북한의 해킹 조직들이 이메일을 공략하고 있다. 그것도 보안 프로토콜로 보호되어 있는 이메일들이 표적이 되고 있다고 한다. 그 보안 프로토콜이 제대로 설정되지 않는다면, 오히려 없느니만 못하다는 걸 이해하고 있는 모습이다.
[보안뉴스=네이트 넬슨 IT 칼럼니스트] 북한의 해커들이 디마키(DMARC)라는 이메일 보안 프로토콜을 공략한다고 미국의 FBI와 NSA가 합동으로 보안 권고문을 발표했다. 디마키 악용에 성공한 공격자들은 피해자 조직의 내부 인원을 사칭할 수 있게 된다고 한다. 현재까지는 북한 김정은 정권에 이런 저런 의미가 있을 만한 조직들이 주로 표적이 되고 있다.
[이미지 = gettyimagesbank]
먼저 디마키는 일종의 이메일 보안 프로토콜로, 도메인을 기반으로 하여 메시지를 인증해주는 역할을 담당한다. 약점이 없는 건 아지지만 이메일의 수문장으로서 많은 조직들이 도입해 둔 상태다. 하지만 실제 사용되는 환경에서 설정이 잘못되는 경우들이 꽤 있어 수문장의 역할을 제대로 하지 못하는 경우들이 적잖이 존재한다.
FBI와 NSA가 발표한 바에 따르면 이 디마키 공략 캠페인의 배후에 있는 건 북한의 유명 해킹 그룹인 킴수키(Kimsuky)라고 한다. 이 킴수키는 APT43이나 탈륨(Thallium)이라는 이름으로도 불린다. 스피어피싱 이메일 공격에 능숙하며, 정치적 목적의 공격을 자주 수행하는 편이다. 또 다른 북한 해킹 조직인 라자루스와는 그런 면에서 조금 다르다. 라자루스는 금전적인 목적을 달성하기 위한 공격도 자주 실행하는 편이다.
보안 업체 맨디언트(Mandiant)의 수석 분석가인 개리 프리즈(Gary Freas)는 “킴수키는 소셜엔지니어링을 가장 효과적으로 수행하는 그룹 중 하나”라며, “그러한 자들이 이제는 디마키 공략이라는 새로운 유형의 무기를 들고 나타났다”고 말한다. “디마키는 보안에 유용한 장치이긴 하지만, 제대로 설정하지 않고, 또 SPF나 DKIM과 같은 보안 장치들과 함께 온전히 관리하지 않는다면 오히려 공격의 통로가 되기 십상입니다. 그걸 이번에 킴수키가 잘 보여주고 있지요.”
디마키로 인해 나타나는 차이점
킴수키라는 공격 단체의 가장 주요한 목적은 가치가 높은 정보를 훔쳐가는 것이다. 특히 지정학적 사건들이나 여러 국가들의 외교 정책 및 전략과 관련이 있는 정보를 자주 노린다. 그래서 기자들, 싱크탱크, 정부 기관 및 요원들을 자주 노린다. 한 번 치고 들어가 정보를 빼오는 게 아니라 되도록 오랜 시간 머물러 있어야 하기 때문에 지속성을 높이기 위한 방법들을 다양하게 구사하기도 한다.
그런 방법들 중 킴수키가 자주 구사하는 건 피해자가 신뢰할 만한 인물이나 조직을 사칭하는 것이다. 즉 먼저는 그런 신뢰할 만한 인물이나 조직의 정상적인 계정 및 도메인을 흉내 내야 하는 건데, 여기서 디마키의 역할이 중요하다. 원래 대로라면 디마키는 전혀 엉뚱한 사람이 나의 도메인이나 계정을 흉내 내거나 훔쳐서 마치 나인 것처럼 메일을 보내지 못하도록 하는 장치다.
