[MOONSLAB.com]

백신(안티바이러스) 제품의 성능 평가에 대한 명성을 가지고 있는 ICSA Labs에서는 안티스팸 솔루션에 대한 비교 평가 결과를 발표했습니다. 아울러 참고자료로 보안 벤더의 보고서도 포함하고 있습니다.

이번 평가에 사용된 제품은 위의 표에서와 같이 포티넷, IBM, 카스퍼스키, 넷기어의 UTM 장비 등입니다. 국내 안티스팸 솔루션을 포함하여 여타 주요한 솔루션이 포함되지 않았기 때문에 참조 용도로 보시는 편이 나을 것입니다.


스팸 진단율은 넷기어 제품이 높은 편이며 포티넷의 경우 약간 떨어지는 편입니다.


오진율에 대한 부분을 보면 넷기어가 높은 편입니다. 잘 잡아 내는 것도 중요하지만 오진이 적어야 한다는 상식 하에서 어느 제품을 선택해야 할지 고민이 되게 하는 부분입니다.


스팸을 발송한 나라를 기준으로 분석한 자료는 다음과 같이, 러시아가 1위를 차지하고 있으며, 그 뒤를 인도가 따르고 있습니다. 아쉽게도 대한민국은 6위를 차지하였지만, 미국을 대신 넣는 바람에, 아래 도표에서는  나타나지 않습니다.


스팸을 가장 많이 발송한 10개국을 기준으로 비율을 산정한 도표는 다음과 같습니다.


위의 분석에 사용된 스팸 보고서는 다음과 같습니다.

• Fortinet Fortimail 2000B: https://www.icsalabs.com/sites/default/files/FortinetMASSReport1011.pdf
• Kaspersky Anti-Spam: https://www.icsalabs.com/sites/default/files/KasperskyMASSReport1011.pdf
• IBM Lotus Protector for Mail Security: https://www.icsalabs.com/sites/default/files/IBMLotusProtectorMASSReport1011.pdf
• NetGEAR STM Appliance Product Family: https://www.icsalabs.com/sites/default/files/NetgearSTMFamilyMASSReport1011.pdf

출처: https://www.icsalabs.com/technology-program/anti-spam/spam-data-center#top10

감사합니다.

스팸 메일(e-mail)은 가장 손쉽게 광고를 할 수 있는 수단으로 이미 우리 곁에 파고들고 있습니다. 하지만, 스팸 차단 시스템이라든지, 언어 상의 장벽(예를 들어, 평범한 한국사람이 영어 메일을 받을 가능성의 거의 0%이므로 영문 메일은 무조건 스팸으로 간주) 때문에 그나마 견디고 있습니다.

하지만, 스팸을 보내는 광고주 입장에서는 광고 내용이 효과적인지 여부에 대해서 의문을 가지고 있으며, 실제로 스팸의 효과는 1%도 안될 정도입니다.

최근 SNS 열풍에 힘입어 스팸 업계(!)는 트위터와 페이스북으로 시장을 다각화하고 있습니다.

먼저 트위터의 경우에는 받은 사람이 언팔로우나 블럭을 하게 되면 그 이후에는 메시지(트윗)을 보낼 수 없기 때문에(보내도 보지 않게 되니) 어느 순간에 갑자기 사용할 수 없게 됩니다.

따라서, 가장 효과적으로 스팸을 보내는 수단으로 바로 페이스북이 떠오르고 있습니다.


보안 전문 기업인 F-Secure는 조사를 통해 스팸에 관한 흥미로운 사실을 공개했습니다. 즉, 페이스북에서 보낸 스팸 메시지는 이메일로 보낸 스팸 메시지에 비해 클릭율이 무척 높다는 것으로 클릭하는 링크는 악성코드로 유도하는 URL이 대부분입니다.

F-Secure 조사 결과 약 40% 정도로 높은 클릭율을 보이고 있으며 이메일 스팸의 경우에는 상대적으로 무척 저조합니다.

