IceWarp 이메일 서버 자세히보기

스팸블록 이메일 보안

2007년 1/4분기 스팸 경향 - 정상 뉴스레터를 납치하는 새로운 스팸 기술의 등장

알 수 없는 사용자 2007. 4. 28. 16:48
하론 UTM 장비에 탑재된 스팸기술인 commtouch의 zero-hour 엔진에서 모아진 스팸 자료들을 분석하여 2007년 1/4분기 스팸 통계를 발표하였습니다. 스패머들은 뒤떨어지는 안티스팸 엔진을 공략하기 위한 새로운 전술들을 개발하였습니다. 2007년 1/4분기에 역시 이메일에 대한 위협적인 공격이 있었던 것으로 분석하고 있습니다. 네트워크 상에 있는 대량의 좀비 PC들은 스팸레벨응ㄹ 높여 정크 메일의 더욱 강력한 공격을 하고 있습니다. 11월에서 12월에 이르는 기간동안 스팸은 더욱 강렬해졌으며 2월~3월은 다소 스팸 레벨이 조금 떨어졌습니다. 그러나 이는 스팸이 감소하는 경향은 아니며 전체 메일중에 85~90%가 스팸으로 분류되고 지속적인 비율을 유지할 것으로 보입니다.

사용자 삽입 이미지

Botnets는 계속된다

사용자 삽입 이미지
거대한 보트(bot) 네트워크는 네트워크 상의 수백만대의 좀비 pc를 통해 강력하게 랜덤하게 관리자들이 알아채지 못한 상태에서 이밎 스팸을 랜덤하게 발송할 수 있습니다. 전세계에 퍼져있는 좀비 PC는 능동적으로 스팸공격을 하기 위해 소스를 변경할 수 있습니다. 좀비 컴퓨터는 사실 우리들이 사용하고 있는 평벙한 PC들로서 단시간안에 공격적으로 수백만건 이상의 스팸메일을 발송할 수 있습니다.

아래 도표를 보면 지난 분기동안 랜덤하게 24시간동안 스팸이 발송된 통계를 볼 수 있는데 이들은 일반적인 우리들의 좀비 PC를 통해 발송된 것으로 보면 됩니다. 스팸의 수량은  각 개별 좀비 PC에서 빠르게 전송이 됩니다. 광대역의 인터넷에 접속되어 있다면 더욱 빨리 대용량의 스팸메일을 발송할 수 있는 환경이 되며 더 빨리 PC들이 좀비로 만들어 질 수 있습니다.

스패머들은 계속해서 좀비 컴퓨터들을 찾아 만들어 갈것이며 그러기 위해 더 많은 트로이목마(웜 바이러스)를 PC에 배포하여 스패머들이 일반 PC를 통제할 수 있도록 해 갈 것입니다. 우리가 일상적으로 받는 스팸메일이 여러분의 PC를 좀비로 만들 수 있는 무서운 로봇이 들어 있을 수 있습니다. 이런 스팸메일을 받으면 우리 자신의 PC도 스패머에 종속되는 좀비 PC로 전락됩니다. 하지만 우리 일반인 들은 내 PC가 좀비인지 알아내기가 무척 어렵습니다.

엄청난 수량의 스팸메일을 배포하는 보트들

사용자 삽입 이미지


가장 일반적인 스팸메일의 제목은?

지난 1분기에 가장 일반적인 제목은 작년의 제목과 동일합니다. 섹스와 관련된 제품 소개가 가장 많습니다.

스팸 메일의 제목

- 성적 강화제 : 53.6%
- 성행위 관련 : 19%
- 기타 성적의약품 : 12%
- 금융관련 : 3.8%
- 포르노 : 2.6%
- 소프트웨어 : 1.4%
- 전자제품 : 1%
- 기타 6.4%


최근의 스팸 트릭 : 뉴스레터를 가로 채기

스패머들은 최근 최신 기술을 사용하여 뉴스레터를 가로채서 이를 스팸으로 만드는 새로운 메일 전술을 만들어 내었습니다. 납치된 뉴스레터 스팸메일은 합법적으로 배포된 메일링 리스트, 뉴스레터를 라로채서 여기에 스팸을 붙이기 때문에 안티스팸 엔진으로 부터 안전하게 일반인들의 PC까지 전송되도록 하고 있습니다. 기본 정상 뉴스레터 메일의 앞부분에 스팸 이미지를 추가하는 방식을 사용하므로 취약한 스팸차단 솔루션으로 부터 피해나가게 됩니다.

