>> 기술지원 비용 안내 <<

티스토리 뷰

2007년 7월 초, 기존의 이미지 기반의 스팸의 대를 이어 PDF 문서를 첨부파일로 함께 배달되는 새로운 스팸 유형이 등장했다. 여기에서는 그냥 PDF 스팸이라 칭한다.

PDF 스팸 메시지를 분석해 보면 다음과 같은 일정한 형태가 나타난다.(이 정보는 변경될 수 있으므로 참조용으로만 보세요)
  • 제목에 Re: 등으로 시작하고 첨부하는 PDF 문서의 이름만 포함(변경될 가능성이 많습니다)
  • 메일 발송 프로그램은 썬더버드 1.5를 사용한다는 헤더 내용 포함
  • 본문이 없음
  • 첨부파일은 BASE64로 인코딩

사용자 삽입 이미지

전통적인 스팸 메시지를 차단하는 가장 간단한 필터링 방법은 제목, 본문, 첨부 파일 등에 특정한 단어가 있을 때 이를 스팸으로 분류하는 것이다. 이러한 스팸이 차단되기 시작하자 스패머들은 이미지 기반의 스팸이라는 새로운 기술을 들고 나왔다. 이미지 기반의 스팸은 본문 가운데 그림을 넣어 그림 속에 광고 내용을 표현하는 것으로 이러한 스팸을 차단하기 위해서는 이미지를 분석하여 스팸 여부를 진단하는 OCR 기능을 가진 고가의 스팸 필터링 장비가 필요하다.

현재 이미지 기반의 스팸을 분석하여 차단하는 기술이 점차 보편화되자 스패머들이 들고 나온 방법이 PDF 문서, 워드 문서, 엑셀 문서를 첨부로 보내는 것이다.

그리고, 일반적으로 컴퓨터를 자주 사용하는 사람은 아크로뱃 리더 정도는 깔아서 쓰는 것이 대부분이며, 아웃룩이나 아웃룩 익스프레스로 메일의 첨부파일을 열더라도 별도의 설치 작업없이 바로 열어 볼 수 있다. 따라서, 스패머들은 아무런 제제를 받지 않고 목적을 달성할 수 있게 된다.

그렇다고 해서 스패머가 PDF 스팸을 직접 발송하는 것도 아니다. 실제 스팸을 분석해 보면 증권 관련 PDF 스팸인 "pump-and-dump" 스팸은 W32/Strain 웜에 감염된 컴퓨터에서 발송된 것을 확인할 수 있다. 즉, 웜에 감염된 일반 PC에서 이러한 PDF 스팸을 발송하고 있던 것이다.

특히, PDF 스팸 메시지의 내용이나 첨부 파일을 확인한 결과, 현재로는 단지 문서로서의 역할만 하고 있다. 하지만, 일부 보안 블로그/사이트에서는 다음과 같이 세 가지 사항을 경고하고 있다.

  • 첨부파일에 .exe 파일을 추가하여 사용자 컴퓨터에서 감염 등의 동작 실행
  • PDF 문서 자체에 자바스크립트를 동작시킬 수 있음
  • 이미지기반의 스팸에 비해 메시지의 크기가 현저하게 크므로 사용자 메일 박스에 부담을 줄 수 있음

1. 첨부파일에 .exe 파일을 추가하여 사용자 컴퓨터에서 감염 등의 동작 실행 - 이 방법은 이미 최신의 아웃룩 버전 등에서는 사용할 수 없도록 무력화된 방법이다. 하지만, 모든 컴퓨터가 이러한 보안 정책을 가지고 있는 것은 아니므로 주의해야 한다.

2. PDF 문서 자체에 자바스크립트를 동작시킬 수 있음 - 실제 이 부분은 보안상 매우 민감한 사안에 해당한다. 우리가 널리 사용하는 웹 브라우저에서도 자바 스크립트로 인해 많은 공격이 이루어지고 있기 때문에 PDF에서도 이러한 공격이 나타날 가능성이 매우 높다.

3. 이미지기반의 스팸에 비해 메시지의 크기가 현저하게 크므로 사용자 메일 박스에 부담을 줄 수 있음 - 기존의 이미지 기반의 스팸은 대략 10kb 미만의 크기를 가지고 있지만, PDF 스팸의 경우 보통 30kb 이상의 크기이다. 만약 사용자의 쿼터가 10mb라고 가정한다면 PDF 스팸 300 통이면 메일박스가 꽉차서 무용지물로 만들 수 있다. 스팸 메시지의 크기가 커진다면 그만큼 메일 서버의 부하도 증가한다고 볼 수 있다. 메일 스토리지뿐만 아니라 메일 서버끼리의 트래픽, 메일을 사용자가 가져갈 때의 트래픽 모두 적어도 3배 이상 증가한다는 것은 명약관화하나 사실이다.


중요한 사실 한가지, 앞으로 아크로뱃/아크로뱃 리더의 취약점을 이용한 익스플로잇이 출현하거나 제로데이 웜이 출현할 경우에는 PDF 스팸은 스팸의 범위를 넘어서 바이러스/웜의 영역까지 침투해 들어올 수 있다는 점이다.

손쉽게 예를 들어 보자면, 지난 3월 6일에 시큐니아(www.secunia.com)에서 발표한 아크로멧 리더의 취약점을 살펴 보자. 여기서 발생하는 취약점은 "file://"이라는 URL을 PDF 문서 내에서 동작할 수 있게 한다는 것으로 공격자가 마음만 먹는다면 컴퓨터에 있는 특정한 파일의 정보를 가져 갈 수 있다.


현재까지 설명한 PDF 스팸은 아직은 위험한 단계는 아니지만, 적어도 보이는 족족 삭제하는 것이 가장 좋은 방법이며, 특히 윈도우 사용자들은 마이크로소프트의 보안 패치는 열심히 하지만 다른 응용 프로그램의 패치는 그리 중요하게 여기지 않는 경향이 있다. 따라서, 아크로뱃 사용자들은 종종 업데이트 여부를 확인하여 보안 취약점을 해결하는 것이 가장 중요하다.

이제 메라크 메일서버에서 이러한 PDF 스팸을 처리하는 방법을 소개합니다. 중요한 사실은 현재의 스팸을 분석하여 만든 규칙이므로 항상 제대로 필터링이 되는지 확인하고 나중에 소용없어지게 될 경우에는 반드시 삭제해야 합니다.

사용자 삽입 이미지


필터 다운로드: v8.5 버전 이상에서만 정확히 보입니다. 그 이하 버전 사용자는 위의 그림을 보고 만들어 줍니다.


감사합니다.

PS: 8월 8일자 추가 사항: 위 필터에서 4 번째 조건을 빼주면 새로운 PDF 스팸을 더 막을 수 있습니다.

끝.
신고
댓글