스팸과의 전쟁

스팸은 “해결”되지 않았다. 아니, 사실은 공격자들이 끊임없이 대응책에 맞서 고(高) 가치의 타깃으로 그들의 초점을 수정함에 따라 재앙은 더욱 심각해지고 있다.

스팸과의 전쟁은 종결되지 않았다. 지난 2004년 빌 게이츠가 2년 내로 스팸이 “해결”될 것이라고 공언한 이후에도 이 문제는 계속해서 더욱 나빠져 빛이 없는 터널 속에 놓인 상태다.

모든 전쟁에서와 마찬가지로 여기에서 중요한 것은 이것이 어떻게, 왜 시작되었는지, 어떻게 싸워왔으며 우리가 기대할 수 있는 것은 무엇인지를 이해하는 것이다.

스팸은 본래 마케팅의 한 방법으로 시작되었다. 수집한 리스트로 이메일을 발송하는 것은 메시지를 내보내는데 있어 가장 비용 효율적인 방법이다. 이러한 메일 대량 발송에 대한 응답률이 매우 낮다 하더라도 그것만으로도 충분한 이익이 되기 때문이다.

그러나 스팸이 악의적인 페이로드를 운반하는데 사용되기까지는 오랜 시간이 걸리지 않았다. 멜리사(Melissa)부터 ‘I Love You’, 마이둠(MyDoom)을 거쳐 가장 최근의 스톰(Storm)에 이르기까지 이메일 공격은 계속되고 있다. 이유는 매우 분명하다. 공격 메커니즘이 그 어느 때보다 이익이 되기 때문이다.

교묘한 스패머들은 새로운 행동으로 혁신을 시도하고 반응을 살피며 프로그램을 재정비한다. 2006년 말 PDF 스팸의 증가가 그 대표적인 예라 할 수 있다. 이메일 보안 툴에 의한 탐지를 피하기 위해 고안된 PDF 스팸은 그러나 다른 기술과 같은 반응을 얻지 못 했기 때문에 나타났을 때만큼이나 빠르게 사라졌다.

그렇기 때문에 악당들은 플레인 텍스트나 HTML 포맷의 메시지와 같은 보다 더 전통적인 방법 쪽으로 관심을 돌렸다고 이메일 보안 서비스 제공업체 MessageLabs의 CTO 마크 서너(Mark Sunner)는 설명했다. 그들은 여전히 PDF 스팸으로 더욱 효과적으로 수익을 창출하고자 더 많은 반향을 일으킬만한 제안과 제목을 조정하는 등 끊임없이 새로운 방법을 시도하고 있다.

이것은 수십억 달러 상당의 사업으로 빠르게 성장하고 있으며, 따라서 조직화된 범죄가 개입되어있다는 사실은 놀랄만한 일이 아니다. 그들은 신원 탈취와 그것으로 수익을 창출하는데 초점을 맞추는 네트워크에 상당한 투자를 하고 있다.

 

일진일퇴

초기의 스팸 방어는 실제로 우리가 나쁜 것으로 알고 있는 메시지들과 매치시키는 것이었다. 공격 시그니처를 매치하던 전통적인 안티바이러스 탐지와 상당히 유사하다고 할 수 있다.

이 전투는 악당들이 시그니처 탐지를 방해할 임의의 스트링과 텍스트를 추가하여 그들의 메시지를 변이시키기 시작하면서 차츰 확대되었다. 보안 연구자들은 베이지안 필터(Bayesian filter)와 이처럼 빈번하게 변화하는 스팸을 보다 효과적으로 잡아내기 위한 기타 발견적 탐지 기술을 개발함으로써 이에 맞섰다. 지금보다 2,3년 앞선 2003년, 또는 2004년경 이러한 기술들은 “칵테일(cocktail)”이라는 스팸으로 최대로 활용되었는데 이것은 효율성을 극대화하기 위해 이러한 탐지 메커니즘 관련 적재를 결정하는 것이다.

