이메일 보안이란?

어떤 공격이 이메일을 통해 발생할까요?

일반적인 이메일 공격 유형에는 다음이 포함됩니다.

• 사기: 이메일 기반 사기 공격은 일반인을 대상으로 하는 전형적인 선불금 사기부터, 불법 계좌로 돈을 송금하도록 대기업 회계 부서를 속이려는 비즈니스 이메일 손상(BEC) 메시지까지 다양한 형태를 띨 수 있습니다. 공격자는 도메인 스푸핑을 이용해 합법적인 출처에서 자금 요청이 온 것처럼 보이게 하곤 합니다.
• 피싱: 피싱 공격은 피해자가 공격자에게 중요한 정보를 제공하게 만들려고 합니다. 이메일 피싱 공격은 자격 증명을 수집하는 가짜 웹페이지로 사용자를 이동하게 만들거나 그저 비밀리에 제어되는 이메일 주소로 정보를 전송하도록 공격자가 사용자를 압박할 수도 있습니다. 이러한 공격에서도 도메인 스푸핑은 일반적입니다.
• 맬웨어: 이메일로 전달되는 맬웨어 유형으로는 스파이웨어, 스케어웨어, 애드웨어가 있고 무엇보다도 랜섬웨어가 있습니다. 공격자는 이메일을 통하여 여러 방법으로 맬웨어를 보낼 수 있습니다. 가장 일반적인 방법 중 하나는 악성 코드가 든 파일을 이메일에 첨부하는 것입니다.
• 계정 탈취: 공격자는 메시지 모니터링, 정보 도용, 주소록으로 맬웨어 공격과 스팸을 전달하기 위해 합법적 이메일 주소를 사용하는 등의 다양한 목적을 이루기 위해 합법적 사용자의 받은메일함을 탈취합니다.
• 이메일 가로채기: 공격자는 이메일에 포함된 정보를 탈취하거나, 대화 쌍방을 서로에게 모방하는 경로상 공격을 수행할 목적으로 이메일을 가로챌 수 있습니다. 가장 흔한 방법은 무선 근거리 통신망(LAN)에서 네트워크 데이터 패킷을 모니터링하는 것인데, 인터넷을 통과하는 이메일을 가로채는 것은 아주 어렵기 때문입니다.

이메일 도메인 스푸핑

이메일 도메인 스푸핑은 다양한 이메일 기반 공격 유형에서 중요한데, 공격자가 이 방법으로 합법적으로 보이는 주소에서 메시지를 전송할 수 있기 때문입니다. 이 기술을 사용하여 공격자는 위조된 "발신자" 주소로 이메일을 전송할 수 있습니다. 예를 들어, Chuck이 이메일로 Bob을 속이려고 할 때 Chuck은 "@trustworthy-bank.com" 도메인으로 Bob에게 이메일을 보낼 수 있습니다. 실제로 Chuck에게 "trustworthy-bank.com" 도메인이 있거나 해당 조직을 대표하지 않더라도 가능합니다.

피싱 공격이란?

피싱은 일반적으로 사용자 이름, 비밀번호, 기타 중요한 계정 정보의 형태인 중요한 데이터를 탈취하려는 시도입니다. 피싱 공격자는 예를 들어 사용자의 비밀번호로 계정을 탈취하거나 훔친 정보를 판매하기 위해 훔친 정보를 자체적으로 사용합니다.

피싱 공격자는 자신이 신뢰할 수 있는 출처인 것으로 가장합니다. 낚시할 때 미끼를 사용하는 것처럼, 공격자는 솔깃하거나 긴급해 보이는 요청으로 정보를 제공하도록 피해자를 꾀어냅니다.

피싱은 이메일을 통해 이루어지곤 합니다. 피싱 공격자는 사람들이 정보를 이메일로 바로 보내거나, 합법적으로 보이도록 설계되어 자신의 제어 하에 있는 웹페이지(예: 사용자가 비밀번호를 입력할 가짜 로그인 페이지)로 연결하도록 속이려고 합니다.

피싱에는 여러 유형이 있습니다.

• 스피어 피싱은 특정 표적을 겨냥하는 경우가 많으며 더욱 그럴듯하도록 맞춤화되곤 합니다.
• 웨일링은 경영진 등 조직 내에서 중요하거나 영향력 있는 사람을 대상으로 합니다. 웨일링은 기업 이메일 보안에서 주요 위협 벡터입니다.
• 이메일을 이용하지 않는 피싱 공격으로는 비싱(전화를 통한 피싱), 스미싱(텍스트 메시지를 통한 피싱), 소셜 미디어 피싱 등이 있습니다.

이메일 보안 전략으로는 피싱 공격을 차단하는 여러 방법이 포함될 수 있습니다. 이메일 보안 솔루션으로는 알려진 악성 IP 주소로부터 온 이메일을 필터링할 수 있습니다. 이 솔루션으로는 이메일에 포함된 링크를 차단하거나 제거해 피싱 웹페이지로 사용자가 이동되지 않도록 막을 수 있습니다. 아니면 DNS 필터링을 이용해 피싱 웹페이지를 차단할 수 있습니다. 데이터 손실 방지(DLP) 솔루션으로도 중요한 정보가 들어있는 발신 메시지를 차단하거나 수정할 수 있습니다.

