개인이나 기업이 받는 이메일 가운데 상당수는 발신자 정보를 조작한 '스푸핑' 이메일이다. 발신자가 'CEO' 또는 '거래처 김 부장'이라면 직장인의 대부분은 열어보게 된다. 공격자는 바로 이러한 '신뢰'를 노린다. 스푸핑은 발신자 이름이나 주소를 속여 피싱, 악성코드 배포, 사기 등에 이용하는 사이버 공격이다.
스푸핑 이메일이 가능한 것은 SMTP(Simple Mail Transfer Protocol)의 구조적 한계 때문이다. SMTP는 1980년대 설계 배포된 이후 발신자 검증 절차가 거의 없다고 해도 과언이 아니다. 메일서버에서 발신자 정보를 검증 없이 그대로 수용하기에 공격자는 발신자 주소를 마음껏 변조해 전송할 수 있다. 사설 메일서버를 만들어 원하는대로 사칭메일을 만들어 보내는 것이 그 사례다.
사칭 메일의 상단 'From 필드'는 단순 텍스트일 뿐 실제 발신 메일서버를 특정하지 않는다. 실제 이메일을 전송하는 'Return-Path'나 'Received 필드'는 기술적 메타 데이터여서 직접 노출되지 않기에 일반 사용자는 인지하기 어렵다.
이러한 정보 비대칭성은 스푸핑을 더욱 효과적으로 만든다. 신뢰할 수 있는 발신자로 위장해 수신자의 경계심을 무너뜨린다. 금융기관을 사칭해 계정 정보를 탈취하거나, 회사 경영진으로 위장해 긴급 송금을 요청하는 BEC(Business Email Compromise) 등이 대표적이다. 신뢰받는 조직의 로고와 서식으로 악성코드를 위장한다.
발신 도메인을 검증하는 기술로 SPF(Sender Policy Framework), DKIM(DomainKeys Identified Mail), DMARC(Dmain-based Message Authentication, Reporting and Conformance) 등이 있다.
SPF는 특정 도메인의 메일은 지정 메일서버에서만 발송된다는 것을 DNS레코드에 미리 등록하는 것이고, DKIM은 이메일 암호화 서명이다. DMARC는 SPF와 DKIM 적용 실패 시 처리 방식을 규정해 놓은 것이다.
이러한 기존 보안 기술은 스푸핑을 어느 정도 차단할 수 있지만 완벽할 수는 없다. 차세대 메일보안시스템을 도입해 새로운 해킹 공격을 탐지하고 격리해야 한다.
이메일 스푸핑은 SMTP의 개방적 설계와 발신자 검증 부재라는 구조적 문제에서 비롯됐다. SPF, DKIM, DMARC 같은 인증의 광범위한 채택과 사용자 교육을 병행할 때 비로서 효과적 방어가 가능하다.
정희수 sky@realsecu.net
