해커즈뉴스 / 해커대학

Donation bitcoin(기부용 비트코인 주소)

 
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
 
기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.
 
 

Donation bitcoin(기부용 비트코인 주소)

 
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
 
기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.
 

공지

 

1. 크롬 브라우저로 접속시 나오는 악성코드 경고창은 구글 크롬의 에러, 즉 오탐(탐지 오류)이므로 무시하시면 됩니다.

2. 이 사이트는 안전하며 깨끗하다는 것을 알려 드립니다.

 

  ▒   [해커대학 - hackers college]   ▒  

작성자: 해커즈뉴스
장르: 보안
2020/8/15(토)
조회: 145
"지메일조차 취약하다"··· 보안 연구진, 신종 이메일 발신자 사칭 기법 18종 경고  

현 이메일 발신자 검증 시스템에서 18가지 취약점이 새롭게 보고됐다. 이메일 이용자를 정교하게 속일 수 있다는 점에서 주의가 촉구된다고 연구진은 지적하고 있다. 

조직들은 너나 할 것 없이 만성적인 피싱 공격에 골머리를 앓는다. 해커는 피싱 공격으로 시스템에 침입해 맬웨어를 유포한다.

대부분의 피싱 공격자들은 이메일 발신자 주소를 위조한 다음 네트워크를 통해 상대방에게 페이로드(실제 데이터)를 보낸다. 이 이메일은 마치 적법하고 권위 있는 발신자가 보낸 것처럼 보인다. 그러나 사실 사기만을 목적으로 배포된 도메인에서 발송된 것이다. 대부분의 이메일 수신자는 사실상 실제 이메일 계정과 조작된 계정을 구분하기 어렵다. 그런 연유로 피싱은 이용자와 조직 모두에게 해결하기 어려우면서 끝없이 되풀이되는 문제로 남아있다.
 

ⓒThinkstock / Imaginima / Getty Images


일단의 연구진이 발신자의 신원을 검증하는 이메일 시스템에 내재된 취약점 18가지를 새로이 발견했다. UC 버클리의 컴퓨터과학 교수이자 코어라이트(Corelight)의 공동 설립자 겸 최고 과학자인 번 팩슨과 국제컴퓨터과학연구소(International Computer Science Institute)의 박사 과정 후 연구자인 지안전 첸, 그리고 F5(셰이프 시큐리티(Shape Security))의 수석 엔지니어링 디렉터인 지안 지앙은 지난주 블랙햇(Black Hat)에서 연구 결과를 발표했다. 제목은 “당신은 그 이메일을 누가 보냈는지 알 수 없다: 이메일 발신자 검증에 관한 18가지 공격”이었다. 

컴포넌트 간 데이터 해석의 차이  
연구자들이 논문에서 짚은 바와 같이, 이메일 서버는 이메일 스푸핑에 대처하기 위해 간이 메일 전송 프로토콜(SMTP)의 확장판인 SPF, DKIM, DMARC를 사용한다. 서버는 이 프로토콜들을 이용해 발신자의 신원을 검증한 다음 이메일 클라이언트상에 발신자가 유효한 사람이라는 점을 표시한다. 이렇게 서로 다른 소프트웨어 컴포넌트를 조합해 발신자 신원을 검증하는 방식에 취약점이 있으며, 이를 통해 해커가 신원을 사칭할 위험이 있다고 연구진은 설명했다. 

번 팩슨은 에게 “복잡한 인터넷 서비스와 시스템은 여러 개의 컴포넌트로 구성된다. 그리고 이 컴포넌트들은 일정한 방식으로 연동하거나 공조해야 한다”라며 “컴포넌트들의 데이터 해석 방식에 미묘한 차이가 있는 탓에 공격자가 조작을 가할 수 있다. 이메일 발신인의 신원 증명 작업은 3개의 다른 프로토콜 위에서 이뤄지는데, 이 프로토콜들은 이메일 메시지의 다양한 측면을 분석해 이메일이 신뢰할 만한 출처에서 온 것인지 확인한다”라고 설명했다. 

1년 동안, 연구자들은 10 곳의 주요 이메일 서비스 제공업체와 19개의 이메일 클라이언트에 걸쳐 컴포넌트 간의 데이터 해석 불일치를 악용하는 18가지 기법을 개발했다. 이메일 제공업체 10곳은 지메일(Gmail.com), 아이클라우드(iCloud.com), 아웃룩(Outlook.com), 야후(Yahoo.com), 네이버(Naver.com), 패스트메일(Fastmail.com), 조호(Zoho.com), 튜타노타(Tutanota.com), 프로토메일(Protomail.com), 메일(Mail.ru)이었다. 

연구자들은 각종 소프트웨어 컴포넌트 내의 허점을 악용하는 3대 공격 유형으로 인트라-서버(intra-server), UI 불일치(UI mismatch), 모호한 리플레이(ambiguous replay) 공격을 들었다. 10곳의 이메일 제공업체는 모두 UI 불일치와 모호한 리플레이 공격에 취약했으며, 그 가운데 6곳은 인트라-서버 공격을 당할 여지가 발견됐다. 

보안 구멍 뚫린 이메일 
공격이 이뤄지는 과정은 기술적으로 복잡하다. 그럼에도 팩슨에 따르면 “핵심은 그중 18개의 기법이 있다는 점이며 이 중 일부는 상당히 정교하다”라고 말했다 (연구자들은 공격에 관해 이해를 돕는 영상을 게시했다). 팩슨은 “결론적으로, 보안에 능통하면서 우리가 말하는 것을 제대로 이해하는 사용자라고 해도 주의를 기울이지 않으면 [예컨대] 이메일이security@facebook.com 으로부터 온 것인지 알 수가 없다. 로우 헤더를 보면서 이메일이 진짜인지 가짜인지 많은 고민을 해야 한다. 게다가 일부 공격의 경우 이마저도 충분치 않다”라고 지적했다. 

