감시모드, 격리모드, 거부모드로의 순차적 시스템 강화
DMARC의 리포팅 기능 활용해 시스템 전체 강화 꾀할 수도

[보안뉴스 문가용] 이메일은 여전히 대부분 기업에서 핵심이 되는 통신 수단이다. 그러나 동시에 가장 신뢰도가 낮은 통신 수단이기도 하다. 각종 스팸과 피싱 때문이다. 사용자들은 이미 아무 메일이나 열어보면 안 된다는 걸 잘 알고 있다. 그래서 가장 핵심이 되는 통신 수단이, 가장 소통이 어려운 통신 수단이 되어버렸다. 하지만 우리에겐 아직도 이메일이 필요하다. 이런 곤란함을 해결하기 위해 세상에 등장한 것이 DMARC(도메인 기반 메시지 인증 보고 및 일치) 인증기법이다.

가뜩이나 사용자의 신뢰에 목 말랐던 이메일 서비스 제공업자들은 부리나케 이 새로운 인증기법을 차용하기 시작했다. DMARC는 인터넷 프로토콜로 미국 인터넷 표준규격개발 조사위원회의 표준화 과정을 거치고 있다. DMARC를 사용하면 이메일이 오고가는 전체 지형을 볼 수 있도록 해주며 스푸핑된 메시지들을 지우라는 경고 메시지를 출력할 수 있도록 해준다. 그러므로 스팸메일이나 피싱메일은 메일박스에 도착하지 못하는 것이다.

DMARC를 잘 사용하려면 다음 몇 가지를 기억하면 된다.

1. 먼저 DMARC를 감시모드(monitoring mode)에 맞추기를 권한다. 메일을 발송하는 입장에서는 거의 100% 이 모드를 사용한다. 이메일 발송자로서 감시모드를 사용한다는 것은 인터넷 전체에 ‘앞으로 DMARC 절차를 거친 이메일만 받겠소’라고 공표하는 것이나 다름없다. 구글, 야후, 핫메일 등이 이에 속한다. 이렇게 함으로써 기존 이메일 서비스에서 하던 플래깅, 블로킹, 스팸처리 등을 할 필요가 없어진다.

2. 감시모드에서의 이메일 사용이 익숙해졌다면, 그리고 이제 스팸메일이 잘 걸러져서 오랜만에 내 메일박스에 대한 신뢰도가 높아졌다면 이제 정책을 격리모드(quarantine mode)에 맞춘다. 격리모드에서는 수상한 메시지들을 전부 나중에 따로 확인할 수 있도록 말 그대로 격리시킨다. 사용자는 내부 혹은 인증된 이메일 서버들이 어떤 건지 확실하게 정하고 올바른 설정을 할 수 있게 된다.

3. 이제 격리모드도 익숙해졌다. 설정도 잘 돼서 정상 이메일이 이상한 곳에 가는 일이 없게 되었다. 그렇다면 이제 거부모드(reject mode)를 살펴봐야 할 차례다. 거부모드에서는 스팸이나 피싱 메시지들이 사용자의 확인 없이 알아서 지워진다. 스푸핑된 이메일들이 DMARC로 보호된 메일함에 도착할 수가 없게 된다. 이 과정까지 확실하게 굳어진다면 이메일에 대한 신뢰도가 확 올라간다.

4. 마지막으로 DMARC가 이메일만을 위한 보호 장치가 아니라는 걸 이해할 필요가 있다. DMARC는 오히려 위협 감지 및 위험 감소 전략의 일부다. DMARC는 아주 귀한 정보를 보고해준다. 바로 피싱공격의 빈도와 구조가 바로 그것이다. 이 데이터를 활용하면 공격의 지형도에 대한 이해를 높일 수 있고, 그러므로 공격이 실제 일어났을 때 피해 규모와 시간을 줄일 수 있다. DMARC는 결국 이메일 뿐 아니라 기업 전체에 대한 정보보안 공격, 특히 타깃형 공격을 방어하는 꽤나 쉽고 괜찮은 수단 중 하나가 될 수 있다.
글 : 다니엘 잉게발슨(Daniel Ingevaldson)
@DarkReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>