[Windows] 이메일을 통한 보안 위협과 대응 방법

 

안녕하세요. 주식회사 서버몬 입니다.

길게만 느껴지던 쌀쌀한 겨울이 끝나가고 시작을 품은 봄은 부쩍 가까이 온 것 같은 요즘 입니다.
언제고 여러분들께 다가갔던 차가운 겨울도 멀리 달아나버리고 금세 행복한 봄이 찾아들기를 기원합니다.

 

오늘은 다양한 이메일의 보안 위협에 대해 알아보는 시간을 가져보겠습니다.
메일은 오래 전부터 여러가지 악성코드 유포 등 보안 위협요소를 전달하는 매체가 되었고
그로 인해 상시적인 주의가 필요해진 상황입니다.

하기 내용을 참고하셔서 메일로 인한 보안 위협에 대해 다시 한번 확인하고
효과적인 대응 방안 마련을 통해 안전한 업무 환경을 유지하셨으면 좋겠습니다.

 

 

 

이메일 첨부 파일을 통한 보안 위협

 

현재까지 이메일이라는 매체가 다양한 보안 위협이 될 수 있었던 부분은 약 1~20여년 전 이메일을
널리 사용하기 시작했을 때부터 첨부 파일 기능을 통한 파일 유포로 사용되었기 때문입니다.
최근에 주로 사용되는 방식은 랜섬웨어 등 악성코드를 유포하는 방식과 계정 등 다양한 정보를 탈취하는
방식으로 나눌 수 있는데 각각 사례를 들어 어떤 유형들이 있는지 확인해보겠습니다.

1. 악성코드 감염을 노리는 첨부 파일
랜섬웨어가 만들어지기 전에는 단순히 시스템 파일 손상 등 악의적인 동작을 위해 불특정 다수를
공격하는 이메일 공격이 대부분이었으나 실제 금전적인 이득을 취할 수 있는 랜섬웨어가 활성화된
최근에는 대부분의 이메일 악성코드 공격은 랜섬웨어를 감염시키기 위한 용도로 사용됩니다.  

먼저 실제 악성코드 파일이나 추가적인 악성코드를 다운로드하는 다운로더 파일을 첨부하는 경우가
있습니다. 이 경우는 실행 파일 형태이기 때문에 대다수의 메일 서버에서 필터링되고 사용자가 받게
되더라도 실행 파일이 포함되어 있으면 경계심을 갖게 되기 때문에 상대적으로 줄어들고 있는 방식입니다.

아래와 같이 입사 지원 서류인 것처럼 악성코드 파일을 압축하여 첨부한 사례가 있었습니다.
이 경우 실행 파일에 문서의 아이콘을 삽입하여 문서로 착각하고 파일을 실행할 경우 랜섬웨어가 동작하여
PC 내 파일들을 암호화하게 됩니다.

 

실행 파일 형태로 악성코드를 유포하는 작업의 성공율이 낮아진 것을 인지한 공격자들은 사용자가
별다른 의심없이 열어볼 수 있도록 다양한 문서 형태의 파일이 첨부된 공격으로 발전하게 됩니다.

아래 사례는 급여대장이라고 chm(도움말 확장자)파일을 압축하여 첨부하였으며 해당 파일을 실행하면
실제 급여대장으로 보이는 내용이 실행되지만 백그라운드에서는 악성 파일을 다운로드하는 스크립트가
실행되어 감염으로 인한 증상이 발생되게 됩니다.

 

 

이외에도 워드 문서 파일을 첨부하고 견적 문의, 저작권 내용 증명 등의 내용으로 문서를 열어보도록
하고 보안 패치가 진행되지 않은 환경의 오피스 취약점을 사용하여 추가 악성코드를 다운로드, 감염시키는
동작을 하는 사례가 확인됩니다.

 

2. 정보 탈취를 노리는 첨부 파일
이번에는 첨부 파일을 통해 정보를 탈취하기 위한 공격을 하는 사례를 확인해보겠습니다.