이유는 당연히 친구가 보내는 메일 속에 그러한 내용이 있으리라고는 생각하지 않는 그런 맹점으로 이용한 것으로 친구를 사귈 때 잘 사귀야 한다는 옛말을 다시금 새겨야겠습니다.

감사합니다.

출처: http://www.downloadsquad.com/2010/08/26/facebook-spam-infinitely-more-effective-than-email-spam/

최근 보안 전문가들은 아르헨티나 정부가 가지고 있는 다수의 웹사이트가 해킹되어 BHSEO(Black Hat Serach Engine Optimization Campaign)에 이용되고 있는 것을 발견했다고 밝혔으며, 일부 사이트에서는 악성코드까지 배포하기도 했다고 합니다.

이러한 사실은 보안 전문 기업인 Sucuri Security에 의해 밝혀졌으며, 이 회사는 웹 기반의 무결성 모니터링 및 악성코드 유포 진단 솔루션을 보유하고 있습니다. 이 회사의 블로그에 관련자료가 업로드되어 있어 간단하게 정리해 소개합니다.


해킹된 아르헨티나의 정부 웹사인트는 아래와 같으며, 스패머가 BHSEO로 이용하고 있습니다.

http://www.bnm.me.gov.ar

http://www.trabajo.gov.ar

http://www.cedem.gov.ar

http://www.sanmartin.gov.ar

http://www.jusmisiones.gov.ar

http://www.apostoles.gov.ar

http://www.cordoba.gov.ar

http://www.santafecultura.gov.ar

http://www.mocoreta.gov.ar

http://www.lasheras.gov.ar

http://www.dipes.catamarca.gov.ar

http://www2.berisso.gba.gov.ar

(이하 생략)

해킹된 사이트는 구글 검색창에서 inurl:.gov.ar "cheap viagra" 또는 inurl:.gov.ar "cheap cialias" 단어를 입력하여 찾을 수 있습니다.

 

재미있는 사실은 아무도 해킹되어 스팸이 발송되고 있는지 파악하지 못하고 있었다는 것이며, 따라서 치료와 같은 아무런 조치가 취해지지 않았습니다. 일부 사이트에서는 악성코드 자체가 업로드되기도 했습니다.(예. http://www.sanmartin.gov.ar/sitio/noticias/)

 

공격자들은 해당 사이트가 검색 엔진에서 높은 순위를 가지고 있다는 점에 착안하여 공격한 것으로 추측되며, 물론 'viagra', 'cialas'를 검색한 경우를 말합니다.

해킹당한 사이트를 살펴 본 결과, 취약점을 가지고 있는 예전 버전의 워드프레스를 사용하거나 SQL 인젝션 취약점을 가지고 있는 일부 웹 애플리케이션을 통해 발생한 것으로 추측됩니다.

출처: http://blog.sucuri.net/2010/07/argentinean-government-web-sites-hacked-with-spam.html

필자가 다년간 메일 서버 제품의 엔지니어로 근무하면서 느꼈던 부분이 바로 스팸 메일을 대하는 사람들의 태도입니다. "스팸은 그냥 지우면 그만이죠.", "좀 많을 때 짜증 나지만 별 상관 없어요" 라는 말을 하곤 합니다.

거의 모든 포탈에서는 자체적인 메일 서비스를 무료로 제공하지만, 실제 메일 서비스만 제공할 뿐이지 스팸을 차단하는데에는 그리 큰 예산이나 인력을 사용하고 있지 않은거 같습니다.

<필자가 사용하는 메일 서비스의 받은 편지함 부분. 뉴스레터 한 두 통을 제외하고는 모두 스팸>


이제 스팸 즉 이메일을 통해 사용자의 PC를 공격하는 방식에 설명하고자 합니다. 물론, 대부분 알고 있을 수도 있을 것입니다.

• 피싱 - 메일의 본문에 악성 코드가 포함된 URL을 삽입하고, 사용자가 이를 클릭하는 과정에서 피싱 공격이나 악성 코드를 다운로드하게 하는 방식.
• 감염 - 메일의 첨부 파일에 HTML이나 실행 파일을 포함시키고, 사용자가 이를 클릭하여 실행하게 함으로써 PC에 악성 프로그램이 감염되도록 하는 방식

이러한 공격의 사례를 살펴 보면 다음과 같습니다.