그리고 2005년, 안티스팸 업체들이 IP 주소를 기반으로 발송자의 목적의 가능성을 결정할 수 있으리라는 것을 깨닫기 시작하면서 신뢰도 기반(reputation-based) 탐지가 탄생했다. 알려진 스패머들이 빠르게 차단되었고 메일 인박스에 메시지를 넣기가 상당히 어려워졌다.

그러자 이제 악당들은 그들의 진짜 정체와 목적을 감추기 위해 점점 더 봇을 사용하고 있다. 봇은 작성자 불명이며 “나쁜” 신뢰도를 갖고 있지 않는 경향이 있기 때문에 단기간에 매우 효과를 볼 수 있다.

<글·마이크 로스만(Mike Rothman) >

 

 

전장 소식

오늘날의 공격은 피해자들이 악성 웹 사이트로 이어지는 링크를 클릭 하도록 하는데 초점을 맞추고 있어 해당 웹 사이트들에서 공격자들은 트로이 목마를 다운로드할 수 있고 개인 정보를 도용할 수 있으며 해당 기계를 좀비로 탈바꿈시킬 수 있다. 공격자들이 해당 장치를 이익 창출 봇으로 탈바꿈시키기 위해 피해자들과 장기간의 연결 관계를 구축하기 때문에 이러한 과정은 “다단계 수익창출”이라 불린다(“그리고 봇은 계속된다...”참조).

 

 

이것이 어떻게 계속 통하고 있는 것일까? 우선, 모든 새로운 소식들과 경고에도 불구하고 여전히 잘 속아 넘어가는 사용자들이 많다. 이것이 바로 수십 년 동안 사기꾼들이 동일한 수법을 변화시키며 살아갈 수 있는 이유다.

그들은 시기적절하게 유명 연예인의 스캔들이나 세계적인 요주의 인물과 관련된 제목을 사용하기도 한다. 그것이 엄청난 클릭 수를 유발할 것으로 기대되기 때문이다. 혹은 당신을 함정에 빠뜨리기 위해 e-카드의 형태로 명절·기념일에 “인사/안부” 공격을 발송할 것이다.

 

스패머들은 계속해서 혁신을 꾀한다. 현재 이메일 지옥으로 향하는 길이 구글(Google) 속에 숨어 있는 경향을 보인다. 스패머들의 가장 최신 전략은 그들의 웹 사이트를 구글이 인덱스하도록 해 구글 검색이 링크를 보내도록 하는 것으로 사이트로의 직접 링크와는 대조적인 개념이다. 이것은 지식을 갖춘 사용자라 할지라도 속아 넘어갈 가능성이 높다.

 

MessageLabs의 서너는 “합법적인 .google.com의 링크를 클릭하면 결과적으로 당신은 구글에 의해 곧장 스패머의 웹 사이트로 가게 되는 것”이라고 설명했다.

이것은 효과적인 방법이다. 어떠한 웹 필터도 구글에 직접 링크된 것을 차단하지는 않을 것이기 때문이다. 설상가상으로 악당들은 이러한 공격 벡터를 통해 광고수입비도 얻을 수 있다. 

 

봇과의 전투

수십억 개의 메시지와 수천 명의 발송자에 관한 데이터를 수집함으로써 신뢰도 서비스는 게이지 발송자 의도를 나타내게 되었다. 안티스팸 기업들은 통계적인 중요도를 통해 특정한 IP 주소가 스팸이나 햄(ham)을 발송할 가능성이 있는지를 평가할 수 있다. 또한 지난 3년 간 대량 스패머들의 발견, 체포 및 기소에 관한 법 집행이 훨씬 더 공격적으로 행해졌다.

 

따라서 악당들에게는 자신들의 의도를 보다 효과적으로 감추고 숨어 있는 것이 중요해졌기 때문에 그들이 누구인지, 그들이 무엇을 하고 있는지를 감추는데 효과적인 방법인 봇에 대한 관심의 증가가 나타났다. 봇 커뮤니케이션의 특성 때문에 봇 마스터의 정체를 추적하기가 어렵다. 봇 마스터는 현재 그들의 마음대로 스팸을 전달하거나 서비스 거부 공격을 개시하는데 사용할 수 있는 수백만 개의 손상된 기계를 가지고 있다.

