IceWarp 이메일 서버 자세히보기

아이스워프 메일서버

메일서버에서 사용자 비밀번호 정책의 중요성

소프트메일 2014. 7. 23. 10:46

이메일 서버를 운영하다보면 자주 자사의 메일서버에서 스팸메일이 발송되어 과도한 트래픽은 물론 해외 거래처로 부터 메일 수신이 않된다는 연락을 자주 받는 경험을 하실 것입니다. 예전에는 메일서버의 보안 기능 중에 릴레이 차단과 같은 기본적인 기능을 사용하지 않거나 메일서버가 이런 기본 보안 기능을 갖지 못해서 릴레이 서버로 스팸을 발송했지만 최근의 대부분의 사례는 사용자 비밀번호 정책에 대한 미수립과 관리부재를 통해 발생하는 경우가 대부분입니다.


많은 기업들이 직원들의 비밀번호를 아이디와 동일하게 사용하는 비밀번호, 매우 단순한 비밀번호(1111, 1234 등) 등을 사용하는 경우가 당사 경험으로 보면 메일서버 운영 고객 중 절반이상이 넘습니다. 특히 그룹웨어를 사내 도입하여 그룹웨어와 메일서버를 통합하여 사용하는 경우 내부 방화벽 내에 그룹웨어가 있고 외부 오픈하지 않았다는 이유로 비밀번호를 1111과 같이 운영하는 고객사가 너무 많습니다. 이런 경우 그룹웨어 접속은 외부에서 불가능하지만 인터넷에 공개되어 있는 메일서버는 사용자 비밀번호가 그대로 노출되게 됩니다.


사용자 비밀번호가 노출되었다는 것은 아파트 현관문에 시건장치를 하였지만 도둑에게 비밀번호를 알려준 것과 다를바가 없습니다. 해커는 간단한 소프트웨어를 통해 인터넷 상에 있는 이메일 서버를 찾아서 사용자 이메일주소와 비밀번호를 쉽게 획득할 수 있습니다. 이를 통해 돈이 되는 스팸메일을 아무런 거리낌 없이 회사 메일서버를 통해 지속적으로 메일을 발송하게 됩니다.


이러면 당연하게도 네이버나 KT, 해외 거래처 등은 스팸발송 IP로 회사 메일서버 IP 주소를 블랙리스트에 등록하여 메일 수신을 차단해 버립니다. 해외 유명한 블랙리스트 사이트 스팸캅, dnsbl, openrbl, IP 평판 조회 등을 사용하는 구글이나 마이크로소프트 등에서 회사 메일을 차단하는 이유입니다.


따라서, 메일서버 운영자라면 반드시 사용시 메일계정에 대한 비밀번호 정책을 수립하여 반드시 실행하여야 합니다. 많은 고객사에 이와 같은 정보를 제공하고 가이드를 하고 있지만 실제 같은 업체에서 같은 이유로 동일한 질문을 반복하고 있습니다. 


저희 IceWarp 메일서버를 보면 비밀번호 정책을 강제화 할 수 있는 기능이 있습니다. 이 기능은 다음과 같습니다 :


- 로그인 정책 (로그인 시도 횟수 제한)

- 로그인 IP 제한 정책

- 비밀번호는 아이디와 메일주소를 사용하지 못하게 하는 정책

- 비밀번호 암호화

- 비밀번호 최소 길이 설정

- 문자와 숫자 조합

- 특수문자 포함 조합

- 대소문자 구분 정책

- 비밀번호 사용기간 설정(예를 들어 30일마다 강제 변경)


사실 이 중에서 비밀번호 6자 이상 설정과 문자숫자 조합만으로도 일반적인 비밀번호 유출은 일어나지 않습니다. 물론 해커의 직접적인 해킹으로는 비번 노출이 어렵지 않지만 자동화된 도구를 사용한 경우는 문제가 되지 않습니다. 대부분의 경우 관리자가 사용자의 비밀번호를 설정해 주기 때문에 메일서버는 비밀번호 정책을 위반한 메일 사용자에게는 로그인시에 비밀번호 변경 요청을 강제화하도록 하여야 합니다.


IceWarp 메일서버에서 관리자가 사용자 비밀번호와 정보를 조회하는 방법은 간단합니다:


TOOL export account * u_name u_password


IceWarp 메일서버 관리자라면 메일서버가 설치된 서버에서 cmd 커맨드로  설치된 폴더에 가서 이 명령을 지금 실행해 보십시오. 당연히 관리자 권한을 가진 계정으로 실행하셔야 합니다. 많은 사용자들의 비밀번호가 1111과 같은 단순한 비밀번호로 설정된 것을 볼 수 있습니다.  이런 계정이 있다면 지금 바로 비밀번호를 변경하시기 바랍니다.


저희가 운영하는 내부 서버의 경우에 POP3 서버를 통한 비밀번호 로그인 시도가 하루 60,000만 건 정도 시도되고 있습니다. 주로 비밀번호 대입법을 통해 a-z 아이디 순으로 로그인 시도하는 사례를 볼 수 있습니다.


참고로 사용자들이 사용하는 비밀번호에 대한 재미있는 글 소개해 드립니다 ;




취약한 암호들로 디자인을 창조하다


카네기 멜론 대학의 CyLab Usable Privacy and Security 연구소 책임연구원이자, 퀼트 아티스트인 Lorrie Cranor 교수는 그녀의 학생들과 텍스트기반의 취약한 패스워드에 대하여 연구를 진행하였습니다. 그리고 연구를 통해 발견한 가장 취약한 암호 1000개로 워드 클라우드 패턴의 멋진 드레스와 퀼트를 디자인했습니다. 


그녀는 그 드레스를 "The Security Blanket"이라고 이름지었으며, Spoonflower에서 구매가 가능하다고 합니다


그녀가 진행한 연구에서 가장 대중적인 패스워드는 123456이며, 숫자가 아닌 문자는 "LOVE"를 테마로 구성한 패스워드로 나타났습니다. 영어뿐 아니라 다른 언어권에서도 Iloveyou는대세를 이룹니다. 강아지 이름으로 쓰이는 Princess라는 단어는 가장 대중적으로 1000개의 리스트안에서 보여지는 패스워드입니다  


Chocolate은 음식 이름과 관련된 패스워드로 chicken, banana와 함께 자주 사용되는 단어로 밝혀졌습니다.


여러분들이 즐겨 사용하는 패스워드, 혹시 모두가 알고 있지 않나요 ?


RankPasswordChange from 2012
1123456Up 1
2passwordDown 1
312345678Unchanged
4qwertyUp 1
5abc123Down 1
6123456789New
7111111Up 2
81234567Up 5
9iloveyouUp 2
10adobe123New

Worst Password of 2013