팩슨은 이메일 시스템 중 가장 보안성이 좋은 지메일조차 이런 공격에 취약하다고 보았다. 첸은 연구의 대부분을 이행하면서 10 곳의 이메일 사업자에게 문제가 있음을 명확히 전달했다. 팩슨은 “대다수 사업자가 ‘음, 커다란 문제로군’이라 말하며 “여러 사업자가 버그 바운티로 문제를 이관했다”라고 말했다. 

하지만 마이크로소프트와 야후는 연구자들의 지적에 대해 응답하지 않았다. 팩슨에 따르면 “마이크로소프트는 ‘이런 결함이 소셜 엔지니어링 공격을 가능하게 한다는 걸 알지만 보안 특성에 해당하지 않는다’라고 간주한다”라며 “그러나 우리가 보기엔 바로 거기서 취약점이 발생하는 것”이라고 말했다. 이어 그는 마이크로소프트의 시각을 두고 “그다지 미래 지향적이지 않다”라고 지적했다. 

팩슨은 “(야후의 경우)그냥 이해를 못했다. 매우 실망스러웠다. 첸이 동영상도 첨부해 문제점을 보여줬지만, DNS 서버의 구성 오류 정도로 생각하는 듯했다”라고 말했다. 

마이크로소프트 대변인은 의 물음에 대해 “오피스 365와 아웃룩닷컴은 다층 이메일 필터링 방어를 이용해 최신 피싱, 스푸핑, 사칭 공격으로부터 고객을 보호한다. 우리는 지속적으로 우리 서비스를 평가하고 강화하면서 새로운 공격으로부터 고객을 안전하게 보호한다. 이번 논문의 구체적 사항을 평가 중이고 필요한 조치를 취할 것이다”라고 말했다. 현재 버라이즌 미디어의 소유인 야후는 의 답변 요청에 응하지 않았다. 

갈 길이 먼 이메일 보안
연구자들은 18개 취약점이 실제 현실에서 악용된 사례가 있는지에 대해서는 모른다. 팩슨은 “이런 취약점들을 발견하기 위해 기술적으로 상당히 많은 수고를 해야 했다. 따라서 현재 이런 취약점들을 악용 중인 해커가 있다면, 실력이 상당한 해커일 가능성이 크다”라고 말했다. 

이어 “이 취약점들이 악용되고 있는지 판단할 수 있는 방법이 없다. 이메일 헤더를 모두 조사할 수 있는 지메일 같은 곳만 취약점이 악용되고 있는지 여부를 파악할 수 있을 것이다”라고 말했다. 

무엇보다도 연구자들이 발견한 문제는 일부에 불과하다고 팩슨은 강조했다. 이메일 사업자와 클라이언트가 피해를 입을 수 있는 지점은 이것 외에도 더 있을 수 있다는 것. 팩슨은 “이런 문제를 정확히 파악할 수 있는 툴이 없는 탓에 얼마나 더 많은 취약점이 있는지 알 길이 없다”라고 말했다.

이번 연구의 성과 중 하나는 이번에 발견된 스푸핑 시도를 개인이나 조직이 발견하고 대응할 수 있는 툴을 개발한 것이다. ‘이스푸퍼(espoofer)’이라고 불리는 이 툴은 깃허브에 공개돼 있으며 개인, 시스템 관리자, 보안 연구자가 이용할 수 있다. 

소프트웨어 컴포넌트 간 불일치 문제에 대한 해법이 마련되거나 엔드-투-엔드 암호화 이메일 시스템이 개발되어 보편화되기 전까지는 이용자 인식 교육만이 피싱 공격을 방어할 수 있는 최선의 방법이다.

팩슨은 “(이용자)교육에 대한 몇 가지 연구를 보면 많은 진전이 있지만 해결은 아직 요원하다”라고 말했다. 그러면서 “만약 이용자에게 무언가 미심쩍은 행위를 하도록 요구하는 내용이 메시지에 포함된 경우 이를 확인할 방법을 마련하라”고 조언했다.


  이름   메일   관리자권한임
  내용 입력창 크게
                    답변/관련 쓰기 폼메일 발송 수정/삭제     이전글 다음글    
번호장르제 목작성일
5833 악성코드    “호텔 객실 확인하세요” 메일 위장한 악성코드 주의보 2020/08/17
5832 악성코드    리눅스 해킹 위해 러시아 해킹그룹 APT28이 만든 악성코드 변종 ‘Drovorub’ 2020/08/16
5831 보안    "지메일조차 취약하다"··· 보안 연구진, 신종 이메일 발신자 사칭 기법 18종 경고 2020/08/15
5830 보안    산업용 로봇들 사이버 공격 대비 허술하다 2020/08/15
5829 해킹    잇단 해킹 공격받은 독일, 새 사이버 안보기관 창설 2020/08/15
5828 해킹    미 법무부 차관보 "연내 '해킹 혐의' 더 많은 중국인 기소 예상" 2020/08/15
5827 해킹    틱톡이 몰래 모은 '맥주소'…해킹·포렌식 활용되는 중요 정보 2020/08/14
5826 해킹    소니픽쳐스 해킹 이후 할리우드에서 북한 악당 설정 영화 사라져 2020/08/14
5825 해킹    언론사 기자 상대로 한 계정 탈취 공격 증가 주의… 해킹 그룹 ‘탈륨’ 소행 추정 2020/08/14
5824 해킹    이준혁, SNS 해킹 피해→윤박도 응원 “새로 팔로우 부탁” 2020/08/14

 
목록