이제 스팸차단 솔루션도 무용지물이 될 수 있을지도 모릅니다.


납치된 뉴스레터 사례

아래 이미지는 나이키에서 발송한 고객 뉴스레터 메일입니다. 정상적으로 나이키에서 고객들에게 보내는 뉴스레터인데 이번 1/4분기에는 이 뉴스레터를 스패머가 납치(?)하여 스팸메일로 바꾸어 일반 고객에게 전송하는 사례를 만들어 내었습니다. 빼았긴 뉴스레터는 합법적인 나이키 서버를 통해 발송되니 안티스팸 솔루션이 이를 막어낼 수 있을까요?

사용자 삽입 이미지

아무튼 요즘 스패머의 기술은 상상을 초월합니다.


어떻게 납치된 뉴스레터 스팸이 필터를 피해 나갈까요?

이런 새로운 형태의 뉴스레터 납치 스팸은 많은 종류의 안티스팸 서버들을 우회하는 기술을 사용합니다. 보통 합법적인 뉴스레터들을 대부분의 스팸차단 솔루션들은 이를 바이패스하도록 필터를 만들어 놓았습니다. 국내 안티스팸 제품 역시 화이트리스트를 운영하므로서 국내 뉴스발송서버들을 등록하여 바이패스하도록 하고 있습니다.

광학문자인식(OCR)이나 기타 이미지 분석 알고리즘을 사용하는 스팸 필터들만이 이런 종류의 스팸광고가 붙은 스팸메일을 걸러낼 수 있을 것으로 봅니다. 그러나 대부분의 스팸차단 솔루션들은 이미지 분석 기술을 사용하고 있지 못한 것이 실정입니다.

우리나라의 경우도 대부분 중소기업들이 스팸차단을 위해 asp 서비스를 통해 스팸을 걸러내고 있는데 대부분 이런 종류의 스팸메일은 차단하기 곤란하다고 봅니다.

만약 URL 주소로 스팸 뉴스레터를 차단한다면 정말로 어리석은 일일 것입니다. 임시 방편에 지나지 않을 것입니다. 스패머는 항상, 자주 합법적인 웹사이트나 메일서버를 크랙하여 그들의 주소를 바꾸어 버립니다. 서버 관리자나 운영자는 이를 알지 못하고 자기 서버가 스팸서버로 악용되는 것을 방치하게 됩니다.

이런 종류의 스팸메일은 합법적인 웹서버에 메일본문을 링크를 걸어 URL 차단으로부터 우회하도록 하므로서 URL 차단 기술을 무용화되게 됩니다.


결론 : bot를 통해 강력해진 메일공격을 방어하려면 네트워크 기반의 보안이 필요

납치된 뉴스레터 스팸은 최근 스패머가 개발한 가장 최신의 기법입니다. 스패머들은 가히 혁신적인 기술을 개발해나가 스팸방지 솔루션을 통과하기 위해 기술적 진보를 해나가고 있습니다. 일반적인 스팸차단 솔루션은 이들 해커의 발전속도를 따라가기 힘든 상황이 될 수 있습니다.

하론 UTM 장비는 commtouch의 Recurrent Pattern Detection(RDP) 기술을 탑재한 안티스팸엔진을 통해 실시간으로 대규모로 발생되는 스팸 메일을 실시간으로 감지해 내, 전세계적인 차단 기반을 갖고 새로 발생하는 스팸을 차단합니다.

하론의 SX UTM 장비를 도입을 고려해 보십시오.

50명 이하의 중소기업이라면 SX-50 UTM 장비를
100명 이상~200명 이하의 중견기업이라면 SX-101 장비를
그 이상의 대기업이라면 SX-200을 고려하시면 됩니다.

장비의 데모를 원하시면 14일간 무상으로 스팸을 방지하기 위한 데모를 위해 SX-50 장비를 빌려드립니다. 지금 바로 신청해 보십시오.

신청시 아래와 같은 정보를 보내주십시오 :

회사명 :
담당자 :
휴대폰 :
회사전화 :
이메일주소 :
주소:
사용하는 메일서버 :
직원수 :
설치예정일 :


하론 UTM 장비에 관한 정보 :

http://www.softmail.co.kr
http://www.halonsecurity.co.kr