두 개의 인증 메커니즘이 이 디마키 안에 조합되어 있다. 하나는 ‘전송자 정책 프레임워크(Sender Policy Framework, SPF)’이고 다른 하나는 ‘도메인키로 식별된 메일(DomainKeys Identified Mail, DKIM)’이다. 전자는 메일을 보내는 사람의 IP 주소가 정말로 메일 주소에 적힌 주소와 일치하는지를 확인하고, 후자는 공공 키 암호학 기술을 활용해 메일 조작을 막는다. 도메인 주인은 DNS 설정 내 디마키 기록을 설정하여 이 두 가지 확인 절차 중 하나를 통과하지 못했을 때 어떻게 대처해야 하는지를 결정할 수 있다. 막거나, 조심히 열거나, 아무 것도 하지 않거나, 셋 중 하나다.
FBI와 NSA의 합동 권고문에 따르면 막거나 조심이 여는 쪽으로 설정을 해야 킴수키의 공격을 막을 수 있다고 한다. 하지만 꽤나 많은 조직에서 ‘아무 것도 하지 않는다’로 설정을 해 두고 있어서 문제다. 그렇게 해야 조금이라도 더 메일을 편리하게 받을 수 있기 때문이다.
보안 업체 체크포인트(Check Point)의 제레미 푸크스(Jeremy Fuchs)는 “디마키는 제대로 설정해야 그 가치가 발휘된다”며 “수상한 메일은 통과하지 못하도록 차단하는 게 가장 좋다”고 주장한다. “물론 도메인을 많이 보유한 큰 조직이라면, 디마키 설정을 하나하나 맞추는 게 쉽지 않을 수 있습니다. 하지만 오히려 그런 큰 조직일수록 더 디마키 관리를 잘 해야 합니다. 한 곳의 구멍이라도 킴수키 같은 조직들은 발견해내고 마니까요.”
그러면서 푸크스는 “디마키라고 해서 단 하나의 만병통치약인 건 아니”라고 강조한다. “디마키만 믿는 것도 그리 건강하지 않습니다. 이메일 도메인 스푸핑 방법은 수도 없이 많고, 디마키가 그것을 다 막아주는 것도 아닙니다. 하지만 디마키 설정을 제대로 하는 것부터가 이메일 보안의 좋은 시작점이 될 수 있습니다.”
글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스=네이트 넬슨 IT 칼럼니스트] 북한의 해커들이 디마키(DMARC)라는 이메일 보안 프로토콜을 공략한다고 미국의 FBI와 NSA가 합동으로 보안 권고문을 발표했다. 디마키 악용에 성공한 공격자들은 피해자 조직의 내부 인원을 사칭할 수 있게 된다고 한다. 현재까지는 북한 김정은 정권에 이런 저런 의미가 있을 만한 조직들이 주로 표적이 되고 있다.
[이미지 = gettyimagesbank]
먼저 디마키는 일종의 이메일 보안 프로토콜로, 도메인을 기반으로 하여 메시지를 인증해주는 역할을 담당한다. 약점이 없는 건 아지지만 이메일의 수문장으로서 많은 조직들이 도입해 둔 상태다. 하지만 실제 사용되는 환경에서 설정이 잘못되는 경우들이 꽤 있어 수문장의 역할을 제대로 하지 못하는 경우들이 적잖이 존재한다.
FBI와 NSA가 발표한 바에 따르면 이 디마키 공략 캠페인의 배후에 있는 건 북한의 유명 해킹 그룹인 킴수키(Kimsuky)라고 한다. 이 킴수키는 APT43이나 탈륨(Thallium)이라는 이름으로도 불린다. 스피어피싱 이메일 공격에 능숙하며, 정치적 목적의 공격을 자주 수행하는 편이다. 또 다른 북한 해킹 조직인 라자루스와는 그런 면에서 조금 다르다. 라자루스는 금전적인 목적을 달성하기 위한 공격도 자주 실행하는 편이다.
