보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

침해사고의 재구성 – 스팸 메일의 진실 (사건편)

2017.02.28

7,234


 

 

보안관제센터 보안분석팀 김지우

 

침해사고의 재구성은 실제 발생했던 침해사고 기록을 각색하여 한 편의 에피소드처럼 다루는 장으로 사건편과 해결편이 한 묶음이다. 

이를 통해 침해사고 발생 시 어떠한 부분은 점검하고 확인해야 하는지 침해대응 방법에 대해 다뤄보고자 한다.

 

 

1. 사건내용

 

20XX년 X월 X일, OO회사에 근무하는 김과장은 회사 메일계정으로 의문의 메일을 받는다.

 

회사내부 보안규정을 평소에도 잘 지키고 있던 김과장은 메일제목이 업무와 연관 없어보여 해당 메일을 스팸으로 판단하고 열람하지 않은 채 바로 삭제하였다. 그 후 몇 분이 지났을까? 똑같은 제목의 메일이 반복적으로 수신되어 회사메일을 이용하지 못할 정도가 되자 김과장은 해당 메일을 스팸 처리한다. 김과장이 ‘이제 안 오겠지?’ 라고 생각하고 있던 순간, 이번엔 다른 이름의 제목과 발신자로 메일이 또 오는 것을 확인하였다.

 

몇 번인가를 그렇게 스팸 처리하였으나 똑같은 현상이 지속적으로 발생하자 개인적으로 이를 대응하는데 어려움이 있던 김과장은 회사 보안담당자인 나보안씨에게 연락하여 이제까지 있었던 일을 전달하고 회사차원에서 스팸을 처리하도록 요청하였다.

 

 

2. 대응내용

 

나보안씨는 스팸메일 차단시스템을 이용해 김과장에게 수신되고 있는 메일의 제목과 발신자를 기준으로 차단조치를 수행했지만 조치 이후에도 다른 제목과 발신자로 메일이 김과장에게 지속적으로 수신되는 현상을 확인한다.

 

[그림 1] 네트워크 구성

 

 

네트워크

명칭

IP

시스템 정보

비고

사용자 망

김과장 PC

​172.16.1.10 

 Windows 7

 

 DMZ

 파일서버

 192.168.1.11

 Windows 2012

 

 Mail 서버

 192.168.1.12

 Centos 6.4

 

 Web 서버

 192.168.1.13

 Centos 6.4

 Webtob

 WAS 서버

 192.168.1.14

 Centos 6.4

 JEUS

 

[표 1] 네트워크 내 시스템 정보

 

 

보통 스팸메일이 다량의 메일을 불특정 다수에게 보내긴 하지만 이처럼 특정사용자에게 지속적으로 발송을 하는 것은 메일을 통한 업무를 방해하는 것 외에 무슨 소용이 있을까 싶었던 나보안씨는 혹시 몰라 메일서비스와 관련된 전반적인 사항을 확인한다. 

 

먼저 지속적으로 수신되는 메일을 분석한 나보안씨는 첨부된 파일이나 메일본문에선 어떠한 공격형태도 발견하지 못했다. 메일의 내용은 다음과 같았다. 

 

 


 

[그림 2] 수신된 메일 내용

 

 

메일에서 이상한 점을 찾지 못한 나보안씨는 네트워크 구성에 따라 보안시스템과 메일서버에 대해도 조사하였다. 나보안씨가 확인한 내용은 다음과 같다.

 

 

1) 방화벽 정책

  

 Rule ID

 출발주소

 도착주소

 서비스

 프로토콜

 행위

 31

 172.16.1.0/24

 192.168.1.11

 139, 445

 TCP

 Allow

 32

 172.16.1.0/24

 Any

 Any

 -

 Deny

 33

 Any

 192.168.1.13

 80

 TCP

 Allow

 34

 Any

 192.168.1.12

 Any

 -

 Allow

 35

 Any

 Any

 Any

 -

 Deny

 

[표 2] 방화벽 정책 중 일부

  

 

2) IPS 로그

 

 출발주소

 도착주소

 시도횟수

 공격명

 차단여부

 218.49.112.67

 192.168.1.12

 3

 Telnet Login Fail

 O

 218.49.112.67

 192.168.1.121

 4

 Secure Shell Brute Force

 O

 218.49.112.67

 192.168.1.12

 4

 Secure Shell Brute Force

 O

 218.49.112.67

 192.168.1.12

 4

 Secure Shell Brute Force

 O

 218.49.112.67

 192.168.1.12

 3

 Telnet Login Fail

 O

 

[표 3] IPS 탐지로그 중 일부

 

 

3) 메일로그

 

 

 


 

[표 4] 메일서버 로그 중 일부

 

 

확인된 내용 중에서 나보안씨는 별다른 징후를 찾지 못하였고 결국 이번 사건은 단순 스팸메일 공격으로 판단하고 건건이 스팸메일 차단시스템을 이용해 차단조치를 하는 방식으로 처리하기를 결정하였다.

 

 

3. 문제



 

 

<해답은 다음호에 연재됩니다.>