IceWarp 이메일 서버 자세히보기

고객지원

2007년 2사분기 이메일 위협 경향 보고서

소프트메일 2007. 7. 20. 10:43


2사분기에서 가장 놀랄만한 사건은 6월 말경에 나타난 PDF 스팸의 출현입니다. 이 PDF 스팸은 스팸 메일의 새로운 지평을 여는 것으로 악평을 받고 있으며 이 보고서를 통해 스팸 기술, 봇넷의 성장 및 복합 위협 등을 좀더 자세하게 언급할 것입니다.

PDF 스팸

기존 이미지 기반의 스팸의 대를 이은 차세대 스팸 기술로 인정받은 PDF 스팸은 Adobe사가 개발한 아크로뱃의 저장 방식(PDF)을 이용한 것으로 현재까지의 안티 스팸 기술을 손쉽게 뚫고 들어 옵니다. 지난 주 CommTouch 진단 센터에서는 24시간 동안 스팸 중 약 10-15%의 스팸이 PDF 스팸인 것으로 분류하였습니다. 하지만 그보다는 일반적인 스팸 메시지보다 대략 4배 이상 그 크기가 크기 때문에 스팸 트래픽을 기준으로 볼 때에는 약 30-40% 정도를 차지합니다.
PDF 문서는 널리 이용되므로 PDF 스팸에서 첨부 파일로 저장된 PDF 문서를 아무런 어려움 없이 열어 볼 수 있습니다. 첨부파일에는 PDF 문서뿐만 아니라 .exe 파일도 포함시켜 복합적인 위협이 될 수 있습니다.

PDF 스팸의 주요 특징은 다음과 같습니다.

  • 이미지 기반의 스팸과 마찬가지로 랜덤화한 컨텐트를 보여 줍니다. 즉, 글자와 배경색들을 랜덤하게 변경하여 CAPCHA와 같은 글자 인식 기술(OCR)을 속입니다

  • 전문가의 손길이 느껴지는 디자인을 가지고 있어 인터넷 사업에 적합합니다. 하지만, 메시지는 정력 제품과 주식에 관련된 내용이 주류입니다.


  • 메시지의 첨부 파일에 PDF 파일과 바이러스를 넣어 복합적인 위협을 줍니다. 메시지에 포함된 링크는 악성 프로그램을 포함하는 사이트를 방문하도록 유도합니다.

 


봇넷의 성장 및 복합 위협

지난 해부터 대규모의 봇넷이 생겨나면서 2007년도 2사분기까지도 꾸준이 증가하고 있습니다. 이러한 예 중 하나가 바로 PDF 스팸입니다. 봇넷에 감염된 봇 PC에서 PDF 스팸을 보내는 것으로 확인되었습니다. 봇넷은 이제 공공의 적(!)으로 간주되고 있고 이러한 봇넷과 싸우기 위해 다양한 효과적인 도구 및 방법을 연구 제시되고 있습니다. 하지만, 기존의 방법 대표적인 방법으로는 RBL(Real-time Black List)과 같은 기본의 방법으로는 이러한 봇넷에 효과적인 대응을 할 수 없습니다. 즉, 일반 사용자들도 모두 인터넷을 사용하기 때문에 사설 또는 공인 IP를 가지게 되지만 이 IP들은 대부분 유동적입니다. 따라서, 유동적인 IP를 데이터베이스화한다는 것은 거의 쓸모가 없다게 됩니다. 봇넷을 관리하는 운영자들은 이러한 약점을 이용하여 개인 PC로 꾸준히 악성코드를 배포하여 봇넷의 일원으로 동작하게 유도합니다. 조사에 따르면 2007년도 2사분기에는 하루에 약 343,000 대의 PC가 사용자도 모르게 봇넷의 일원으로 등록되는 것으로 나타났습니다.

2007년 중반쯤에는 모든 인터넷 위협 중에서 봇넷의 위협이 가장 많아 질 것으로 예상되고 있습니다. 봇넷은 2006년 하반기에 기본적인 발판을 구축하였으며 스팸 이메일을 발송하여 이를 통해 개인 PC를 봇에 감염시키면서 봇넷을 더욱 더 확장시켜 오고 있습니다. 이제 봇넷은 충분한 위력을 발휘하고 있으며 이메일을 통해 스팸과 바이러스를 함께 발송하는 복합적 이메일 공격을 취하고 있습니다. 사실 이메일은 악성 프로그램을 전파하는데 가장 효과적이면서도 대중적인 방법입니다. 최근 연구 결과에 따르면 악성 프로그램의 감염 경로 중에 약 23% 정도가 이메일을 통해 감염된다고 합니다. 또한 스팸을 발송하는 봇 또한 60%정도 차지합니다.

 

봇넷에서 보내는 이메일에 감염된 PC에서는 비밀번호, 개인 신용, 은행 정보와 같은 정보를 훔치거나, 이메일 주소 수집, 분산 서비스 거부 공격(DDos Attack) 등 다양한 위협적인 활동을 수행하게 됩니다. 봇넷은 모든 유형의 위협 활동을 지휘할 수 있는 만큼 강력해 졌지만, 이를 막기 위한 노력은 더욱더 힘들어 집니다. 전통적인 대응 방법으로는 이러한 봇넷 전략에 발빠르게 대응할 수 없기 때문에 보다 복합적인 보안 방법이 요구되고 있습니다.

결론 – 이메일 위협은 새로운 대응방안으로는 완벽한 보안 솔류션이 필수적

거대한 봇넷은 이제 인터넷을 스팸으로 넘쳐나게 하는 원이이 되고 있으며 스팸을 통해 더욱더 성장하고 있습니다. 현실적으로는 스팸, 이메일 내부에 숨겨져서 감염되는 악성 프로그램, 봇에 감염된 PC의 IP에서 연결하는 SMTP 세션 차단 등의 완벽한 이메일 보호가 필요합니다. 하론 SX 장비에서 제공하는 UTM 기능을 통해 이러한 이메일 위협을 차단할 수 있습니다.

감사합니다.