Offcanvas

CSO / 검색|인터넷 / 보안 / 악성코드 / 애플리케이션 / 통신|네트워크

"지메일조차 취약하다"··· 보안 연구진, 신종 이메일 발신자 사칭 기법 18종 경고

2020.08.12 Cynthia Brumfield  |  CSO
현 이메일 발신자 검증 시스템에서 18가지 취약점이 새롭게 보고됐다. 이메일 이용자를 정교하게 속일 수 있다는 점에서 주의가 촉구된다고 연구진은 지적하고 있다. 

조직들은 너나 할 것 없이 만성적인 피싱 공격에 골머리를 앓는다. 해커는 피싱 공격으로 시스템에 침입해 맬웨어를 유포한다.

대부분의 피싱 공격자들은 이메일 발신자 주소를 위조한 다음 네트워크를 통해 상대방에게 페이로드(실제 데이터)를 보낸다. 이 이메일은 마치 적법하고 권위 있는 발신자가 보낸 것처럼 보인다. 그러나 사실 사기만을 목적으로 배포된 도메인에서 발송된 것이다. 대부분의 이메일 수신자는 사실상 실제 이메일 계정과 조작된 계정을 구분하기 어렵다. 그런 연유로 피싱은 이용자와 조직 모두에게 해결하기 어려우면서 끝없이 되풀이되는 문제로 남아있다.
 
ⓒThinkstock / Imaginima / Getty Images

일단의 연구진이 발신자의 신원을 검증하는 이메일 시스템에 내재된 취약점 18가지를 새로이 발견했다. UC 버클리의 컴퓨터과학 교수이자 코어라이트(Corelight)의 공동 설립자 겸 최고 과학자인 번 팩슨과 국제컴퓨터과학연구소(International Computer Science Institute)의 박사 과정 후 연구자인 지안전 첸, 그리고 F5(셰이프 시큐리티(Shape Security))의 수석 엔지니어링 디렉터인 지안 지앙은 지난주 블랙햇(Black Hat)에서 연구 결과를 발표했다. 제목은 “당신은 그 이메일을 누가 보냈는지 알 수 없다: 이메일 발신자 검증에 관한 18가지 공격”이었다. 

컴포넌트 간 데이터 해석의 차이  
연구자들이 논문에서 짚은 바와 같이, 이메일 서버는 이메일 스푸핑에 대처하기 위해 간이 메일 전송 프로토콜(SMTP)의 확장판인 SPF, DKIM, DMARC를 사용한다. 서버는 이 프로토콜들을 이용해 발신자의 신원을 검증한 다음 이메일 클라이언트상에 발신자가 유효한 사람이라는 점을 표시한다. 이렇게 서로 다른 소프트웨어 컴포넌트를 조합해 발신자 신원을 검증하는 방식에 취약점이 있으며, 이를 통해 해커가 신원을 사칭할 위험이 있다고 연구진은 설명했다. 

번 팩슨은 <CSO>에게 “복잡한 인터넷 서비스와 시스템은 여러 개의 컴포넌트로 구성된다. 그리고 이 컴포넌트들은 일정한 방식으로 연동하거나 공조해야 한다”라며 “컴포넌트들의 데이터 해석 방식에 미묘한 차이가 있는 탓에 공격자가 조작을 가할 수 있다. 이메일 발신인의 신원 증명 작업은 3개의 다른 프로토콜 위에서 이뤄지는데, 이 프로토콜들은 이메일 메시지의 다양한 측면을 분석해 이메일이 신뢰할 만한 출처에서 온 것인지 확인한다”라고 설명했다. 

1년 동안, 연구자들은 10 곳의 주요 이메일 서비스 제공업체와 19개의 이메일 클라이언트에 걸쳐 컴포넌트 간의 데이터 해석 불일치를 악용하는 18가지 기법을 개발했다. 이메일 제공업체 10곳은 지메일(Gmail.com), 아이클라우드(iCloud.com), 아웃룩(Outlook.com), 야후(Yahoo.com), 네이버(Naver.com), 패스트메일(Fastmail.com), 조호(Zoho.com), 튜타노타(Tutanota.com), 프로토메일(Protomail.com), 메일(Mail.ru)이었다. 

연구자들은 각종 소프트웨어 컴포넌트 내의 허점을 악용하는 3대 공격 유형으로 인트라-서버(intra-server), UI 불일치(UI mismatch), 모호한 리플레이(ambiguous replay) 공격을 들었다. 10곳의 이메일 제공업체는 모두 UI 불일치와 모호한 리플레이 공격에 취약했으며, 그 가운데 6곳은 인트라-서버 공격을 당할 여지가 발견됐다. 

