모의해킹 (WAPT)

취약한 DMARC 보안 정책을 악용하여 스피어 피싱 활동을 마스킹

날으는물고기 2024. 6. 26. 00:37

US Says North Korean Hackers Exploiting Weak DMARC Settings

지난 5월 미국 연방수사국(FBI), 국가안보국(NSA), 그리고 미국 국무부가 공동으로 발행한 보고서의 주요 목적은 북한의 Kimsuky 사이버 행위자들이 DMARC(Domain-based Message Authentication, Reporting and Conformance) 정책 설정 오류를 이용하여 사회 공학적 기법을 숨기는 시도를 강조하는 것입니다. DMARC 정책이 제대로 구성되어 있지 않으면, 악의적인 사이버 행위자들이 합법적인 도메인의 이메일 교환처럼 위장하여 스푸핑 이메일을 보낼 수 있습니다.

North Korean Actors Exploit Weak DMARC Security Policies to Mask Spearphishing Efforts.pdf
0.35MB

주요 내용은 다음과 같습니다.

  1. 배경: 북한의 Kimsuky 그룹은 최소 2012년 이래로 활동해왔으며, 북한 정부의 정찰총국(RGB)에 속해 있습니다. 이들의 주된 임무는 정책 분석가들을 해킹하여 북한 정부에 유용한 데이터와 지정학적 통찰력을 제공하는 것입니다.
  2. 운영 방식: Kimsuky는 대상을 속여 개인 네트워크에 접근을 시도하는 스피어피싱 캠페인을 주로 사용합니다. 이들은 종종 합법적인 기관이나 개인을 가장하여 이메일을 보내며, 이메일의 '답장하기' 주소를 조작하여 피해자가 답장을 보내면 자신들의 제어하에 있는 주소로 연결되도록 합니다.
  3. 적색 깃발 지표: 초기 의심스럽지 않은 소통 후 악의적인 링크나 문서를 포함한 소통이 이어지는 경우, 이메일 주소에 미세한 오탈자가 있는 경우, 공식 소스를 사칭하나 비공식 이메일 서비스를 사용하는 경우 등이 북한 사이버 행위자들의 활동을 나타내는 신호가 될 수 있습니다.
  4. 완화 조치: 기관은 DMARC 정책을 업데이트하여 'quarantine'(검역) 또는 'reject'(거부)로 설정하도록 권장하고 있습니다. 이는 DMARC 검사에 실패한 이메일을 스팸으로 간주하거나 차단하도록 이메일 서버에 지시합니다.
  5. 보고 방법: 만약 스피어피싱 시도의 표적이 된 경우, www.ic3.gov 웹사이트를 통해 보고하고, 사건에 대한 가능한 많은 정보를 포함시키는 것이 중요합니다.

기업에서 보안을 담당하고 있다면, 북한의 Kimsuky 사이버 행위자들이 DMARC 설정 오류를 이용하는 사례에 주목할 필요가 있습니다. 여기서 중요한 핵심 내용과 보안 담당자로서 취해야 할 대응 방법, 예방 및 대책을 정리해 드리겠습니다.

핵심 내용

  1. DMARC 설정의 중요성: DMARC는 이메일 발신자가 주장하는 도메인이 실제로 메일을 보낸 도메인인지를 확인하여, 스푸핑과 같은 사기 시도를 막는 데 도움을 줍니다.
  2. 북한 사이버 행위자들의 전략: 이들은 합법적인 기관이나 개인을 가장하여 스피어피싱 이메일을 보내며, DMARC 정책 설정 미비를 이용해 이메일 인증 실패를 은폐합니다.

대응 방법 및 예방 대책

DMARC, SPF, DKIM 설정 강화

  • DMARC 설정: DMARC를 'reject' 또는 'quarantine'으로 설정하여 인증 실패한 이메일을 차단하거나 검역합니다. 이는 가짜 이메일을 필터링하고 조직의 이메일 도메인의 신뢰성을 보호합니다.
  • SPF 및 DKIM 설정: 이메일의 발신자 주소가 실제로 유효한지 확인하고, 이메일이 변경되지 않았음을 인증합니다. 이러한 프로토콜들은 DMARC와 함께 작동하여 이메일 보안을 강화합니다.

직원 교육 및 인식 제고

  • 정기적인 보안 교육: 직원들에게 스피어피싱 및 사회공학 공격의 사례와 징후를 교육합니다.
  • 이메일 보안 관행 강조: 의심스러운 이메일, 특히 문법적 오류가 있는 이메일이나 예상치 못한 첨부파일을 열지 않도록 합니다.

기술적 감시 및 대응

  • 이메일 게이트웨이 보안: 이메일 필터링과 위협 탐지 기능을 강화하여 악성 이메일을 사전에 차단합니다.
  • 정기적인 보안 감사: 이메일 시스템과 보안 설정을 정기적으로 검토하고, 취약점을 조기에 발견하여 대응합니다.