아래와 같이 금융기관을 사칭해서 급여이체 확인증인 것처럼 html 파일을 첨부하였습니다.
하단 내용을 잘보면 "사이트내  고객센터 나 문의전화"와 같이 좀 어색한 부분이 있습니다.

해당 html 파일을 실행하면 아래와 같이 비밀번호를 입력하는 화면이 발생됩니다.

비밀번호 입력 후 확인을 누르면 다른 웹사이트로 이동되어 포탈 사이트 로그인을 요구하고 입력 후
Sign in 을 클릭하면 계정정보가 탈취되게 됩니다.

가장 최근의 사례를 하나 더 살펴보겠습니다.
아래와 같이 'XX-XXXX 공동연구과제 관련 자문 부탁드립니다.' 라는 제목으로 유포되었고
대용량 첨부파일 'XX-XX 자문 첨부파일.hwp'을 다운로드하도록 유도하고 있습니다.

해당 첨부파일의 다운로드를 클릭하면 아래와 같이 네이버 로그인 위장 사이트로 연결되고
계정정보를 입력하면 공격자의 서버로 바로 전송됩니다.

계정 로그인 후에 정상적으로 보이는 hwp 파일이 다운로드되므로 사용자는 계정 유출을
인지하기 어려워 비밀번호 변경 등의 사후 조치도 생각하지 못하게 됩니다.

 

 

이메일 본문 내 링크 삽입을 통한 보안 위협

첨부 파일에 대한 피해 사례가 증가함에 따라 그에 대한 필터링 기술과 사용자들의 보안 의식도
발전하여 첨부 파일이 있는 이메일에 대해 다방면으로 주의 깊게 체크하는 보안 솔루션, 사용자가
증가하게 되었습니다. 이에 따라 성공율을 높이기 위해 첨부 파일을 첨부하지 않고 본문 내 링크를
삽입하는 형태로 변형되게 됩니다.

1. 카카오 계정 탈취
아래 사례는 카카오 인증 보안 관련 이메일인 것으로 위장하여 "계정도용신고", "내 계정 아님"의
링크를 클릭하도록 유도 합니다.

해당 링크를 클릭하면 아래와 같이 비밀번호 입력을 요구하는 페이지로 이동되며 비밀번호를 입력할 경우
카카오 비밀번호가 공격자에게 유출되게 됩니다.

2. 기업 계정 정보 탈취
카카오 계정에 대한 탈취시도가 개인을 위한 공격이었다면 아래와 같은 사례는 기업의 계정정보를
탈취하기 위한 시도로 볼 수 있습니다.

한국정보인증에서 세금계산서 발행 이메일인 것으로 위장하여 "전자세금계산서 보기" 링크의 클릭을
유도하고 있습니다.

해당 링크를 클릭하면 기업용 계정의 입력을 요구하는 페이지로 이동되고 아래 예시 이미지에서는
확인되지 않지만 수신자 이메일의 도메인을 참조하여 연관된 기업의 이미지를 노출하도록 되어있어
의심을 피할 수 있도록 하였습니다.

 

 

 

 

대응 방안

본 글에서 가장 중요한 부분이라고 할 수 있는 대응 방안을 알아보도록 하겠습니다.
이렇게 다양한 이메일로 인한 보안 위협들에 대해서 어떤 방식으로 어떻게 대응을 하는 것이
피해를 방지, 또는 최소화할 수 있는지 확인해보겠습니다.

1. 솔루션을 통한 대응
먼저 메일 보안 솔루션을 통한 대응 방안이 가장 간단하고 효과도 크다고 볼 수 있습니다.
물론 현재는 전문적인 보안 솔루션이 아닌 기본적인 메일 시스템에서도 스팸 메일 차단 등
기초적인 메일 필터링은 가능하지만 이메일로 인한 보안 위협을 최소화하기 위해서라면
다양한 필터링 기능을 가진 전문 메일 보안 솔루션을 검토해보시는 것을 권장드립니다.

