이메일 스푸핑이란?

이메일 스푸핑이란?

이메일 스푸핑 시 공격자는 이메일 헤더를 사용해 신원을 위장하고 합법적인 발신자로 가장합니다. (이메일 헤더는 발신자, 수신자, 추적 데이터 등 메시지의 중요 세부 정보를 포함하는 코드 스니펫입니다.)

이메일 스푸핑은 이메일 헤더 정보 위조와 관련된 특정 전술이지만, 공격자는 다른 전술을 사용하여 유사한 결과를 얻을 수 있습니다. 예를 들어 공격자는 받는 사람이 오류를 알아차리지 못하도록 합법적인 보낸 사람의 도메인과 매우 유사한 이메일 도메인을 만들 수 있습니다. 예를 들어 '@legitimatecompany.com' 대신 '@1egitimatecompany.com' 도메인을 사용하는 것입니다. 공격자는 보낸 사람을 가장하기 위해 표시 이름을 변경할 수도 있습니다(예: 'LegitimateCEOName@legitimatecompany.com'이 아닌 'LegitimateCEOName@gmail.com'에서 악의적 이메일 보내기).

이러한 방법들의 주요 차이는 이메일 스푸핑에 성공하면 철자가 잘못된 도메인(janeexecutive@jan3scompany.com)이나 해당 도메인과 전혀 연관이 없는 주소(janetherealceo@gmail.com)가 아니라 cloudflare.com과 같이 합법적인 도메인이 나타난다는 점입니다. 이 문서에서는 헤더를 위조한 이메일에 특히 주목합니다.

이메일 스푸핑은 더 큰 영역인 도메인 스푸핑에 속합니다. 도메인 스푸핑 시 공격자는 보통 피싱 공격의 일환으로 웹 사이트 이름(또는 이메일 주소)을 사칭하려고 합니다. 도메인 스푸핑은 이메일보다 넓게 적용되며 가짜 웹 사이트나 사기 광고를 만드는 데 사용될 수 있습니다.

이메일 스푸핑이 작동하는 방식은?

공격자는 스크립트를 사용해 이메일 수신자가 볼 수 있는 필드를 위조합니다. 이 필드는 이메일 헤더 내에 있고 "보낸 사람" 주소와 "회신" 주소가 포함됩니다. 스푸핑이 이루어진 이메일에서 이러한 필드는 다음과 같이 보일 수 있습니다.

• 보낸 사람: “Legitimate Sender” email@legitimatecompany.com
• 회신: email@legitimatecompany.com

이메일 전송 프로토콜인 단순 전자우편 전송 프로토콜(SMTP)에는 이메일 주소를 인증하는 기본 제공 메서드가 없으므로 이러한 필드를 위조할 수 있습니다. 실제로, 발신자와 수신자의 이메일 주소는 이메일 내 헤더와 SMTP 봉투 두 군데에 위치합니다. 이메일 헤더에는 수신자가 볼 수 있는 필드가 포함됩니다. 그런데, SMTp 봉투에는 서버에서 올바른 주소로 이메일을 전달하려고 사용하는 정보가 있습니다. 하지만 이메일을 전송하는 데 이러한 필드가 일치해야 하는 것은 아닙니다. SMTP 봉투가 헤더를 확인하지 않아 수신자가 봉투의 정보를 볼 수 없으므로 이메일 스푸핑은 비교적 쉽습니다.

합법적 발신자가 스푸핑된 이메일을 보낸 것처럼 보이므로, 수신자는 속아서 중요한 정보를 누설하거나, 악의적 링크를 클릭하거나, 속지 않았다면 수행하지 않았을 기타 조치를 취하게 될 수 있습니다. 이러한 이유로 이메일 스푸핑은 피싱 공격에서 흔히 사용됩니다.

공격자는 경우에 따라 스푸핑된 이메일 도메인을 더욱 신뢰하도록 다른 전략을 사용하기도 합니다. 회사의 로고, 브랜드 아트, 기타 디자인 요소를 베끼거나, 사칭한 회사와 관련될 것 같은 메시지나 언어를 사용하는 전략을 수행할 수 있습니다.