보안 구멍 뚫린 이메일 
공격이 이뤄지는 과정은 기술적으로 복잡하다. 그럼에도 팩슨에 따르면 “핵심은 그중 18개의 기법이 있다는 점이며 이 중 일부는 상당히 정교하다”라고 말했다 (연구자들은 공격에 관해 이해를 돕는 영상을 게시했다). 팩슨은 “결론적으로, 보안에 능통하면서 우리가 말하는 것을 제대로 이해하는 사용자라고 해도 주의를 기울이지 않으면 [예컨대] 이메일이security@facebook.com 으로부터 온 것인지 알 수가 없다. 로우 헤더를 보면서 이메일이 진짜인지 가짜인지 많은 고민을 해야 한다. 게다가 일부 공격의 경우 이마저도 충분치 않다”라고 지적했다. 

팩슨은 이메일 시스템 중 가장 보안성이 좋은 지메일조차 이런 공격에 취약하다고 보았다. 첸은 연구의 대부분을 이행하면서 10 곳의 이메일 사업자에게 문제가 있음을 명확히 전달했다. 팩슨은 “대다수 사업자가 ‘음, 커다란 문제로군’이라 말하며 “여러 사업자가 버그 바운티로 문제를 이관했다”라고 말했다. 

하지만 마이크로소프트와 야후는 연구자들의 지적에 대해 응답하지 않았다. 팩슨에 따르면 “마이크로소프트는 ‘이런 결함이 소셜 엔지니어링 공격을 가능하게 한다는 걸 알지만 보안 특성에 해당하지 않는다’라고 간주한다”라며 “그러나 우리가 보기엔 바로 거기서 취약점이 발생하는 것”이라고 말했다. 이어 그는 마이크로소프트의 시각을 두고 “그다지 미래 지향적이지 않다”라고 지적했다. 

팩슨은 “(야후의 경우)그냥 이해를 못했다. 매우 실망스러웠다. 첸이 동영상도 첨부해 문제점을 보여줬지만, DNS 서버의 구성 오류 정도로 생각하는 듯했다”라고 말했다. 

마이크로소프트 대변인은 <CSO>의 물음에 대해 “오피스 365와 아웃룩닷컴은 다층 이메일 필터링 방어를 이용해 최신 피싱, 스푸핑, 사칭 공격으로부터 고객을 보호한다. 우리는 지속적으로 우리 서비스를 평가하고 강화하면서 새로운 공격으로부터 고객을 안전하게 보호한다. 이번 논문의 구체적 사항을 평가 중이고 필요한 조치를 취할 것이다”라고 말했다. 현재 버라이즌 미디어의 소유인 야후는 <CSO>의 답변 요청에 응하지 않았다. 

갈 길이 먼 이메일 보안
연구자들은 18개 취약점이 실제 현실에서 악용된 사례가 있는지에 대해서는 모른다. 팩슨은 “이런 취약점들을 발견하기 위해 기술적으로 상당히 많은 수고를 해야 했다. 따라서 현재 이런 취약점들을 악용 중인 해커가 있다면, 실력이 상당한 해커일 가능성이 크다”라고 말했다. 

이어 “이 취약점들이 악용되고 있는지 판단할 수 있는 방법이 없다. 이메일 헤더를 모두 조사할 수 있는 지메일 같은 곳만 취약점이 악용되고 있는지 여부를 파악할 수 있을 것이다”라고 말했다. 

무엇보다도 연구자들이 발견한 문제는 일부에 불과하다고 팩슨은 강조했다. 이메일 사업자와 클라이언트가 피해를 입을 수 있는 지점은 이것 외에도 더 있을 수 있다는 것. 팩슨은 “이런 문제를 정확히 파악할 수 있는 툴이 없는 탓에 얼마나 더 많은 취약점이 있는지 알 길이 없다”라고 말했다.

이번 연구의 성과 중 하나는 이번에 발견된 스푸핑 시도를 개인이나 조직이 발견하고 대응할 수 있는 툴을 개발한 것이다. ‘이스푸퍼(espoofer)’이라고 불리는 이 툴은 깃허브에 공개돼 있으며 개인, 시스템 관리자, 보안 연구자가 이용할 수 있다. 

소프트웨어 컴포넌트 간 불일치 문제에 대한 해법이 마련되거나 엔드-투-엔드 암호화 이메일 시스템이 개발되어 보편화되기 전까지는 이용자 인식 교육만이 피싱 공격을 방어할 수 있는 최선의 방법이다.

팩슨은 “(이용자)교육에 대한 몇 가지 연구를 보면 많은 진전이 있지만 해결은 아직 요원하다”라고 말했다. 그러면서 “만약 이용자에게 무언가 미심쩍은 행위를 하도록 요구하는 내용이 메시지에 포함된 경우 이를 확인할 방법을 마련하라”고 조언했다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.