 

그러나 봇도 시간이 흐르면 탐지되거나 제거될 것이다. 그래서 악당들은 합법적인 메일 서버를 직접 공격하는 다른 정책을 시도하고 있다. 어떤 알려진 선량한 이메일 서버의 증명서와 패스워드가 도난당하거나 강제적으로 빼앗기게 된다면 스패머는 신뢰 서버가 그 서버에 좋지 못한 신뢰 점수를 주면서 대응을 시작하기 전까지는 메시지들을 마음대로 망쳐버릴 수 있다.

 

스패머들은 그 서버의 신뢰 점수가 영향을 받을 때까지 자유로운 메시지들을 휘젓기 위해 더욱 더 무료 호스팅 업체들을 손상시키거나 호스트에서 작동하는 빌트인 SMTP 서버를 마음대로 사용하고 있다. 물론 합법적인 발송자들이 블랙리스트가 되기도 하는 심각한 부수적인 피해도 뒤따른다.

 

OUTBOUND FILTERING

게이트웨이 뒤집기

스팸과 기타 인바운드 공격들은 분명 위험 가능성이 매우 높다. 당신의 스팸 필터를 한 두 시간 꺼놓는다면 그것을 실감하게 될 것이다. 그러나 단체들은 귀중한 정보를 아웃바운드 사이드에서 보다 많이 잃고 있는지도 모른다.

내부자가 기업 기밀을 경쟁사나 자신의 웹 메일 계정으로 발송한다든지, 또는 어떤 고객 서비스 담당자가 실수로 개인 데이터를 고객에게 발송할 경우 이는 심각한 기업적 이슈이며 규제 컴플라이언스 이슈가 된다.

 

컨텐트 유출의 신호로서 외부로 나가는 이메일을 분석하기 위해 컨텐츠 분석, 정규표현, 베이지안 필터링(Bayesian filtering), 링크 분석 등 다수의 동일한 탐지 기술들을 사용할 수 있다. 따라서 이메일 보안 게이트웨이에 관한 좀더 대중적인 새로운 기능 중 하나는 “안과 밖을 뒤집는(turn it inside out)”것으로, 즉 아웃바운드 메일의 필터링을 시작하는 것이다.

 

많은 대기업들은 특정 목적의 데이터 유출 방지에 막대한 비용을 투자하고 있지만 경우에 따라서는 기존의 이메일 보안 게이트웨이에 구축된 성능만으로도 상당한 정도의 정보 노출을 막는데 충분할 수 있다.

 

<글·마이크 로스만(Mike Rothman)>

 

숨어있는 저격수

이러한 모든 기술들은 이름도, 얼굴도 없는 공격자와 임의의 대중 피해자에 입각하고 있다. 그러나 더 큰 먹잇감이 되는 특수한 피해자들이 있다. 스패머들이 점점 더 선호하는 메커니즘은 피해자에게 “일대일” 마케팅으로 접근하는 것으로, 특정한 개인을 대상으로 고도로 커스터마이즈된 개인적인 공격들이 행해진다. 이 기법은 고위험, 고가치의 네트워크 ‘고래’(high-net-worth whale)를 쫓는 것으로 일명 “고래잡이(whaling)”라고도 불리는데, 메시지나 첨부파일에 포함된 개인 정보는 스팸으로 감지하기가 매우 어렵다.

프루프포인트(Proofpoint)의 마케팅 및 제품 VP 샌드라 본(Sandra Vaughan)은 이러한 공격들을 빈번하게 보고 있다며 “일례로 우리의 부동산 관리 고객 중 하나가 피싱의 일종인 ‘정부기관 컴플라이언트’를 받았는데, 그것은 더 이상 정부 기관들이 관리하지 않는 부동산의 주소 등  타깃 단체에 관한 수많은 상세 내역이 리스트 되어있는 것이었다”고 말했다. 문제는 이것이 더욱 심각해질 것이라는 점이다. 악당들이 계속해서 정보에 영향을 끼치기 위해 복제 가능한 비즈니스 프로세스를 구축하고 있기 때문이다. 