예시로 하기 내용은 전문적인 메일 필터링 솔루션인 스팸아웃의 제품 소개 일부분인데 첨부 파일은
물론 내용에 대한 필터링이나 발신 주소 확인 등 다양한 필터링 기능을 제공하고 있습니다.

 

 

 

2. 사용자 주의를 통한 대응
사실 모든 사용자가 메일 확인에 주의를 해야하는 부분은 빈도의 차이만 있을 뿐, 메일 보안 솔루션 등의
보유여부에 상관없이 반드시 진행되어야할 부분입니다.

- 일반적인 주의
 > 메일 발신자 확인 등으로 의심스러운 메일은 바로 삭제
 > 계정 정보, 개인 정보를 요구하는 화면이 발생될 경우 URL 등 정상여부를 면밀하게 확인

- 첨부 파일에 대한 주의
먼저 메일에 첨부된 파일에 대한 주의사항을 알아보겠습니다.
첨부 파일은 최대한 실행을 하지 않는 방법으로 정상 파일 여부를 점검하는 것이 필요합니다.

 > 조금이라도 의심스럽거나 불필요한 파일로 보일 경우 다운로드 받지 않기
 > 다운로드된 파일이 압축 파일로 보일 경우 더블 클릭하지 말고 압축 프로그램에서 불러오기
 > 백신 프로그램의 실시간 감시, 파일 검사 기능으로 검사하기
 > 문서 편집 프로그램 내 보안 설정을 점검하고 매크로 등 부가기능 자동 실행 차단

- 메일 내용에 대한 주의
이메일 내용에 대해서는 주로 링크를 클릭하지 않도록 하는 부분이 필요합니다.

 > 안전한 것으로 확인된 이메일이 아닌 경우 본문 내 링크로 보이는 부분을 클릭하지 않도록 주의
 > 이미지나 빈 공간으로 보이는 곳에 링크를 삽입하는 경우도 있으므로 본문 내 클릭 시 주의

3. 사후 대응
마지막으로 이메일로 인한 악성코드 감염, 정보 유출 등의 상황이 의심되거나 확인되었을 때
대응 방법에 대해 알아보겠습니다.

- 악성코드 감염 의심
메일 내 첨부 파일 실행 등으로 악성코드 감염이 의심된다면 즉시 PC를 재부팅하는 부분이 중요합니다.
랜섬웨어의 경우 PC 자료를 암호화하는 작업에 시간이 소요될 수 있고 또한 작업 후 자동으로 삭제되는
악성코드 파일의 삭제를 막아 원인 파악 및 복호화에 도움이 될 수 있습니다.
랜섬웨어가 아닌 경우에도 악성코드가 일반적으로 수행하는 추가 악성코드 다운로드, 정보 유출 등의
동작을 강제로 중단시킬 수 있습니다.
이 후 가급적 네트워크를 연결하지 않은 상태에서 백신 검사 등을 통해 PC를 점검하고 중요한 자료를
이동식 디스크 등으로 백업한 후 PC를 포멧하는 것이 좋습니다.

- 정보 유출 의심
피싱 메일로 인해 연결된 링크 등을 통해 무심코 계정 정보 및 개인 정보를 입력하여 정보 유출이
의심될 경우에는 우선 입력한 계정 정보를 사용하는 모든 사이트와 유사한 비밀번호를 사용하는
사이트까지 모든 사이트의 비밀번호를 변경하는 작업이 필요합니다.
비밀번호 변경 시에는 영문 대, 소문자, 숫자, 특수문자를 조합하여 최소 9~10자 이상으로 설정하고
가급적 사이트마다 다르게 설정하는 것이 좋습니다.
계정 정보 외 다른 개인 정보 유출이 의심되거나 추가 피해를 막기 위해선 관할 경찰서에 신고하여
사이버수사대에 해당 메일 관련 정보를 공유하는 것도 필요한 방법 입니다.  

