스팸메일 방지기술 (발신, 수신단계) 및 자가 체크방법

by

스팸메일은 불특정 다수에게 일방적으로 발송되는 전자메일을 말합니다. 이는 악성코드가 첨부된 파일이나 위험한 사이트로 연결을 유도하여 2차 피해를 유발하기도 합니다.

이 포스팅에서는 스팸메일 방지기술 및 자가체크 방법에 대해 정리해보겠습니다.

스팸메일 방지기술

방지기술을 설명하기 앞서 간단히 전자메일이 송수신되는 절차를 이해해보도록 하겠습니다. 이전의 SMTP 메일서버 관련 글에서도 잠깐 설명을 했지만 메일 전송이 아래와 같이 송신단계와 수신단계로 구분됩니다.

메일-송수신절차
메일-송수신절차

발송단계

PC1 SMTP 프로토콜을 이용해 메일 서버1에 메일을 발송하면 서버1은 해당 이메일 주소를 기반으로 메일을 수신할 서버 주소를 네임서버에서 검색합니다. 이 단계에서 메일 서버1 관점에서 발송하려는 메일이 스팸메일에 해당하는지 다음과 같은 기술을 통해 1차로 필터링 할 수 있습니다.

인증기반 기술

세부기술설명
SMTP AuthenticationSASL (간이인증 및 보안계층 서비스) 인증방법을 이용하여 이메일 전송자에게 인증을 요청. 인증 실패 시 메일 전송불가 처리 
SPF, DKIM 기술이메일 주소의 도메인과 발송서버가 일치하지 않는 메일을 차단하는 정책
SIDFMS에서 개발한 발송자 인증기능(PRA)을 이용한 인증방법

SPF 기술

대표적인 스팸처리 기술의 하나인 SPF를 조금 더 자세히 알아보겠습니다. 간단히 말해 SPF 인증이란 발신서버와 발신자 이메일 주소지가 같은지 인증하는 기술입니다.

가령 편지봉투의 발신자 주소는 ‘강원도’인데 우체국 소인이 ‘서울우체국’으로 찍혀있다면 누가 생각해도 의심스러운 상황입니다. 바로 이런 원리를 이용한 것이 SPF 인증입니다.

스팸매일방지-기술-SPF-인증절차
스팸매일방지-기술-SPF-인증절차
  1. 발신메일 서버정보를 SPF 형식으로 등록 (발신자 주소 abc@mycorp.com)
  2. 수신메일에서 확인한 발신메일의 도메인 체크 (mycorp.com 도메인 SPF 레코드 조회)
  3. 발신 메일서버 주소와 발신메일 도메인의 SPF 정보가 동일한지 체크
  4. 다르다면 스팸으로 분류 또는 수신거부처리

이와 같이 발신 메일 서버의 IP 주소를 도메인네임서버(DNS)에 등록한 후, 수신 측에서 DNS에 등록된 정보가 메일 발신자의 정보와 일치하는지를 체크하는 기술입니다.

발송비용 부과방식

스팸메일은 일반적으로 대량으로 발송된다는 점에 착안하여 대량 발송에 따른 비용을 발신자에게 부과하는 방식입니다.

부과방식설명
블랙리스트 관리화이트 리스트 및 블랙리스트를 분리하여 빈번한 대량메일 발송자에게 금전적 부담을 지우는 방식
Online Stamp일반우편과 유사하게 암호화된 전자우표를 구매하게 하여 발송비용을 결재하는 방식

이 외에도 일시적인 발송량 제한 또는 1일/1시간 단위로 발송량에 제한을 둘 수도 있습니다.

수신단계

위 그림에서 메일서버2에 수신된 스팸메일 또는 악성코드의 포함 여부를 판별하여 수신자에게 알리거나 사전에 전달을 차단하는 기술입니다.

머신러닝 기술

이전에도 스팸메일은 특정 규칙을 설정해 룰 기반으로 필터링 하였으나 최근에는 머신러닝 기술을 이용해 99% 이상 필터링이 가능하다고 합니다. (구글 gmail 기준)

안티바이러스 솔루션

메일에 포함된 악성코드를 탐지하기 위해 메일서버 내에 별도의 안티바이러스 기능을 가진 솔루션을 활용합니다. 스팸메일 상용 솔루션들에 대부분 함께 탑재되어 있습니다.