마지막으로, 조직 내 직원은 피싱 이메일을 알아보는 방법에 대하여 교육받아야 합니다.

공격 시 이메일 첨부 파일은 어떻게 이용될까요?

이메일 첨부 파일은 중요한 기능이지만, 공격자는 이 이메일 기능을 이용해 맬웨어를 포함한 악의적 콘텐츠를 대상자에게 전송합니다.

그 방법 중 하나는 간단하게 악의적 소프트웨어를 .exe 파일로 첨부한 다음 수신자가 첨부 파일을 열어보도록 속이는 것입니다. PDF나 Word 파일처럼 무해해보이는 문서에 악성 코드를 숨기는 방법이 더욱 일반적입니다. 이 두 파일 유형 모두 공격자가 수신자의 컴퓨터에 맬웨어를 다운로드하고 여는 등의 악의적 조치를 수행하는 데 사용할 수 있는 매크로와 같은 코드를 포함할 수 있도록 지원합니다.

최근 몇 년간 이메일 첨부 파일로 다수의 랜섬웨어 감염이 시작되었습니다. 예를 들면 다음과 같습니다.

• Ryuk 랜섬웨어는 TrickBot이나 Emotet 감염으로 네트워크에 침입하며 둘 다 이메일 첨부 파일로 전파됨
• Maze 랜섬웨어는 피해자의 네트워크 내에 기반을 확보하는 데 이메일 첨부 파일을 사용함
• Petya 랜섬웨어 공격 또한 주로 이메일 첨부 파일로 시작됨

이메일 보안의 일환으로 이러한 악의적 이메일 첨부 파일을 차단하거나 무력화하는 작업이 포함됩니다. 맬웨어 방어로 모든 이메일을 스캔하여 악성 코드를 파악하는 작업이 포함될 수 있습니다. 아울러 사용자에게는 예상되지 않았거나 불명확한 이메일 첨부 파일을 무시하도록 교육해야 합니다. 웹 기반 이메일 클라이언트의 경우, 악의적 첨부 파일은 사용자의 장치와 별도인 샌드박스에 다운로드되므로 이러한 공격을 무효화하는 데 브라우저 격리도 도움이 될 수 있습니다.

스팸이란?

스팸은 원치 않거나 부적절한 이메일 메시지를 가리키는 용어로, 수신자의 허가 없이 발송됩니다. 거의 모든 이메일 공급자는 어느 정도의 스팸 필터링 기능을 제공합니다. 하지만 여전히 일부 스팸 메시지는 사용자의 받은메일함에 불가피하게 도달합니다.

스팸 공격자는 시간이 지나면서 좋지 않은 "이메일 발신자 평판"을 얻게 되므로 공격자의 메시지는 점점 더 많이 스팸으로 표시됩니다. 이러한 이유로 공격자는 스팸으로 감지되지 않고 스팸을 전송하기 위해 사용자의 받은메일함을 탈취하고, IP 주소 공간을 훔치거나 도메인을 스푸핑하게 될 때가 많습니다.

수신하는 스팸을 줄이려면 개인과 조직에서 몇 가지 방법을 이용할 수 있습니다. 공개적인 이메일 주소 목록을 줄이거나 없앨 수 있습니다. 이메일 서비스에서 제공하는 필터링 기능에 타사 스팸 필터를 더하여 구현할 수 있습니다. 이미 구현되고 있는 필터링 기능이 더 강화되도록 스팸 이메일을 일관되게 스팸으로 표시할 수도 있습니다.

*발신자 이메일의 상당수가 열리지 않거나 수신자에게 스팸으로 표시될 경우, 또는 발신자의 메시지가 너무 많이 반송될 경우 ISP와 이메일 서비스는 이러한 이메일 발신자의 평판을 낮춥니다.

공격자는 어떻게 이메일 계정을 탈취할까요?

공격자는 스팸 전송, 피싱 공격 개시, 맬웨어 배포, 연락처 목록 수집, 이메일 주소로 더 많은 사용자 계정을 탈취하는 등 다양한 목적으로 탈취한 받은메일함을 사용할 수 있습니다.

공격자는 다음과 같은 다양한 방법으로 이메일 계정에 침입할 수 있습니다.

• 이전에 도난된 자격 증명 목록을 구매: 여러 해에 걸쳐 수많은 개인 데이터가 유출되었으며, 도난 당한 사용자 이름/비밀번호 자격 증명 목록이 다크 웹에 널리 유포되어 있습니다. 공격자는 이러한 목록을 구매하고 자격 증명을 사용해 사용자의 계정에 침입하며, 주로 자격 증명 스터핑을 이용합니다.
• 무차별 대입 공격: 무차별 대입 공격의 경우 공격자는 로그인 페이지를 로드하고 봇을 사용해 사용자의 자격 증명을 빠르게 추측합니다. 속도 제한과 비밀번호 입력 횟수 제한으로 이 방법을 효과적으로 저지할 수 있습니다.
• 피싱 공격: 사용자의 이메일 계정 로그인 자격 증명을 얻으려고 공격자가 이전에 피싱 공격을 수행했을 수도 있습니다.
• 웹 브라우저 감염: 경로상 공격과 유사하게, 이메일 사용자 이름과 비밀번호를 포함해 웹 페이지에 입력하는 모든 정보를 확인하기 위해 악의적 공격자가 사용자의 웹 브라우저를 감염시킬 수 있습니다.
• 스파이웨어: 이메일의 사용자 이름과 비밀번호를 포함해 입력하는 모든 내용을 추적하기 위해 공격자가 이미 사용자의 장치를 감염시키고 스파이웨어를 설치했을 수도 있습니다.