 

 

 

 

마치며

오늘은 다양한 이메일로 인한 보안 위협에 대해서 알아보았습니다.

 

이메일은 불특정 다수에게 수신될 수 있고 그만큼 다양한 보안 위협을 가지고 있으므로
항상 주의하는 습관이 중요한 부분이라고 할 수 있습니다.

 

읽어주신 모든 분들께 감사드리며 항상 좀 더 유용한 주제로 손쉽게 정리된 내용을 보여드릴 수 있도록
노력하겠습니다.

 

이상 [악성코드가 사라지길 바라는 몬스터!!!] 서버몬이었습니다. 감사합니다.

 

 

 

 

※ 본문 내 이미지 및 썸네일 원본 출처 : 이스트시큐리티 알약 블로그 - https://blog.alyac.co.kr/

 

1u서버 / APC / DB / defog / DEFOG랙 / dell5820 / dell5820t / dell7920 / dellpoweredge / dellr240 / dellr340 / dellr350 / dellr450 / dellr540 / dellr630 / dellr640 / dellr740 / dellr750 / dellserver / dellt40 / dellt440 / dellt5820 / dell서버 / DELL서버CPU / DELL서버RAID컨트롤러 / DELL서버SAS하드디스크 / DELL서버가격비교 / DELL서버가격비교견적 / DELL서버견적 / DELL서버구매 / DELL서버디스크교체 / DELL서버메모리 / DELL서버펌웨어 / DELL서버하드디스크구매 / dell워크스테이션 / dl20 / dl20gen10 / dl360 / dl360gen10 / dl380 / dl380g10 / dl380gen10 / ECC메모리 / EDFOG랙가격 / ESTSOFT / FIRMWARE / gpu서버 / gpu타워형서버 / HA솔루션