 

즉, 스팸은 사용자의 실수를 이용하기 때문에, 보통 사용자 책임으로 돌리기 쉽습니다만, 사용자가 모두 책임지기에는 너무나 억울할 수 밖에 없습니다. 보낸 사람을 일일이 확인할 수도 없을 뿐더러, 대부분 보안에 대해 충분한 지식을 가지고 있지 못한 경우가 대부분입니다.

따라서, 스팸에 대한 문제는 바로 메일 서비스를 제공하는 회사(포탈)이 어느 정도 책임을 지고 해결을 해야 한다고 봅니다. 

특히, 일반 회사와 같이 독자적인 메일 시스템을 구축하는 경우에 메일에 대한 안티 스팸/바이러스 장비나 소프트웨어를 구비하지 않는 경우가 대부분입니다. 이러한 경우에는 당연히 구비해야 하며, 사용자 수가 50명 미만인 경우에는 구글이 제공하는 무료 서비스를 이용하는 편이 훨씬 낫습니다.

참고로, 2번째와 같이 첨부파일로 공격하는 형태는 메일 서버의 필터링 기능에서 html, exe와 같이 위험한 확장자를 차단하는 방법을 동원해도 충분히 막을 수 있습니다. 구글에서도 실행 파일을 첨부할 수 없게 되었습니다.

감사합니다.

어제 오바마가 미국 44대 대통령에 당선되었습니다. 스패머들은 이러한 이슈를 그냥 넘기지 않습니다. 바로 금전적인 이익을 거둘 수 있는 스팸 메시지의 제목으로 선량한 시민의 눈길을 잡아 끕니다.

지난 수요일, 보안 업체인 소포스랩스(SophosLabs)에서 오바마의 대선 승리에 대한 뉴스 및 비디오를 보여준다는 대규모의 스팸 공격을 발견했습니다.

소포스랩스는 영국에 위치한 안티스팸 및 안티 바이러스 전문 업체입니다.

이메일은 보낸 사람이 "news@president.com"이고 제목은 "Obama win preferred in world poll"로 되어 있습니다.

이메일 본문에는 "amazing speech"라는 링크를 클릭하도록 요구하고 있으며 만약 사용자가 이를 클릭하는 경우(특히 아도브 플래시 9를 사용하는 경우)에는 시스템을 원격에서 조종할 수 있는 악성 코드에 감염됩니다. 악성 코드의 이름은 Mal/Behav-027로 이름지었습니다.

소포스랩스의 기술 컨설턴트인 그래함 클루레이(Graham Cluley)는 블로그에서 "사이버 범죄는 위험한 사이트에서 시작된다며 내 추측으로는 오바마의 사례를 볼 때 크래커는 인터넷 사용자를 감염되키기 위해 탐욕을 드러 낸다고' 언급했습니다

지난 6월말부터 7월달까지는 첨부 파일에 PDF 문서가 들어 있는 새로운 스팸 메시지가 출현한 적이 있습니다. 하지만, 이 PDF 스팸은 위력이 그리 없어서인지 효과가 없어서 인지는 몰라도 잠시 출현했다가 사라졌습니다.

참고자료: http://moonslab.com/390

하지만, 최근 아크로뱃의 보안 취약점을 이용한 새로운 PDF 스팸이 출현하여 주의가 요망됩니다.

지난 10월말부터 새로운 PDF 스팸이 출현하였습니다. 첨부된 PDF 파일을 열게 되면 기존에는 광고를 보는 정도였지만 이번에는 CVE-2007-5020 취약점(아크로뱃 리더 + IE 7)을 이용하여 악성 프로그램을 특정 서버에서 다운로드하여 실행합니다.

참고로 아도브 사에서는 이러한 문제점을 해결하는 패치(v8.1 및 이하 버전용)를 지난 10월 22일 경우 발표하였습니다. 가급적 아크로뱃 리더를 최신 버전으로 재설치하여 보안상 취약점을 미리 예방하기 바랍니다.