시큐어 컴퓨팅(Secure Computing)의 정보 분석 책임자 드미트리 알페로비치(Dmitri Alperovitch)는 “보다 교묘한 범죄 단체들의 일부는 이제 수백만 명의 피해자들의 사회 보장 번호, 메일/이메일 주소, 전화 번호 및 기타 개인 정보로 그들 자체의 데이터베이스를 구축할 수 있는 데이터와 힘을 갖게 되었다”고 말했다.

 

새로운 전장

우리는 계속해서 VoIP, 모바일 장치, 블로그, 기타 소셜 네트워크 등과 같은 오늘날의 정보 시스템의 소프트 취약점을 겨냥한 새로운 공격을 보게 될 것이다. 이러한 새로운 공격들의 일부에 관한 개요를 정리하면 다음과 같다.

쪾SMSing. 2007년 중반 이후 SMS 사용자들의 글로벌 유저 베이스를 겨냥한 새로운 공격이 보급되었다. SMS의 사용자 상호작용 때문에 이 공격의 영향은 상당히 적었지만 이것은 분명 앞으로 다가올 사태를 예고하는 것이었다.

쪾Vishing. 시큐어 컴퓨팅은 VoIP(voice over IP) 사용자들을 겨냥하는 공격의 수적 증가를 탐지해왔다. 공격자들은 발신자 ID 정보를 속여 발신자의 위치를 추적하기 어렵게 만든다.

쪾Facebook attacks. 우리는 또한 페이스북, 마이스페이스, 그리고 다양한 블로깅 서비스와 같은 주도적인 소셜 네트워크에 대한 공격의 증가를 보아왔다. 이러한 서비스들이 악당들의 아젠다를 증진시키며 어떻게 익스플로이트 될 것인지에 관해 이제 우리가 시작하고 있는 것은 겨우 수박 겉핥기에 불과할 뿐이다.

이러한 공격은 현재 성가신 정도에 불과할 뿐이지만 언젠가 그들은 보다 실제적인 존재가 될 것이며, 공격을 탐지하고 차단할 수 있는 존재로서의 관점에서 보면 이러한 컴퓨팅 플랫폼들은 이메일보다 말 그대로 5년은 뒤쳐져있다.

 

대응책

물론 방어자들도 하는 일 없이 방관하고 있지는 않다. 공격자들이 새로운 기술로 새로운 전선을 익스플로이트할 때 보안팀들은 침해에 대항하기 위해 신속히 움직이고 있다.

쪾방어비용 지출 상위의 업체들은 스팸 네트워크를 꿰뚫고 봇 운영자를 발견하며 메시지를 분석하기 위한 연구에 상당한 돈을 투자하고 있다. 악당들이 끊임없이 혁신함에 따라 이러한 투자 수준은 사업 운영의 비용으로 자리 잡고 있다. 이를 버텨낼 수 없는 업체들은 그들의 스팸 포착이 급격히 감소하는 것을 목격하게 될 것이다.

쪾이동 업체들은 비현실적인 신뢰도 네트워크를 특정한 고객들에 의해 지역적으로 수집된 데이터로 보충하고 있으며 스팸을 발송하는 서버를 지속적으로 표시하고 추적하기 위해 사용자 피드백(“스팸 등록” 버튼)으로 전후 참조를 하고 있다. 그들은 또한 어떤 IP 주소의 실제 목적을 추정하기 위해 이메일 신뢰도 데이터를 방화벽에 의해 포착된 공격 및 웹 필터에 의해 탐지된 공격 스캐닝과 같은 다른 데이터 소스와 결합시키고 있다.

쪾정체를 밝혀라! 수많은 연구자들은 신뢰성을 증진시키기 위하여 합법적인 발송자들로 하여금 디지털 방식으로 그들의 이메일을 표시하게 하고 SPF 기록을 인증하도록 하는 것이 스팸을 탐지하는데 도움이 될 것이라는 희망을 갖고 있다. 실제로 악당들은 어쨌든 인증 증명을 확보하는데 뛰어나며 시스템을 몰래 손상시킨다.

