스팸 메일을 막기 위해 기업마다 많은 스팸 차단 솔루션, 스팸 필터 등을 메일 서버와 연동해 놓는 것이 일반적입니다. 하지만 그럼에도 불구하고 스팸 차단 솔루션을 뚫고 들어오는 경우가 많습니다.

공격자들은 스팸 메일 차단 솔루션을 뚫기 위해  잘 알려진 대기업의 공식 메일 서비스를 사용하거나, 악성 링크 탐지 및 첨부파일 체크 등 스팸 차단 솔루션의 탐지 로직을 교묘하게 피해가며 악성 메일을 발송합니다. 그럴 경우, 스팸 필터를 연동해 놓았음에도 사용자의 받은 편지함에 악성 메일이 수신 됩니다. 하지만 이 골치 아픈 문제도 IP 인텔리전스를 활용하면 상당 부분 보완할 수 있습니다. 이 글에서는 IP 인텔리전스로 스팸 메일 차단 솔루션을 뚫고 들어오는 악성 메일까지 보완하는 방법과 사례를 소개합니다.

스팸메일 차단 솔루션 우회 피싱 공격 IP 추적 방법

아래와 같이 기업 메일로 수신된 스팸 메일이 있습니다. 이 메일은 한국의 Daum 이라는 메일 서비스를 사용했기 때문에 SPF 문제 등은 발생하지 않았으며, 첨부 파일에는 악성 코드가 담겨져 있긴 하지만 스팸 솔루션을 우회하여 사용자의 받은 편지함까지 유입된 상태입니다. 

스팸 메일 차단 솔루션을 뚫고 들어온 피싱메일
스팸 메일 차단 솔루션을 뚫고 들어온 피싱메일

메일을 발신한 공격자의 정보를 확인하기 위해 메일의 헤더를 살펴볼 수 있습니다.

메일 헤더의 내용을 설명하는 것은 이 글의 목적을 벗어나므로 자세한 설명은 생략하지만, 메일 헤더 분석 기술이 없는 일반인들도 구글에서 “email header analyzer” 등으로 검색하면 웹에서 바로 메일 헤더를 찾아주는 https://mxtoolbox.com/ 같은 사이트가 많습니다.

아래 그림은 메일 헤더 분석 시스템으로 살펴본 헤더의 내용입니다. 

스팸메일 차단 솔루션 우회 공격 메일의 헤더 정보

헤더의 내용 중 X-Originating-IP 라는 항목은 메일을 작성한 사람의 IP 주소가 기록됩니다. 즉, 만약 해커가 이 메일을 전송하였다면 해커가 메일 전송 버튼을 누른 PC 의 IP주소일 것으로 추측할 수 있습니다.

IP 인텔리전스로 분석한 스팸메일 공격 IP 주소

Criminal IP(https://www.criminalip.io) 로 이 IP 주소를 살펴보니 서버는 대만에 위치해 있었습니다. 하지만, 메일에서는 중국어나 대만어를 사용하지 않았고, 메일 내용 역시 다른 나라의 기업에 취직하려는 내용처럼 보이지 않습니다.

그보다 더욱 의심스러운 것은 이 IP 주소에서 가동되고 있는 서비스들입니다. 분명히 TCP/443 포트에서 서비스가 가동되고 있었고 정상적인 상황이라면 이 포트는 HTTPS 를 서비스 하고 있어야 합니다. 하지만 아래 보이는 그림처럼 이 IP 주소는 TCP/443 포트에 OpenVPN 을 가동시켜 두고 있는것을 알 수 있습니다. 추가로 분석된 내용을 보니 privateinter*.com  라는 상용 VPN 서비스에서 제공되는 IP 주소로 확인됩니다. 

IP 인텔리전스 검색엔진 Criminal IP로 추적한 스팸 공격 IP 정보. 대만 위치의 VPN 서버로 확인된다
IP 인텔리전스 검색엔진 Criminal IP로 추적한 스팸 공격 IP 정보. 대만 위치의 VPN 서버로 확인된다
스팸 공격 IP 주소의 인텔리전스 분석 결과, TCP 443 포트에서 VPN이 가동되고 있다
스팸 공격 IP 주소의 인텔리전스 분석 결과, TCP 443 포트에서 VPN이 가동되고 있다

참고로 아래 그림은 일반적인 경우의 TCP/443 HTTPS 프로토콜의 배너 결과 모습입니다.

일반적인 TCP/443 포트의 HTTPS 프로토콜 배너 결과
일반적인 TCP/443 포트의 HTTPS 프로토콜 배너 결과

TCP/443 포트에서 OpenVPN 프로토콜을 실행하는 이유

OpenVPN 프로토콜을 443포트에 가동하는 이유는 다음과 같습니다.