/ hpdl20 / hpdl360 / hpdl360gen10 / hpdl380 / hpdl380g10 / HPE / HPE Service Pack for Proliant / HPE SPP / hpedl20 / hpedl20gen10 / hpedl360gen10 / hpe서버 / HPE서버CPU / HPE서버RAID컨트롤러 / HPE서버SAS하드디스크 / HPE서버가격비교 / HPE서버가격비교견적 / HPE서버견적 / HPE서버구매 / HPE서버드라이버설치 / HPE서버디스크교체 / HPE서버메모리 / HPE서버비용 / HPE서버펌웨어 / HPE서버하드디스크구매 / hpgen10 / hpml30 / hpserver / hpz2 / hpz4 / hpz420 / hpz440 / hpz4g4 / hpz640 / hpz6g4 / hpz8g4 / hp마이크로서버 / hp서버 / hp서버800 / hp서버800w / hp서버cto / hp서버pc / HP서버메모리 / hp서버컴퓨터 / HP서버펌웨어 / HP서버하드디스크 / hp워크스테이션 / hp프로라이언트 / HYPER BACKUP / ibm서버 / Intelligent Provisioning / KVM / KVM 기술지원비(비용) / KVM 설치비 / L2스위치 / L3스위치 / LENONO서버SAS하드디스크 / lenovop620 / lenovor650 / LENOVO서버 / LENOVO서버CPU / LENOVO서버RAID컨트롤러 / LENOVO서버가격비교 / LENOVO서버가격비교견적 / LENOVO서버견적 / LENOVO서버구매 / LENOVO서버디스크교체 / LENOVO서버메모리 / LENOVO서버하드디스크구매 / LENOVO펌웨어업데이트 / Linux / ML30 / ml30gen10 / ML350GEN10 / ML360 / MSSQL / MSSQL 기술지원비(비용) / MSSQL 설치비 / MYSQL / MySQL 기술지원비(비용) / MySQL 설치비 / OS설치 / p17079-b21 / poweredger740 / poweredger750 / precision5820 / QUADRO / QUADRO그래픽카드 / r240 / r340 / r440 / r740 / RHEL설치 / RMS랙 / server / serverpc / SOPHOS / SPP / sr250 / sr650 / SYNOLOGY / SYNOLOGY나스 / UPS / UPS기술지원 / UPS납품 / UPS설치 / V3 / Windows서버설치 / z420 / z620 / z840 / z8g4 / 기술지원비(비용) / 나스기술지원 / 나스설치지원 / 네트워크스위치 / 네트워크장비 / 더블테이크 / 데이터베이스 / 델5820 / 델서버 / 델서버비용 / 델서버펌웨어업데이트 / 델워크스테이션 / 델컴퓨터워크스테이션 / 디포그 / 디포그랙 / 디포그랙가격 / 딥러닝pc / 딥러닝서버 / 랙 / 랙(RACK) 기술지원비(비용) / 랙(RACK) 설치비 / 랙납품설치 / 랙설치 / 레노버p620 / 레노버서버 / 레노버워크스테이션 / 레노보서버 / 레노보서버펌웨어 / 레드헷설치 / 리눅스 기술지원비(비용) / 리눅스 설치비 / 리눅스서버 / 리눅스서버설치 / 리눅스서버트러블슈팅 / 리눅스트러블슈팅 / 리욱스 / 미니서버 / 미니서버랙 / 방화벽 / 방화벽 기술지원비(비용) / 방화벽 설치비 / 방화벽엔지니어 / 백업 / 보안솔루션 / 보안솔루션구매 / 보안솔루션설치 / 서버 / 서버 기술지원비(비용) / 서버 랙마운트비용 / 서버 설치비 / 서버 장애조치비용 / 서버CPU / 서버MEMORY / 서버OS설치 / 서버pc / 서버가격 / 서버구매 / 서버기술지원 / 서버납품 / 서버디스크장애처리 / 서버랙 / 서버렉마운트 / 서버메모리 / 서버몬 / 서버몬기술지원 / 서버백업 / 서버보안 / 서버엔지니어 / 서버용pc / 서버용그래픽카드 / 서버용메모리 / 서버용컴퓨터 / 서버용하드디스크 / 서버컴 / 서버컴퓨터 / 서버트러블슈팅 / 서버호스팅 / 소포스 / 스위치 / 스위치 기술지원비(비용) / 스위치 설치비 / 스토리지 / 스토리지 기술지원비(비용) / 스토리지 랙마운트비용 / 스토리지 설치비 / 스토리지 장애조치비용 / 스토리지납품설치 / 스토리지서버 / 시놀로지DS918 / 시놀로지HyperBackup / 시놀로지나스 / 시놀로지나스백업 / 시놀로지하이퍼백업 / 시큐어디스크 / 안랩 / 알약 / 왼도우서버설치 / 우분투설치 / 워크스테이션 / 워크스테이션pc / 워크스테이션컴퓨터 / 윈도우서버 / 윈도우서버2016 / 윈도우서버2019 / 윈도우서버트러블슈팅 / 윈도우즈 기술지원비(비용) / 윈도우즈 설치비 / 이스트소프트 / 이중화솔루션 / 이중화솔루션구매 / 이중화솔루션설치 / 인터넷디스크 / 작업장컴퓨터 / 제온서버 / 젠서버 / 중고서버 / 중고워크스테이션 / 카보나이트 / 카스퍼스키 / 컴퓨터서버 / 쿼드로P400 / 타워형서버 / 페도라설치 / 프로라이언트 / GPU서버 / 미니서버렉 / 서버용PC / 젠서버 / AI서버 / 제온서버 / 서버가격 / 1U서버 / HPDL20Gen10 / HP서버8SFF800W / 가상서버 / 타워형서버 / HPDL360 / HPDL380Gen10 / 컴퓨터서버 / 미디어서버 / 타워서버 / DB서버 / HP서버580 / HP서버파워 / HPDL360Gen10 / 윈도우서버컴퓨터 / XEON서버 / 881457-B21