변경함으로써 메시지 데이터의 끝 부분에 대한 서버의 인식을 변경할 수 있습니다. 발신 서버에는 메시지가 한 지점에서 끝난다고 알려주고 수신 서버에는 메시지가 나중에 끝난다고 알려주면 추가 데이터를 몰래 빼낼 수 있는 구멍이 생깁니다.

일반적으로 이러한 스푸핑 이메일은 표적 피싱 공격의 일종입니다. 기업의 경우 도메인을 스푸핑하고 소셜 엔지니어링을 사용하여 피싱 이메일이나 스피어 피싱 공격을 만드는 것이 더 쉬울 수 있기 때문에 SMTP 밀수에 특히 취약합니다.

SMTP 밀수 이메일을 피하는 방법

1. 조직 인프라 내에서 정기적인 보안 검사를 실행하여 가능한 공격 경로와 취약점을 모니터링합니다.
2. 사용 중인 이메일 라우팅 소프트웨어를 확인합니다. 소프트웨어가 취약한 것으로 알려진 경우 최신 버전으로 업데이트하고 무단 파이프라이닝을 거부하는 설정을 사용합니다.
3. Cisco의 이메일 사용자들은 “CR 및 LF 처리”에 대한 기본 구성을 “정리”가 아닌 “허용”으로 수동 업데이트하여 서버가 데이터 끝 부분 코드가 <CR><LF>.<CR><LF>인 이메일만 인식하고 전달하도록 하는 것을 권장합니다.
4. 코드에 <CR>이 없는 <LF>를 허용하지 않습니다.
5. 줄 바꿈을 보내는 원격 SMTP 클라이언트의 연결을 끊습니다.
6. 추가 조치를 취하기 전에, 발신자의 이메일 주소를 확인하는 등의 보안 인식 교육을 직원들에게 정기적으로 실시합니다.

SMTP 이메일 스푸핑은 어떻게 이루어지나요?

SMTP 밀수의 위협에 대한 경각심을 가지려면 스푸핑 이메일이 어떤 형태인지 알아두면 도움이 될 수 있습니다. 스푸핑 이메일은 여러 가지 형태로 나타날 수 있습니다:

1. 합법적인 도메인 스푸핑: 회사의 도메인을 이메일 "보낸 사람" 헤더에 삽입하여 스푸핑하는 것입니다. SPF, DKIM 및 DMARC 인증 방법이 이를 탐지하려고 합니다. 회사는 메일 인증 방식을 적절하게 설정하여 공격자가 도메인을 스푸핑하는 것을 최소화해야 합니다.
2. 표시 이름 스푸핑: 이 경우 "보낸 사람" 헤더의 이메일 주소 앞에 표시되는 발신자 이름이 스푸핑되며, 회사 직원의 실명을 사용하는 경우가 많습니다. 대부분의 이메일 클라이언트는 발신자의 이메일 주소를 자동으로 숨기고 표시 이름만 표시하므로 사용자는 이메일이 의심스러우면 주소를 확인해야 합니다. 이러한 스푸핑에는 고스트 스푸핑 및 AD 스푸핑을 비롯한 여러 가지 형태가 있습니다. Kaspersky 보안 메일 게이트웨이(KSMG)는 발신자의 진위 여부를 확인하고 메시지가 정해진 이메일 인증 표준을 준수하는지 확인하여 AD 스푸핑 공격에 대한 강력한 보호 기능을 제공합니다.
3. 유사 도메인 스푸핑: 더욱 복잡한 이 방법은 공격자가 공격 대상 조직의 도메인과 유사한 도메인을 등록하고 메일, DKIM/SPF 서명 및 DMARC 인증을 설정해야 합니다. 이러한 형태의 스푸핑에는 여러 가지 유형이 있으며, 합법적인 회사 도메인의 철자를 잘못 입력하는 1차 유사 스푸핑과 도메인 이름의 ASCII 문자를 유니코드에서 유사한 문자로 대체하는 유니코드 스푸핑이 있습니다. KSMG는 발신자 신원을 확인하고 사기성 이메일의 위험을 완화함으로써 기업이 유사 도메인 스푸핑 공격을 방어할 수 있도록 지원합니다.

연관 문서 및 링크:

• 스푸핑이란? - 정의 및 설명
• 스피어 피싱이란 무엇인가요?
• 피싱 이메일: 피싱 이메일을 식별하고 피하는 방법

연관 제품 및 서비스:

• Kaspersky Plus
• Kaspersky Premium - 제품 상세 설명
• Kaspersky Antivirus Premium 무료 체험판 다운로드
• Kaspersky Endpoint Security Cloud