보안 업체 맨디언트(Mandiant)의 수석 분석가인 개리 프리즈(Gary Freas)는 “킴수키는 소셜엔지니어링을 가장 효과적으로 수행하는 그룹 중 하나”라며, “그러한 자들이 이제는 디마키 공략이라는 새로운 유형의 무기를 들고 나타났다”고 말한다. “디마키는 보안에 유용한 장치이긴 하지만, 제대로 설정하지 않고, 또 SPF나 DKIM과 같은 보안 장치들과 함께 온전히 관리하지 않는다면 오히려 공격의 통로가 되기 십상입니다. 그걸 이번에 킴수키가 잘 보여주고 있지요.”
디마키로 인해 나타나는 차이점
킴수키라는 공격 단체의 가장 주요한 목적은 가치가 높은 정보를 훔쳐가는 것이다. 특히 지정학적 사건들이나 여러 국가들의 외교 정책 및 전략과 관련이 있는 정보를 자주 노린다. 그래서 기자들, 싱크탱크, 정부 기관 및 요원들을 자주 노린다. 한 번 치고 들어가 정보를 빼오는 게 아니라 되도록 오랜 시간 머물러 있어야 하기 때문에 지속성을 높이기 위한 방법들을 다양하게 구사하기도 한다.
그런 방법들 중 킴수키가 자주 구사하는 건 피해자가 신뢰할 만한 인물이나 조직을 사칭하는 것이다. 즉 먼저는 그런 신뢰할 만한 인물이나 조직의 정상적인 계정 및 도메인을 흉내 내야 하는 건데, 여기서 디마키의 역할이 중요하다. 원래 대로라면 디마키는 전혀 엉뚱한 사람이 나의 도메인이나 계정을 흉내 내거나 훔쳐서 마치 나인 것처럼 메일을 보내지 못하도록 하는 장치다.
두 개의 인증 메커니즘이 이 디마키 안에 조합되어 있다. 하나는 ‘전송자 정책 프레임워크(Sender Policy Framework, SPF)’이고 다른 하나는 ‘도메인키로 식별된 메일(DomainKeys Identified Mail, DKIM)’이다. 전자는 메일을 보내는 사람의 IP 주소가 정말로 메일 주소에 적힌 주소와 일치하는지를 확인하고, 후자는 공공 키 암호학 기술을 활용해 메일 조작을 막는다. 도메인 주인은 DNS 설정 내 디마키 기록을 설정하여 이 두 가지 확인 절차 중 하나를 통과하지 못했을 때 어떻게 대처해야 하는지를 결정할 수 있다. 막거나, 조심히 열거나, 아무 것도 하지 않거나, 셋 중 하나다.
FBI와 NSA의 합동 권고문에 따르면 막거나 조심이 여는 쪽으로 설정을 해야 킴수키의 공격을 막을 수 있다고 한다. 하지만 꽤나 많은 조직에서 ‘아무 것도 하지 않는다’로 설정을 해 두고 있어서 문제다. 그렇게 해야 조금이라도 더 메일을 편리하게 받을 수 있기 때문이다.
보안 업체 체크포인트(Check Point)의 제레미 푸크스(Jeremy Fuchs)는 “디마키는 제대로 설정해야 그 가치가 발휘된다”며 “수상한 메일은 통과하지 못하도록 차단하는 게 가장 좋다”고 주장한다. “물론 도메인을 많이 보유한 큰 조직이라면, 디마키 설정을 하나하나 맞추는 게 쉽지 않을 수 있습니다. 하지만 오히려 그런 큰 조직일수록 더 디마키 관리를 잘 해야 합니다. 한 곳의 구멍이라도 킴수키 같은 조직들은 발견해내고 마니까요.”
그러면서 푸크스는 “디마키라고 해서 단 하나의 만병통치약인 건 아니”라고 강조한다. “디마키만 믿는 것도 그리 건강하지 않습니다. 이메일 도메인 스푸핑 방법은 수도 없이 많고, 디마키가 그것을 다 막아주는 것도 아닙니다. 하지만 디마키 설정을 제대로 하는 것부터가 이메일 보안의 좋은 시작점이 될 수 있습니다.”
글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