사고 대응 계획

  • 사고 대응 프로토콜: 스피어피싱 시도가 발견되면 신속하게 대응할 수 있는 절차를 마련합니다. 이메일 원본 보관, 관련 정보 수집, 필요한 경우 법적 조치 포함.
  • 내부 통신 채널의 안전성 검증: 사내 통신에 사용되는 도구와 플랫폼의 보안을 지속적으로 점검합니다.

추가 정보 및 자원

  • CISA 및 NIST 가이드라인: 추가적인 보안 조치와 프레임워크에 대해 CISA와 NIST에서 제공하는 가이드라인을 참조합니다.
  • 정부 및 업계 협력: 최신 위협 정보를 공유하고 대응 방법을 배우기 위해 관련 정부 기관과 업계와 협력합니다.

 

이러한 조치들은 조직의 네트워크를 보호하고 사이버 위협에 대응하는 데 필수적입니다. 보안 담당자로서 위의 점검사항을 주기적으로 확인하고 개선하는 것이 중요합니다.

 

Google Workspace(GWS)를 사용하면서 DMARC, SPF, DKIM 설정을 강화하는 방법에 대해 설명드리겠습니다. 이 설정들은 이메일의 신뢰성을 높이고 스팸 및 피싱 공격을 방지하는 데 중요합니다.

1. SPF 설정

SPF(Sender Policy Framework)는 특정 도메인에서 이메일을 보낼 수 있는 서버를 지정하는 DNS 레코드입니다. 이를 통해 스푸핑(spoofing)을 방지할 수 있습니다.

SPF 설정 방법

  1. Google Workspace Admin Console에 로그인합니다.
  2. [앱] > [Google Workspace] > [Gmail]로 이동합니다.
  3. [인증] > [Gmail 인증]을 선택합니다.
  4. SPF 섹션에서 제공된 값을 복사합니다.
  5. 도메인 호스트(DNS 제공업체)의 관리 페이지로 이동합니다.
  6. DNS 설정에서 SPF 레코드를 추가합니다. 보통 TXT 레코드로 설정합니다.
    v=spf1 include:_spf.google.com ~all
    • v=spf1: SPF 버전.
    • include:_spf.google.com: Google Workspace 서버를 포함.
    • ~all: 모든 다른 서버는 일시적으로 허용하지 않음.

2. DKIM 설정

DKIM(DomainKeys Identified Mail)은 이메일이 전송되는 동안 변경되지 않았음을 보장하기 위해 디지털 서명을 사용하는 방법입니다.

DKIM 설정 방법

  1. Google Workspace Admin Console에 로그인합니다.
  2. [앱] > [Google Workspace] > [Gmail]로 이동합니다.
  3. [인증] > [Gmail 인증]을 선택합니다.
  4. DKIM 섹션에서 "등록을 시작합니다"를 클릭합니다.
  5. 도메인 선택"다음"을 클릭합니다.
  6. DKIM 공개 키를 생성합니다.
  7. DNS 관리 페이지로 이동하여 TXT 레코드로 공개 키를 추가합니다.
    google._domainkey  TXT  "v=DKIM1; k=rsa; p=your_public_key"
  8. DKIM 활성화를 클릭합니다.

3. DMARC 설정

DMARC(Domain-based Message Authentication, Reporting & Conformance)는 SPF와 DKIM을 기반으로 이메일 인증을 강화하고 보고서를 통해 모니터링할 수 있는 방법입니다.

DMARC 설정 방법

  1. 도메인 호스트(DNS 제공업체)의 관리 페이지로 이동합니다.
  2. DNS 설정에서 DMARC 정책을 추가합니다. DMARC는 TXT 레코드로 설정합니다.
    _dmarc.example.com  TXT  "v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-failures@example.com; pct=100"
    • v=DMARC1: DMARC 버전.
    • p=quarantine: DMARC 정책 (reject, quarantine, none).
    • rua: 집계 보고서를 받을 이메일 주소.
    • ruf: 실패 보고서를 받을 이메일 주소.
    • pct=100: 정책을 적용할 이메일의 비율.

DMARC 정책 예

  • 모든 이메일을 거부
    _dmarc.example.com  TXT  "v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com"
  • 일부 이메일만 격리
    _dmarc.example.com  TXT  "v=DMARC1; p=quarantine; pct=50; rua=mailto:dmarc-reports@example.com"

위의 단계를 통해 SPF, DKIM, DMARC 설정을 강화하면 Google Workspace를 사용하는 도메인의 이메일 보안이 크게 향상됩니다. 추가적으로, 설정 후 이메일이 정상적으로 전송되는지 모니터링하고 필요 시 설정을 조정하는 것도 중요합니다.

728x90