아크로뱃 리더 다운로드: http://www.adobe.com/kr/products/acrobat/readstep2.html

인터넷을 사용하면서 가장 편하게 느껴지는 부분이 바로 메일이다. 또한, 가장 불편하게 만드는 부분이 스팸메일이다.

메일은 우리 생활 아니 업무에 있어어 가장 핵심적인 통신 매개체 역할을 해 주고 있다.

보안 벤더인 소포스에서는 2007년도 3/4분기에 가장 많이 스팸을 보낸 나라의 목록을 공개했다.

이 정보는 소포스의 스팸 채집 기법인 스팸 트랩에서 수집된 모든 스팸메시지를 검토한 결과이다.

1. 미국 - 28.4%
2. 대한민국 - 5.2%
3. 중국(홍콩 포함) - 4.9%
4. 러시아 - 4.4%
5. 브라질 - 3.7%
6. 프랑스 - 3.6%
7. 독일 - 3.4%
8. 터키 - 3.2%
9. 폴란드 - 2.7%
10. 영국 - 2.4%
11. 루마니아 - 2.3%
12. 멕시코 - 1.9%

대륙별로 비교하면 다음과 같다.

1. 북미 - 32.3%
2. 아시아 - 31.1%
3. 유럽 - 24.8%
4. 남미 - 9.1%
5. 아프리카 - 2.1%
6. 기타 - 0.9%

여러분에 메일을 사용하면서 어쩔 수 없이 보게 되는 스팸. 어디서 많이 왔는가?

출처: http://www.newswire.ca/en/releases/archive/October2007/24/c7637.html

요즘 새로운 스팸들과 관련하여 다양한 보안 경고가 뉴스가 되곤 합니다.

오늘 소개할 자료는 연하장(E-Greeting Card)를 가장하여 수신되는 스팸으로 인해 악성 프로그램에 감염되는 이메일 공격 중 하나입니다.

우리나라의 경우에는 영어를 주로 사용하고 있지 않아 그리 큰 피해가 예상되지는 않습니다만, 영문화권에서는 이 이메일 공격이 효과를 발휘하고 있습니다.

아래 그림과 같이 제목이 보통 "Movie-Quality ecard"라고 되어 있으며, 문안 인사를 고품질의 동영상으로 제공한다는 낚시성 제목입니다.

문제는 본문 속에 나타나 있는 링크 주소인데 이 링크 주소를 클릭하면 보통 새로운 창(또는 기존 창이 바뀌면서)에서 해당 주소로 이동하게 됩니다. 아래 화면처럼 클릭을 유도하는 링크가 나타납니다.

링크 주소는 URL이나 IP 주소로 되어 있는데, 이러한 IP 주소를 확인해 보면 미국이나 동유럽 쪽이 다수이고 일부의 경우에는 미국내의 ISP 주소도 포함되어 있다고 합니다. 미국내의 IP 주소는 이 악성프로그램에 감염된 PC라고 합니다.

사용자 시스템에 하나 또는 그 이상의 파일을 설치하는데 이 파일들의 목적이 바로 사용자의 화면(및 데이터)를 캡춰합니다.

다운로드하는 파일은 msdataaccess.exe 파일로 F-Secure에서는 Email-Word.Win32.Zhelatin.gg라고 진단합니다.

문제는 예전에 감염되던 전통적인 방식은 메일 메시지의 첨부 파일에 바이러스가 포함된 또는 바이러스 감염을 유도하는 실행파일을 전송하였기 때문에 안티스팸/바이러스 장비에서 이를 손쉽게 걸러냈습니다.

하지만, 메일 본문에 그것도 링크로 되어 있는 경우에는 이러한 보안 장비로는 차단이 어렵기 때문에 사용자의 주의가 한번 더 요구됩니다.

마지막으로 국내외 안티 바이러스의 검사 결과입니다. 안랩의 V3와 카스퍼스키의 무검출이 눈에 띄는 군요.