단일 단계 비밀번호 인증 대신 다단계 인증(MFA)을 사용하는 것도 받은메일함을 손상되지 않게 받은 보호하는 한 가지 방법입니다. 기업에서 이메일로 바로 로그인하지 않고 싱글사인온(SSO) 서비스를 통과하도록 사용자에게 요구할 수도 있습니다.

암호화로는 이메일이 어떻게 보호될까요?

암호화는 인증된 당사자만 데이터를 해독하고 읽을 수 있도록 데이터를 변환시키는 프로세스입니다. 암호화는 편지 주변에 봉투로 봉인하여, 발신자에게서 수신자로 편지가 이동하는 동안 많은 사람이 편지를 다루더라도 수신자만 편지 내용을 읽을 수 있게 하는 것과 같습니다.

암호화는 이메일에 자동으로 내장되지 않습니다. 즉, 이메일 전송은 내용을 보호하는 봉투 없이 편지를 보내는 것과 비슷합니다. 이메일에는 개인 데이터나 기밀 데이터가 포함되곤 하므로 큰 문제가 될 수 있습니다.

한 사람에게서 다른 사람에게로 편지가 즉시 전달되지 않는 것처럼 이메일도 발신자에게서 수신자에게 바로 전달되지 않습니다. 대신, 이메일은 연결된 여러 네트워크를 거치며 마침내 수신자에게 전달될 때까지 메일 서버에서 다른 메일 서버로 라우팅됩니다. 이메일이 암호화되지 않았을 경우, 이메일 서비스 공급자를 포함해 이 전달 과정에 있는 모든 사람이 이메일을 가로채서 읽을 수 있습니다. 하지만 이메일 원본에 가까운 곳에서 이메일을 가로챌 가능성이 가장 높으며 이때 패킷 스니핑(네트워크에서의 데이터 패킷 모니터링)이라는 기술이 이용됩니다.

암호화는 이메일 주변을 봉투로 봉인하는 것과 비슷합니다. 이메일 암호화는 대부분 공개 키 암호화(자세히 알아보기)를 이용해 수행됩니다. 일부 이메일 암호화는 종단 간 수행됩니다. 이 경우 이메일 서비스 공급자부터 외부 당사자에 이르기까지 이메일 콘텐츠가 보호됩니다.

DNS 레코드는 이메일 공격을 방지하는 데 어떻게 도움이 될까요?

도메인 네임 시스템(DNS)에는 도메인의 IP 주소를 포함해 도메인 관련 공개 레코드가 저장됩니다. DNS는 사용자가 긴 영숫자 IP 주소를 외우지 않고도 웹 사이트에 연결하고 이메일을 전송할 수 있게 하는 데 있어 필수입니다.

이메일이 가장한 사람이 아니라 합법적 소스에서 전송되었음을 확인하는 데 도움이 되는 특별 유형의 DNS 레코드가 있습니다. 바로 SPF 레코드, DKIM 레코드, DMARC 레코드입니다. 이메일 서비스 공급자는 이러한 레코드로 이메일을 점검하여 전송되었다고 자처한 곳에서 전송되었는지, 전송 중 변경되지 않았는지 확인합니다.

도메인 소유자는 Cloudflare 이메일 DNS 보안 마법사를 이용해 이와 같이 중요한 DNS 레코드를 빠르고 정확하게 구성할 수 있습니다. 자세히 알아보려면 Cloudflare의 블로그 게시물을 확인하세요.

피싱 공격을 어떻게 중단시킬 수 있을까요?

다수의 이메일 공급자는 몇 가지 내장된 피싱 보호 기능을 갖추고 있습니다(그리고 앞서 언급된 DNS 레코드는 일반적으로 피싱 시도를 차단하려고 살펴보는 신호 중 하나입니다). 그런데도 여전히 피싱 이메일은 정기적으로 사용자의 받은메일함에 도달합니다. 많은 조직에서는 사용자와 네트워크를 더 잘 보호하기 위해 추가적인 피싱 보호 기능을 사용합니다.

Cloudflare Area 1 이메일 보안은 클라우드 기반 피싱 보호를 제공합니다. Cloudflare Area 1은 피싱 인프라를 사전에 발견하고 트래픽 패턴을 분석하여 공격 상관 관계를 밝히며 피싱 캠페인을 식별합니다. 피싱 방지 서비스의 작동 방식을 자세히 읽어보세요.