전장 소식

오늘날의 공격은 피해자들이 악성 웹 사이트로 이어지는 링크를 클릭 하도록 하는데 초점을 맞추고 있어 해당 웹 사이트들에서 공격자들은 트로이 목마를 다운로드할 수 있고 개인 정보를 도용할 수 있으며 해당 기계를 좀비로 탈바꿈시킬 수 있다. 공격자들이 해당 장치를 이익 창출 봇으로 탈바꿈시키기 위해 피해자들과 장기간의 연결 관계를 구축하기 때문에 이러한 과정은 “다단계 수익창출”이라 불린다(“그리고 봇은 계속된다...”참조).

이것이 어떻게 계속 통하고 있는 것일까? 우선, 모든 새로운 소식들과 경고에도 불구하고 여전히 잘 속아 넘어가는 사용자들이 많다. 이것이 바로 수십 년 동안 사기꾼들이 동일한 수법을 변화시키며 살아갈 수 있는 이유다.

그들은 시기적절하게 유명 연예인의 스캔들이나 세계적인 요주의 인물과 관련된 제목을 사용하기도 한다. 그것이 엄청난 클릭 수를 유발할 것으로 기대되기 때문이다. 혹은 당신을 함정에 빠뜨리기 위해 e-카드의 형태로 명절·기념일에 “인사/안부” 공격을 발송할 것이다.

스패머들은 계속해서 혁신을 꾀한다. 현재 이메일 지옥으로 향하는 길이 구글(Google) 속에 숨어 있는 경향을 보인다. 스패머들의 가장 최신 전략은 그들의 웹 사이트를 구글이 인덱스하도록 해 구글 검색이 링크를 보내도록 하는 것으로 사이트로의 직접 링크와는 대조적인 개념이다. 이것은 지식을 갖춘 사용자라 할지라도 속아 넘어갈 가능성이 높다.

MessageLabs의 서너는 “합법적인 www.google.com의 링크를 클릭하면 결과적으로 당신은 구글에 의해 곧장 스패머의 웹 사이트로 가게 되는 것”이라고 설명했다.

이것은 효과적인 방법이다. 어떠한 웹 필터도 구글에 직접 링크된 것을 차단하지는 않을 것이기 때문이다. 설상가상으로 악당들은 이러한 공격 벡터를 통해 광고수입비도 얻을 수 있다. 

봇과의 전투

수십억 개의 메시지와 수천 명의 발송자에 관한 데이터를 수집함으로써 신뢰도 서비스는 게이지 발송자 의도를 나타내게 되었다. 안티스팸 기업들은 통계적인 중요도를 통해 특정한 IP 주소가 스팸이나 햄(ham)을 발송할 가능성이 있는지를 평가할 수 있다. 또한 지난 3년 간 대량 스패머들의 발견, 체포 및 기소에 관한 법 집행이 훨씬 더 공격적으로 행해졌다.

따라서 악당들에게는 자신들의 의도를 보다 효과적으로 감추고 숨어 있는 것이 중요해졌기 때문에 그들이 누구인지, 그들이 무엇을 하고 있는지를 감추는데 효과적인 방법인 봇에 대한 관심의 증가가 나타났다. 봇 커뮤니케이션의 특성 때문에 봇 마스터의 정체를 추적하기가 어렵다. 봇 마스터는 현재 그들의 마음대로 스팸을 전달하거나 서비스 거부 공격을 개시하는데 사용할 수 있는 수백만 개의 손상된 기계를 가지고 있다.

그러나 봇도 시간이 흐르면 탐지되거나 제거될 것이다. 그래서 악당들은 합법적인 메일 서버를 직접 공격하는 다른 정책을 시도하고 있다. 어떤 알려진 선량한 이메일 서버의 증명서와 패스워드가 도난당하거나 강제적으로 빼앗기게 된다면 스패머는 신뢰 서버가 그 서버에 좋지 못한 신뢰 점수를 주면서 대응을 시작하기 전까지는 메시지들을 마음대로 망쳐버릴 수 있다.

스패머들은 그 서버의 신뢰 점수가 영향을 받을 때까지 자유로운 메시지들을 휘젓기 위해 더욱 더 무료 호스팅 업체들을 손상시키거나 호스트에서 작동하는 빌트인 SMTP 서버를 마음대로 사용하고 있다. 물론 합법적인 발송자들이 블랙리스트가 되기도 하는 심각한 부수적인 피해도 뒤따른다.

OUTBOUND FILTERING

게이트웨이 뒤집기

스팸과 기타 인바운드 공격들은 분명 위험 가능성이 매우 높다. 당신의 스팸 필터를 한 두 시간 꺼놓는다면 그것을 실감하게 될 것이다. 그러나 단체들은 귀중한 정보를 아웃바운드 사이드에서 보다 많이 잃고 있는지도 모른다.

내부자가 기업 기밀을 경쟁사나 자신의 웹 메일 계정으로 발송한다든지, 또는 어떤 고객 서비스 담당자가 실수로 개인 데이터를 고객에게 발송할 경우 이는 심각한 기업적 이슈이며 규제 컴플라이언스 이슈가 된다.

컨텐트 유출의 신호로서 외부로 나가는 이메일을 분석하기 위해 컨텐츠 분석, 정규표현, 베이지안 필터링(Bayesian filtering), 링크 분석 등 다수의 동일한 탐지 기술들을 사용할 수 있다. 따라서 이메일 보안 게이트웨이에 관한 좀더 대중적인 새로운 기능 중 하나는 “안과 밖을 뒤집는(turn it inside out)”것으로, 즉 아웃바운드 메일의 필터링을 시작하는 것이다.

많은 대기업들은 특정 목적의 데이터 유출 방지에 막대한 비용을 투자하고 있지만 경우에 따라서는 기존의 이메일 보안 게이트웨이에 구축된 성능만으로도 상당한 정도의 정보 노출을 막는데 충분할 수 있다.

<글·마이크 로스만(Mike Rothman)>

Copyright ⓒ 2006 Information Security and TechTarget

[정보보호21c 통권 96호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>