비트디펜더(BitDefender)는 메이저 안티 바이러스 벤더 중의 하나로 안티 바이러스 솔루션 이외에도 데이터 보안 솔루션을 제공하고 있다. 최근 2007년도 전반기 이미지 및 텍스트 기반의 스팸을 분석한 자료를 발표하였다.

2007년도 상반기에는 주로 주식 관련 스팸이 주류를 이뤘으며 이미지 기반의 스팸은 중간 정도 점유율을 보이고 있었다. 성 기능 관련 약물은 2 등을 차지했다.

제목으로 분류한 스팸의 유형
1. 주식 - 75%
2. 약물(성 관련) - 8.1%
3. 짝퉁 시계 - 5%
4. 모기지론 - 4%
5. 피싱 - 2%
6. 포르노 - 2%
7. 학위 졸업장 - 1%
8. 약물(다이어트 관련) - 0.9%
9. 여행 - 0.5%
10. 소프트웨어 - 0.5%
11. 기타 - 1%

이미지 기반의 스팸은 증권 관련하여 꾸준히 증가하고 있으며, 텍스트 기반의 스팸은 주로 약물에 관련된 내용을 담고 있었다. 텍스트 기반의 스팸 중 가장 많은 주제는 바로 성 관련 약물이며 뒤를 이어 짝퉁 시계가 차지했다.

텍스트 기반의 스팸의 유형
1. 약물(성 관련) - 42.5%
2. 약물(다이어트 관련) - 13.8%
3. 짝퉁 시계 - 9.1%
4. 모기지론 - 7.4%
5. 피싱 - 4.2%
6. 전자 제품 - 3.8%
7. 여행 - 3.6%
8. 주식 - 3.6%
9. 소프트웨어 - 2.5%
10. 학위 졸업장 - 2.1%
11. 허가증 - 1.5%
12. 만남 주선 - 0.5%
13. 기타 - 5.4%

특히 2007년도 중반기에는 PDF로 된 새로운 이미지 기반의 스팸이 등장하기 시작했다. 스팸 메시지에는 PDF 파일을 첨부 파일로 제공하며 대부분 컴퓨터에서는 아크로뱃 리더 등이 깔려 있어 손쉽게 PDF 파일을 열어 볼 수 있다.

최근의 스팸 유형은 진단하기 어렵도록 압축을 하거나, 파서를 속이기 위해 변형한 HTML 코드를 사용하곤 한다.

출처: http://home.businesswire.com/portal/site/google/index.jsp?ndmViewId=news_view&newsId=20070814005179&newsLang=en

2007년 7월 초, 기존의 이미지 기반의 스팸의 대를 이어 PDF 문서를 첨부파일로 함께 배달되는 새로운 스팸 유형이 등장했다. 여기에서는 그냥 PDF 스팸이라 칭한다.

PDF 스팸 메시지를 분석해 보면 다음과 같은 일정한 형태가 나타난다.(이 정보는 변경될 수 있으므로 참조용으로만 보세요)

• 제목에 Re: 등으로 시작하고 첨부하는 PDF 문서의 이름만 포함(변경될 가능성이 많습니다)
• 메일 발송 프로그램은 썬더버드 1.5를 사용한다는 헤더 내용 포함
• 본문이 없음
• 첨부파일은 BASE64로 인코딩

전통적인 스팸 메시지를 차단하는 가장 간단한 필터링 방법은 제목, 본문, 첨부 파일 등에 특정한 단어가 있을 때 이를 스팸으로 분류하는 것이다. 이러한 스팸이 차단되기 시작하자 스패머들은 이미지 기반의 스팸이라는 새로운 기술을 들고 나왔다. 이미지 기반의 스팸은 본문 가운데 그림을 넣어 그림 속에 광고 내용을 표현하는 것으로 이러한 스팸을 차단하기 위해서는 이미지를 분석하여 스팸 여부를 진단하는 OCR 기능을 가진 고가의 스팸 필터링 장비가 필요하다.

현재 이미지 기반의 스팸을 분석하여 차단하는 기술이 점차 보편화되자 스패머들이 들고 나온 방법이 PDF 문서, 워드 문서, 엑셀 문서를 첨부로 보내는 것이다.

