‘전자세금계산서 발급안내’로 위장한 악성 이메일 어떻게 발신자 변조가 가능할까?

카테고리 : 소개/IT 상식

이스트 시큐리티에 따르면 아래의 사진과 같은 악성 이메일이 공공기관 및 기업 종사자를 대상으로 유포되고 있다고 밝혔다.

5월 27일 ‘국세청 전자 세금계산서 발급 메일 안내’로 위장한 악성 이메일이 국내 공공기관 및 기업 종사자를 대상으로 유포되고 있어 각별한 주의가 필요한 상황입니다.

악성 메일

메일을 보낸이는 <hometaxadmin@hometax.go.kr>으로 실제 국세청 홈텍스(hometax.go.kr) 주소를 사용하여 주의하지 않으면 당할 수도 있다.

악성메일 본문

이 글에서는 어떻게 사칭이 가능한지 어디까지 믿을 수 있는지 해커가 아닌 일반인들께 판단에 도움이 되도록 작성할 것이다.

 

간단하게 문답부터 하고 넘어가자

Q) hometaxadmin@hometax.go.kr 이메일 주소를 사용한 건 홈택스가 해킹당한 걸까?

A) 답은 아니오.

예전에 폴더폰 시절 SMS를 보낼 때는 문자 보내는 사람 번호를 바꿀 수 있던 기능이 있었다.

이와 비슷하게 보낸 사람 이메일 주소를 바꿔 보낼 수 있다.

 

이메일, SMS, 전화 모두 바꿔 보낼 수가 있다.

구형 체계가 이유인데 이 체계를 바꾸면 기존의 업데이트가 불가한 모든 휴대폰, 이메일 시스템이 망가진다.

그래서 현재 발신 위조 방지 기능은 은행 등 주요 기관이 아니고서는 적용되어있지 않다.

전 세계 표준이므로 전 세계 인구가 모두 업데이트를 하거나 새 기기를 사용해야 바꿀 수 있다.

차근차근 바꿔야 된다. (집전화 등은 업데이트가 불가하니 새로운 시스템을 같이 탑재하여 새 기기를 출시할 수 있다.)

 

해당 메일의 발송 과정

해당 이메일은 SMTP 프로토콜을 이용해 발송되었을 것이다.

https://ko.wikipedia.org/wiki/%EA%B0%84%EC%9D%B4_%EC%9A%B0%ED%8E%B8_%EC%A0%84%EC%86%A1_%ED%94%84%EB%A1%9C%ED%86%A0%EC%BD%9C

 

간이 우편 전송 프로토콜 - 위키백과, 우리 모두의 백과사전

위키백과, 우리 모두의 백과사전. 간이 전자 우편 전송 프로토콜(Simple Mail Transfer Protocol, SMTP)은 인터넷에서 이메일을 보내기 위해 이용되는 프로토콜이다. 사용하는 TCP 포트번호는 25번이다. 상��

ko.wikipedia.org

 

SMTP를 이용하여 Gmail이나 Naver mail 등의 계정 또는 다른 메일 사업자의 메일로부터 이메일을 보낼 수 있다.

 

그런데 여기에는 로그인된 아이디가 아닌 다른 아이디로 바꿔도 정상적으로 작동이 되어 보내진다.

 

이 이메일은 구글이 보낸 메시지이다.

발송 도메인을 살펴봐야 된다.

 

위의 악성 메일 사례에서는

hometaxadmin@hometax.go.kr에서 보냈으나 발송 도메인은 hometax.go.kr이 아닐 것이다.

 

네이버 메일에서는 진짜 보낸 게 맞는지 확인하기 위해서는 메일에서 메뉴를 눌러 원문보기(원본보기)를 눌러 보낸 이가 누구인지 찾아봐야 된다.

아래의 "네이버 메일 발신자 판단 방법" 참고

네이버 메일 메뉴
구글 메일 메뉴

네이버 메일은 조금 불친절해서 알아보기 어렵게 코드만 적혀있을 것이고, 구글은 해석이 되어있다.

네이버 해석 방법은 글의 맨 아래에 있습니다.

 

원본 메일 보기

구글이 알려주는 메일 보안 강화 방법

  1. SPF 레코드로 이메일 위장 방지하기
  2. 이메일 위장을 방지하기 위해 DKIM 설정하기
  3. MTA-STS 및 TLS 보고 정보

다만, 수신자 입장에서는 다시 확인하는 방법밖에 없고 발신자 입장에서 속여서 메일 발송을 방지하는 작업이다.

 

네이버 메일 발신자 판단 방법

네이버 메일은 발신자를 속이는 경우 판독이 어렵다. 따로 알 수 있는 방법을 제공하지 않아 직접 분석해야 된다.

원문보기를 누른 후 Authentication-Results : 다음 부분을 체크하면 된다.

만약 Authentication-Results가 없는 경우 사칭이라고 봐도 무방하다.

smtp.mailfrom=<변조 가능성있는 발송 도메인>

 

Received-SPF: none (변조 가능성 있음)

Received-SPF: Pass (변조 아님을 확인)

...

Received-SPF: none (mx.naver.com: domain of help@help.naver.com does not designate permitted sender hosts)
  client-ip=125.209.236.150; x-iptype=white;
Authentication-Results: mx.naver.com;
  spf=none (mx.naver.com: domain of help@help.naver.com does not designate permitted sender hosts) smtp.mailfrom=help@help.naver.com;
  dmarc=fail (p=NONE sp=NONE dis=NONE) header.from=naver.com
  
...

여기에서는 smtp.mailfrom=help@help.naver.com;으로 되어있지만

Received-SPF: none 이어서 help.naver.com에서 전송한 걸로 판단 불가능하다.

 

이때는

Received-SPF: 

 client-ip=125.209.236.150 에서 확인 가능하다.

해당 IP는 네이버의 IP이다. 따라서 이 이메일은 네이버가 전송한것으로 판단이 가능하다.

 

IP의 소유자를 확인할 방법은 구글에 아이피를 검색하면 어느회사 소유인가 등이 나온다.

 

 

이메일 정보를 수정하여 악의적으로 전송하는 방법을 "이메일 스푸핑"이라고 부른다.

많은 메일사들이 SPF를 반영하여 white-ip가 아닌경우 차단하고 있지만

아직도 적용안된곳이 많이 있을수 있어 사용자 또한 주의해야된다.

 

IP 주소로 소유자 확인방법

아래의 주소에서 ip입력후 검색시 ip소유자 정보가나온다.

https://xn--c79as89aj0e29b77z.xn--3e0b707e/kor/whois/whois.jsp

 

KISA 후이즈검색 whois.kisa.or.kr

한국인터넷진흥원 인터넷주소자원 검색(후이즈검색) 서비스 입니다.

xn--c79as89aj0e29b77z.xn--3e0b707e

 

 

저작권 보호안내
무단 전재, 재배포 행위는 금지됩니다. (글을 복사하여 게시금지)
본문의 일부(링크용 문장) 인용은 가능하지만, 출처와 링크(a 태그)를 남기셔야 됩니다.
(웹툴을 이용하고, 스크린샷/녹화하는것은 상관없습니다.)

예외적으로. 저에게 허락받은 경우에는 본문을 전재할 수 있습니다.

만약, 본문 공유를 원하신다면 링크 공유를 해주세요

저작권 정책 확인하기
링크 공유하기

 댓글