스팸메일 자가 체크 방법

스팸메일을 수신하였더라도 유심히 메일을 체크하는 것만으로 첨부파일 실행 등을 통한 악성코드 감염 피해를 최소화할 수 있습니다. 

1. 발신자 메일주소 체크

아래는 facebook 이라는 수신인으로 위장한 스팸메일 입니다. 발신자명 뿐만 아니라 실제 발신자 주소를 확인하면 gmail.com 와 같이 전혀 다른 경우는 의심해야 합니다. 

의심스러운-발신자메일주소-사례
의심스러운-발신자메일주소-사례

2. 이메일속 링크는 항상 체크

발신자 출처가 신뢰할만 하더라도 메일안의 링크를 함부로 누르는 것은 매우 위험합니다. 

이메일링크-체크팁
이메일링크-체크팁

 한가지 팁은 위와 같이 링크를 누르기 전에 마우스를 올리면 아래쪽에 실제 주소를 확인할 수 있습니다. 이 주소가 익숙한 도메인인지 체크하고 누르는 것이 좋겠습니다.

3. 첨부파일이 실행파일이면 클릭금지

exe 확장자의 파일은 클릭시 자동으로 실행되는 파일입니다. exe 파일이 첨부된 경우 가급적 실행을 하지 마시고 백신 솔루션으로 체크해보기를 권장합니다.

4. 이벤트성 제목에 낚이지 않기

스팸메일은 수신자가 클릭을 유도할 수 있는 자극적인 문구의 제목이나 내용을 가지고 있는 경우가 많습니다. 가령, 다음과 같은 문구에 현혹되지 않도록 합니다.

  • “오빠 보고 싶어 연락줘”
  • “이번달 신용카드가 연체되었습니다”
  • “기한 한정 할인쿠폰 보내드립니다. (첨부파일 확인해주세요)”

만약 실수로 스팸메일에 포함된 첨부파일 등을 실행했다면 랜섬웨어와 같은 악성코드의 감염 가능성도 있습니다. 혹시 감염이 의심되는 경우 확인방법과 복구 프로그램은 아래를 참고해주세요.

랜섬웨어 감염 확인방법 및 복구방법 (프로그램 툴)

상용솔루션

스팸 메일은 악성코드 감염을 통해 기업의 주요 자산 정보가 유출될 수 있다는 위험이 있습니다. 피해 규모는 특히 기업이 70% 이상을 차지할 정도로 비중이 높습니다.

피해 방지를 위해 위에 말씀드린 다양한 방지솔루션을 자체 개발하는 것보다 다음과 같은 상용솔루션을 적용을 검토하는 것도 비용 측면에서 유리하겠습니다.

1. 지란지교 스팸스나이퍼

국내 보안 전문 회사로 높은 높은 점유율을 가지고 있습니다. 스팸 차단 외에 첨부메일의 바이러스, 악성코드 차단 기능을 제공합니다.

스팸스나이퍼 솔루션의 경우 회사 내부 발생메일에 대한 모니터링을 통해 기업의 주요정보가 유출되는 것도 막아둔다는 측면에서 통합보안솔루션의 하나로 평가받고 있습니다.

스팸스나이퍼 솔루션 주요기능

2. AhnLab MDS 솔루션

안랩은 여러 보안 솔루션을 출시하고 있는 업체입니다. 바이러스 백신을 만드는 회사로 많이 알려져있는데요. 스팸메일에 대응하는 주요 기능은 다음과 같습니다.

  • 이메일 기반 위협탑지 및 격리 (악성코드 첨부파일 자동분석)
  • 주요 인터넷 프로토콜 수집 및 분석 (HTTP, SMTP, SMB, FTP 등)
  • 악성코드 감염의심 호스트의 격리 및 치료기능
안랩 MDS 보안솔루션 주요기능

3. UTM 솔루션

UTM은 통합위협관리 시스템으로 스팸 필터링 기능과 함께 다양한 네트워크 보안 솔루션을 함께 포함하고 있다는 장점이 있습니다. 특히 UTM 솔루션은 가성비가 뛰어나기에 IT 투자여력이 적은 중소기업에서 적당한 대안이라 생각됩니다.

UTM-솔루션-기능구성
UTM-솔루션-기능구성

이상으로 스팸메일 방지기술 및 자가 체크방법에 대해서 알아보았습니다. 스펨메일 및 기타 보안관련 글은 다음을 참고하시기 바랍니다.

Leave a Comment