쪾사인 인(Sign in). 스팸 메시지의 시그니처는 최초의 스팸 방어에 다시 관심을 기울이지만 이 기술은 스패머들이 더욱 더 속이기 어려운 메시지 특성들을 업체들이 (수천은 아니라 할지라도) 수백 개를 추적함에 따라 다시 컴백하고 있다.

쪾연합 부대 엔드 유저들이 다중 컨텐츠 보안 제공이 이메일, 웹, 기타 메시지 애플리케이션(VoIP와 메신저 등)을 포함하는 연합 게이트웨이와의 통합을 원함에 따라 이메일 전용 솔루션들은 더욱 더 보기 힘든 존재가 되어가고 있다. 이러한 통합 게이트웨이는 신뢰도 정보를 결합하는데 뿐만 아니라 사용자가 발송하기위해 사용하는 프로토콜에 상관없이 컨텐츠 사용을 통제하는 일반적인 정책을 구축할 수 있도록 하는데 유용하다.

쪾트레이닝 엔드 유저들은 사실 최후의 방어선이다. 그들을 교육하는데 시간을 투자하는 것은 전 세계적인 좀비화 전염병을 유발하는 수많은 어리석은 행동을 제거하는데 도움이 될 것이다. 사용자 교육은 고도로 개인화된 유도로 고위 간부들을 겨냥하는 고래잡이 공격에 맞설 유일한 방어일 수도 있다.

 

영원한 전쟁?

이 전쟁의 끝을 볼 수 있을 것인가? 그럴 것 같지 않다. 피해자들이 계속해서 피싱 메시지 링크를 클릭하고 온라인 사기 제품을 구매하며 유혹에 반응하는 한, 끊임없이 급속도로 스팸을 발송할 악당들은 여전히 막대한 투자 이익을 얻게 될 것이다.

시만텍의 남용 방지 엔지니어링 선임 디렉터 더그 바워즈(Doug Bowers)는 “포맷과 메시지가 전달되는 방식은 변화될 것이다”라며 “그러나 어떤 형태로든 스팸은 그것이 돈 벌이가 될 수 있을 만큼의 충분한 반응자들이 있는 한 계속 존재할 것이다”라고 말했다.

 

SERVICE SOLUTIONS

아웃소싱할 것인가, 하지 않을 것인가?

안티스팸 사업이 진화함에 따라 그 기능을 이메일 보안 서비스 전문 제공 업체에게 아웃소싱하는 것은 온-프레미스(on-premises, 직접 설치) 게이트웨이를 도입하고 관리하는 것에 비해 매력적인 대안이 되고 있다. 아웃소싱 결정은 대부분 민감한 이슈가 되고 있다. 이러한 관리 서비스들이 최고의 탐지는 물론 지난 3년 간 스팸 볼륨이 급등함에 따라 투과성의 크기 조정을 제공하고 있기 때문이다.

구글은 지난 해 포스티니를 인수했고 이러한 관리 서비스들의 가격을 지난해 대비 약 1/3로 내리기 시작했다. 다른 모든 기술 시장과 마찬가지로 가격 동향은 뒤집어지지 않는 경향이 있기 때문에 소비자들은 가격이 계속해서 떨어지는, 보다 급격한 가격 곡선을 즐기게 될 것이다.

고도로 민감한 이메일 트래픽이나 매우 개별적이고 특정한 컨텐트 필터링 통제의 필요성 때문에 전용 게이트웨이를 필요로 하는 고객을 위해 프루프포인트사는 자사의 Proofpoint On Demand 서비스의 일부로 “가상 게이트웨이” 옵션을 제공한다. 고객들은 관리 서비스의 장점과 전용 게이트웨이가 제공하는 개별성을 선사하는 프루프포인트의 영향권 안에서 작동하는 자기만의 가상 게이트웨이를 구입할 수 있다.

< 글·마이크 로스만(Mike Rothman) >

 

 

 

Copyright ⓒ 2006 Information Security and TechTarget

[정보보호21c 통권 96호(info@boannews.com)]

<저작권자: 보안뉴스 무단전재-재배포금지>