그리고, 일반적으로 컴퓨터를 자주 사용하는 사람은 아크로뱃 리더 정도는 깔아서 쓰는 것이 대부분이며, 아웃룩이나 아웃룩 익스프레스로 메일의 첨부파일을 열더라도 별도의 설치 작업없이 바로 열어 볼 수 있다. 따라서, 스패머들은 아무런 제제를 받지 않고 목적을 달성할 수 있게 된다.

그렇다고 해서 스패머가 PDF 스팸을 직접 발송하는 것도 아니다. 실제 스팸을 분석해 보면 증권 관련 PDF 스팸인 "pump-and-dump" 스팸은 W32/Strain 웜에 감염된 컴퓨터에서 발송된 것을 확인할 수 있다. 즉, 웜에 감염된 일반 PC에서 이러한 PDF 스팸을 발송하고 있던 것이다.

특히, PDF 스팸 메시지의 내용이나 첨부 파일을 확인한 결과, 현재로는 단지 문서로서의 역할만 하고 있다. 하지만, 일부 보안 블로그/사이트에서는 다음과 같이 세 가지 사항을 경고하고 있다.

• 첨부파일에 .exe 파일을 추가하여 사용자 컴퓨터에서 감염 등의 동작 실행
• PDF 문서 자체에 자바스크립트를 동작시킬 수 있음
• 이미지기반의 스팸에 비해 메시지의 크기가 현저하게 크므로 사용자 메일 박스에 부담을 줄 수 있음

1. 첨부파일에 .exe 파일을 추가하여 사용자 컴퓨터에서 감염 등의 동작 실행 - 이 방법은 이미 최신의 아웃룩 버전 등에서는 사용할 수 없도록 무력화된 방법이다. 하지만, 모든 컴퓨터가 이러한 보안 정책을 가지고 있는 것은 아니므로 주의해야 한다.

2. PDF 문서 자체에 자바스크립트를 동작시킬 수 있음 - 실제 이 부분은 보안상 매우 민감한 사안에 해당한다. 우리가 널리 사용하는 웹 브라우저에서도 자바 스크립트로 인해 많은 공격이 이루어지고 있기 때문에 PDF에서도 이러한 공격이 나타날 가능성이 매우 높다.

3. 이미지기반의 스팸에 비해 메시지의 크기가 현저하게 크므로 사용자 메일 박스에 부담을 줄 수 있음 - 기존의 이미지 기반의 스팸은 대략 10kb 미만의 크기를 가지고 있지만, PDF 스팸의 경우 보통 30kb 이상의 크기이다. 만약 사용자의 쿼터가 10mb라고 가정한다면 PDF 스팸 300 통이면 메일박스가 꽉차서 무용지물로 만들 수 있다. 스팸 메시지의 크기가 커진다면 그만큼 메일 서버의 부하도 증가한다고 볼 수 있다. 메일 스토리지뿐만 아니라 메일 서버끼리의 트래픽, 메일을 사용자가 가져갈 때의 트래픽 모두 적어도 3배 이상 증가한다는 것은 명약관화하나 사실이다.


중요한 사실 한가지, 앞으로 아크로뱃/아크로뱃 리더의 취약점을 이용한 익스플로잇이 출현하거나 제로데이 웜이 출현할 경우에는 PDF 스팸은 스팸의 범위를 넘어서 바이러스/웜의 영역까지 침투해 들어올 수 있다는 점이다.

손쉽게 예를 들어 보자면, 지난 3월 6일에 시큐니아(www.secunia.com)에서 발표한 아크로멧 리더의 취약점을 살펴 보자. 여기서 발생하는 취약점은 "file://"이라는 URL을 PDF 문서 내에서 동작할 수 있게 한다는 것으로 공격자가 마음만 먹는다면 컴퓨터에 있는 특정한 파일의 정보를 가져 갈 수 있다. 해킹 방법은 여기를 클릭해서 참고하도록 한다.

감사합니다.