기업이나 기관에서 VPN 접속을 하는 경우 직원이 내부 정보 유출할 가능성이 있고, 악성코드가 암호화하는 트래픽을 보지 못한다는 이유로 내부 보안 장비에서 이 VPN 접속을 차단합니다. 하지만 이런 OpenVPN 포트가 본래의 UDP/1194 포트가 아닌 TCP/443 포트로 전송된다면 접속을 그냥 허용하는 경우가 많습니다. 아웃바운드 TCP/443 을 차단하게 되면 그 기업의 모든 직원들은 인터넷 서핑 자체가 불가능해지기 때문입니다.

따라서 몇몇 상용 VPN 에서는 OpenVPN 등의 프로토콜을 TCP/443 포트에 가동해 두는 경우가 많습니다. 이렇게 다른 포트에서 VPN을 가동해 놓으면, 일반적인 IoT 검색엔진은 VPN 서비스를 가동한 IP 주소로 탐지하지 않고 일반 IP주소로 인식합니다. 접속 차단을 위해 VPN IP 주소를 탐지하는 경우에도 레이더망을 피할 수  있습니다. 스팸메일 차단 솔루션 우회 공격으로 악성 메일을 발송한 이 IP 주소 역시 이와 관련이 있다고 볼 수 있습니다.

스팸메일 공격 사례 분석 결과

  • 어떤 기업에 이력서를 보내면서, 대만의 VPN 을 사용했음
  • OpenVPN 을 쓰는 이 VPN 포트는 UDP/1194 가 아닌 TCP/443 을 사용하고 있음
  • 일반적이지 않은 포트를 사용한 것으로 보아, IP 주소 우회가 목적인 것이 분명

스팸메일 차단 솔루션 우회 공격, IP 인텔리전스로 보완하는 방법

따라서 IP 인텔리전스 관점에서는 다음과 같은 보완 전략을 세울 수 있습니다.

스팸메일 차단 솔루션 우회 공격 보완하는 방법

  • 스팸솔루션 또는 스팸필터와 연동되는 플러그인에서 VPN IP 주소를 탐지할 수 있는 IP 인텔리전스 시스템과 연동한다. 
  • 메일이 들어오면 헤더를 보고 X-Originating-IP 를 살펴본다, 그 IP 주소를 IP 인텔리전스 시스템에 연동하여 검사한다.
  • X-Originating-IP 에 기재된 IP 주소가 VPN IP 주소로 판명된다면 해당 메일을 스팸으로 진단한다.
  • VPN 이 비정상적인 포트 번호로 설정되어 있다면 더욱 가중치를 높여 탐지한다. 
  • VPN 외에도 Tor IP 주소, 호스팅 IP 주소, 평판이 좋지 않은 IP 주소 인지 함께 탐지해 본다.

참고로 X-Originating-IP  필드는 메일 서버에 따라 이 필드를 생략하는 경우도 많으므로 (참고로 지메일은 이 필드를 기록하지 않습니다) 이 전략이 스팸 메일에 대한 완벽한 보안 문제 해결은 아닙니다. 하지만 이런 탐지 로직으로 코드를 작성하여 스팸메일 차단 솔루션과 연동해 두면, 기존 솔루션을 뚫고 들어오는 공격들을 상당 수준 탐지할 수 있는 성능 좋은 보완재로 사용할 수 있습니다.

IP 주소 기반 위협 인텔리전스 검색엔진 Criminal IP는 위에 설명된 IP 인텔리전스 보완이 가능한 Open API 연동을 제공합니다.  Criminal IP 계정 등록 (https://www.criminalip.io/register) 후 검색엔진 플랫폼에서 직접 검색 혹은 My Page의 API Key를 발급 받아 빠르게 연동이 가능하며, 대량의 API Call을 필요로 하는 Enterprise 기업 고객을 위한 커스터마이징 및 맞춤 Call 수 제공도 가능합니다.

기업 및 기관의 사이버 보안에 OSINT와 IP 인텔리전스 도입이 필요한 이유와 실제 공격에 대한 IP 추적 및 분석 내용은  부 시스템이 당한 크립토재킹 공격을 OSINT로 예방할 수 있었던 사례에 대한 글 을 참고하시면 좋습니다.

더 많은 Criminal IP 활용 사례를 보고 싶다면 Criminal IP 영업팀에 문의 바랍니다.

데이처 출처 : Criminal IP (https://www.criminalip.io)

관련 글 : 

정부 축산시스템에서 몇 년간 채굴되던 코인, 악성코드 감염 예방 가능했을까?