• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

MS 아웃룩, 9월 동안 악성 이메일 10% 놓쳤다 2017.11.01

90%는 정상적인 이메일, 그 중 절반은 뉴스레터 및 광고 메일
아웃룩의 EOP 기능 따돌리는 이메일 공격이 10%...“꽤나 높은 수치”

[보안뉴스 문가용 기자] 마이크로소프트의 오피스 365가 9월 한 달 동안 스팸, 피싱 이메일 공격의 9.3%를 거르지 못했다. 이는 보안 업체 사이렌(Cyren)의 연구원들이 1천 7십만 건의 이메일 메시지들을 분석해서 얻어낸 결과다. 사이렌은 자사의 이메일 보안 갭 분석(Email Security Gap Analysis) 툴을 통해 고객들의 메일함을 자동으로 분석하는 서비스를 제공한다.

[이미지 = iclickart]


사이렌의 엔지니어링 책임자인 피트 스타(Pete Starr)는 “지난 9월 동안 우리가 분석한 1천 7십만 건의 이메일을 분석했다”며 “그 중 90.7%는 정상적인 이메일이었다”고 밝혔다. “이는 대략 9백 75만 건 정도의 이메일인데요, 그 중 4백 60만 건 정도는 뉴스레터였습니다. 즉 정상적인 이메일 트래픽의 절반 가까이가 광고물이라는 겁니다.”

나머지 9.3%는 스팸 등 악성 이메일이었다. 오피스 365가 그대로 통과시켜 사용자의 이메일 함에 도착하도록 해둔 이메일의 숫자가 이만큼인 것. “오피스 365의 이메일 서비스에는 익스체인지 온라인 프로텍션(Exchange Online Protection, EOP)라는 보호 메커니즘이 탑재되어 있습니다. 멀웨어와 스팸을 걸러주는 역할을 하죠. 성공률이 대략 90% 정도라고 볼 수 있습니다.”

또, 957039건의 이메일(전체의 8.93%)은 스팸 메일이었다. 대부분 콘텐츠 스캐닝이나 패턴 탐지를 통해 걸러지지만 통과하는 것도 존재한다. 34077건은 피싱 이메일이었다. 이 피싱 이메일 중 18052건은 금전적인 공격을 하기 위한 것으로 은행에 관한 세부 정보나 계정 접근 권한을 요구했다. 5424건은 비밀번호를 요구하는 피싱 이메일이었고, 10601건은 일반적인 피싱 이메일이었다.

스타는 “개인적으로는 대단히 많은 이메일이 그대로 사용자에게 전달된다고 느꼈고, 이번에 나온 숫자에 놀랐다”는 입장이다. “물론 걸러지는 게 더 많은 건 알겠습니다. 그렇다 해도 10% 가까이가 사용자에게 그대로 전달된다는 것을 두고 ‘양호하다’고 말하지는 못하겠습니다.”

이번에 조사된 이메일 중 3900개에는 멀웨어가 첨부되어 있기도 했다. “물론 0.04%라는 낮은 비율이긴 합니다. 하지만 멀웨어가 첨부되어 있는 이메일은 가장 위험한 것이라는 걸 생각해야 합니다.” 이 이메일들 중 1438개는 심지어 제로데이 취약점을 공략하는 멀웨어를 내포하고 있었다. 아무런 시그니처가 없었기에 무사통과된 것이 1438개라는 것은 곧 잘 알려진 멀웨어가 2462개의 이메일에 붙어있었음에도 아웃룩이 거르지 못했다는 뜻이 된다.

“저 2462개의 이메일은 통과되면 안 되는 게 맞습니다. 이미 세상에 널리 알려진 멀웨어를 잡지 못한다면, 취약점 정보와 첩보를 공유하고 유통하는 게 무슨 소용이 있겠습니까. 아웃룩에서 이러한 이메일이 통과된다는 사실 자체가 의외였고 놀라웠습니다.”

혹시 사용자가 뭔가를 잘못하고 있던 건 아닐까? “물론 그럴 가능성도 높습니다. 사용자가 보안 설정을 꺼두거나 수준을 낮게 잡아놔서 멀웨어들이 통과한 것일 수도 있죠. 하지만 대부분의 사용자가 환경을 설정할 때 오류를 냅니다. MS가 디폴트 설정을 만들 때 이 점을 반드시 고려했어야 합니다.”

또한 시그니처 기반의 필터링은 이미 오래된 기술이라는 점도 스타는 지적한다. 보안 업계에서 시그니처 기반 솔루션은 단독으로 사용될 경우 너무 많은 허점을 가지고 있다는 게 정설이다. 그걸 마이크로소프트가 차용하고 있었다는 것에도 스타는 놀랐다고. “최근 공격자들은 새 IP를 파서 공격합니다. IP 명성 데이터베이스는 점점 더 그 효력을 잃어가고 있습니다.”

그러면서 스타는 “새로운 IP를 추적하는 건 매우 매우 어려운 일”이라며 “보통은 너무 늦은 후에나 공격에 사용된 IP를 찾아내는 게 보통”이라고 설명한다. “화이트리스팅 작업을 지금보다 꼼꼼하게 해야 합니다. 그래서 위험한 메시지가 아예 만들어지지 않는 것과 같은 상황을 조성해야 할 필요가 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>