이메일 스푸핑을 방어하는 방법

이메일 수신자는 다음 단계를 따르면 이메일 스푸핑에 속지 않을 수 있습니다.

• 빠르고 긴급하게 조치를 취하도록 하는 메시지 조심하기: 수신자는 개인 정보, 결제, 기타 즉각적인 조치를 취하도록 요청하는 내용의 예기치 않거나 청하지 않은 이메일을 의심해야 합니다. 예를 들어, 갑자기 응용 프로그램의 로그인 정보를 변경하도록 유도하면 의심해봐야 합니다.
• 이메일 헤더 검사하기: 여러 이메일 클라이언트에서는 이메일 헤더를 확인하는 방법이 제공됩니다. 예를 들어, <a href='https://it.umn.edu/services-technologies/how-tos/gmail-view-email-headers' 'target=_blank'>in Gmail에서는 개별 이메일에서 "원본 보기"를 클릭하면 이메일 헤더가 나타납니다. 헤더를 확인했으면 "Received" 섹션을 살펴봅니다. "보낸 사람" 주소에 나타난 것과 도메인이 다르면 위조된 이메일일 수 있습니다.
• 스푸핑 메시지를 필터링하는 소프트웨어 사용하기: 스팸 방지 소프트웨어는 수신 이메일에 인증을 요청할 수 있어 스푸핑 시도를 차단합니다.

공격자가 도메인으로 메시지를 전송하는 것을 방지하도록 도메인 소유자가 조치를 취할 수도 있습니다. 이렇게 하기 위해 조직에서는 특별히 인증용 도메인 네임 시스템(DNS) 레코드를 생성할 수 있습니다. 이 레코드에는 다음이 포함됩니다.

• SPF 레코드: 발신자 정책 프레임워크(SPF) 레코드는 특정 도메인에서 이메일을 보낼 수 있도록 인증된 서버를 열거합니다. 이렇게 하면 도메인과 연결된 이메일 주소를 구성할 때 SPF 레코드에 열거되지 않은 경우에는 인증을 통과할 수 없습니다.
• DKIM 레코드: 도메인키 식별 메일(DKIM) 레코드는 암호화 키 쌍을 인증에 사용합니다. 하나는 공개 키이고 하나는 개인 키입니다. 공개 키는 DKIM 레코드에 저장되며, 개인 키는 DKIM 헤더에 디지털로 서명합니다. DKIM 레코드가 있는 도메인으로 스푸핑된 이메일은 올바른 암호화 키로 서명할 수 없으므로 인증할 수 없게 됩니다.
• DMARC 레코드: 도메인 기반 메시지 인증 보고 및 적합성(DMARC) 레코드에는 DMARC 정책이 포함되어 있으며, 이는 SPF 및 DKIM 레코드를 검사한 다음 이메일 서버에서 수행할 작업을 알려줍니다. 도메인 소유자는 이러한 검사에 따라 메시지를 차단할지, 허용할지, 전달할지 여부를 결정할 규칙을 설정할 수 있습니다. DMARC 정책으로 다른 인증 정책을 검토하고 도메인 소유자가 구체적인 규칙을 설정할 수 있으므로 이러한 레코드를 통해 이메일 스푸핑에 보호 계층이 더 추가됩니다.

조직 차원에서 보안 리더도 피싱 보호와 맬웨어 보호를 구현하여 이메일 스푸핑으로부터 직원을 보호하는 조치를 할 수 있습니다.

이메일 인증이 이메일 보안에 적용되는 방식은?

이메일 인증은 이메일 스푸핑을 방어하는 데 유용하지만, 포괄적인 이메일 보안 솔루션은 아닙니다. 예를 들어 이메일 인증은 유사한 도메인이나 손상된 합법적 도메인에서 전송한 이메일 등 일반적인 피싱 기법을 고려하지 않습니다.

Cloudflare Area 1 이메일 보안은 더욱 총체적인 접근 방법을 제공합니다. 선제적으로 인터넷을 크롤링하여 공격자 인프라를 파악하므로 피싱 공격이 방지되고 받은메일함이 보호됩니다.