작은 메모장

스피어 피싱 이메일 분석 이론 본문

KISA 사이버 보안 훈련/스피어피싱 대응 기본

스피어 피싱 이메일 분석 이론

으앙내눈 2023. 5. 21. 14:51

스피어피싱을 공격자가 사용하기 위해선 다양한 방법으로 악성 메일을 보내려고 함

이를 파악하고 방지하기 위해서는 이메일 환경에 대해 알고 있어야 함 

 

이메일이 전송되는 과정

1. 메일 발신자가 메일의 메시지를 source의 메일 서버(MSA)가 수신

2. 메일 서버들 그룹에서 목적지를 담당하고 있는 메일서버를 탐색 후 전송

3. 목적지 메일 서버에 메시지가 도착

4. 수신자에게 이메일이 전송

메일은 이러한 과정을 거칠 때마다 그에 대한 로그 데이터가 메일에 쌓임

이 로그 데이터는 RFC822를 기초로 삼고 있음

 

메일은 크게 Message Envelope, Message Content(Header, Body)로 구성

Message Envelope은 전송자와 수신자의 메일 주소를 담고 있음

마찬가지로 Header는 전송자와 수신자의 메일 주소를 담고 있음

해커는 이 Message Envelope의 Header의 메일 주소를 다르게 하여 공격함

수신자는 이렇게 변조된 메일 주소를 보고 올바르게 수신되었다고 착각

이를 스푸핑이라고 부름

때문에 이 두 부분의 수신자/송신자 메일 주소가 다르다면, 스피어 피싱 메일이라고 볼 수 있는 중요한 특징

 

Envelope Form vs Header Form

Envelope Form Header Form
RFC5321.MailFrom RFC5322.From
메일 서버가 NDR을 생성하는데 사용 이메일 클라이언트(EUA)가 디스플레이 할 때 사용
SPF를 이용하여 스푸핑으로부터 보호 DMARC를 이용하여 스푸핑으로부터 보호

스푸핑을 방지하기 위해, 각 메일 form은 고유한 보호 기술을 가지고 있음

SPF를 통과했다면, Envelope Form은 신뢰 가능

DMARC를 통과했다면, Header Form은 신뢰 가능