SPF 공격 차단: 해커를 능가하고 이메일을 보호하세요.

블로그

BreakSPF 공격은 SPF 관련 취약점을 악용하여 위험한 스푸핑 공격 및 피싱 캠페인을 실행합니다. 안전하게 보호하는 방법을 알아보세요.

by 유네스타라다

읽기 시간: 8
SPF 공격 차단: 해커를 능가하고 이메일을 보호하세요.
목차-

기술이 빠르게 진화하고 발전함에 따라 가상 위협과 공격도 빠르게 진화하고 있습니다. 새로운 형태의 이메일 기반 위협이 더 높은 강도와 규모로 구체화되고 있습니다. 최근에 발견된 이메일 기반 위협의 한 가지 중요한 예는 가장 널리 사용되는 이메일 인증 프로토콜 중 하나인 발신자 정책 프레임워크(SPF)의 기존 취약점을 악용하는 BreakSPF로 알려진 Researchgate의 상세한 연구에서 강조되고 있습니다. 이 새로운 유형의 위협이 특히 우려되는 점은 대규모로 피해를 입히고 수백만 개의 도메인을 동시에 위험에 빠뜨릴 수 있다는 점입니다.

주요 내용

  1. BreakSPF 공격은 지나치게 허용적인 SPF 구성의 취약점을 악용하여 이메일을 효과적으로 스푸핑합니다.
  2. SPF 및 DKIM과 같은 기존의 이메일 보안 조치는 BreakSPF 공격에 의해 우회될 수 있으므로 향상된 보호 전략의 필요성이 강조됩니다.
  3. SPF 레코드에 불필요한 IP 주소가 많으면 보안이 취약해질 수 있으므로 SPF 구성을 간소화하는 것이 중요합니다.
  4. DMARC 보고서를 모니터링하면 이메일 인증 프로토콜과 관련된 잠재적 취약성과 비정상적인 활동에 대한 인사이트를 얻을 수 있습니다.
  5. 허용적인 정책은 도메인을 스푸핑에 취약하게 만들 수 있으므로 공격으로부터 도메인을 보호하려면 엄격한 DMARC 정책을 구현하는 것이 필수적입니다.

BreakSPF 공격이란 무엇인가 - 해커의 새로운 수법

BreakSPF는 SPF 검사를 우회하여 이메일 스푸핑을 시도하는 새로운 공격 프레임워크입니다. 허용적 SPF 구성이 있는 도메인은 특히 이러한 종류의 공격에 취약합니다. 많은 조직이 클라우드 이메일 서비스 제공업체, 프록시 또는 콘텐츠 전송 네트워크(CDN)에서 제공하는 공유 이메일 인프라를 사용한다는 사실에 착안하여 BreakSPF를 사용합니다. 공유 IP 풀. 이러한 공유 이메일 인프라의 SPF 레코드에 광범위하게 정의된 IP 범위는 해커와 공격자가 조치를 취하기에 좋은 환경을 조성합니다.

PowerDMARC로 BreakSPF 공격을 방지하세요!

15일 평가판 시작 데모 예약하기

BreakSPF 공격과 다른 이메일 기반 위협 비교

대부분의 전통적인 이메일 스푸핑 또는 피싱 공격은 소셜 엔지니어링이나 멀웨어를 통해 이메일 보안을 우회하려고 시도합니다. 반면, BreakSPF는 이메일 스푸핑 시도로부터 사용자를 보호하도록 설계된 바로 그 시스템을 악용하여 SPF 메커니즘 자체를 표적으로 삼습니다. 다시 말해, 기본적인 기존 이메일 스푸핑 또는 피싱 공격은 SPF 또는 DKIM 검사를 통해 차단할 수 있지만, BreakSPF 공격에서는 위협 행위자가 이러한 확인 검사를 우회하여 스푸핑된 이메일이 의심하지 않는 수신자 사서함에 쉽게 도달할 수 있습니다.

BreakSPF 작동 방식: SPF 검사 우회하기

에 따르면 컨퍼런스 논문에 따르면 "도메인의 51.7%가 65,536개(216개) 이상의 IP 주소를 포함하는 SPF 레코드를 보유하고 있습니다." 이렇게 큰 범위는 위험할 뿐만 아니라 대부분의 이메일 도메인에는 그렇게 많은 IP 주소가 필요하지 않으므로 완전히 불필요합니다. 지나치게 중첩된 압도적으로 큰 SPF 레코드는 잠재적으로 SPF 조회 한도를 초과하는 상황을 초래할 수 있습니다. 이렇게 되면 해커가 기존 보안 프로토콜을 통과할 수 있습니다. SPF 레코드가 너무 복잡하여 SPF 조회 한도를 초과하면 보호 계층이 원래 의도했던 작업을 더 이상 수행하지 못하기 때문입니다.

공격 방법은 다음과 같습니다. 공격자는 SPF 구성이 취약한 인기 도메인(예: example.com)을 식별하여 해당 도메인의 SPF 레코드가 광범위한 IP 주소를 허용합니다. 공격자는 이 허용 범위 내의 IP 주소에 대한 액세스를 제공하는 공개 서비스를 사용합니다. 그런 다음 이러한 IP 주소에서 스푸핑된 이메일을 피해자에게 보냅니다. SPF 유효성 검사는 발신자의 IP 주소를 확인하고 도메인의 SPF 레코드에 속하기 때문에 합법적인 것으로 간주하므로 스푸핑된 이메일은 SPF 및 DMARC 검사를 통과합니다. 그 결과 피해자는 표준 이메일 인증 조치를 우회한 진짜처럼 보이는 이메일을 받게 됩니다.

이 공격의 핵심 요소는 다음과 같습니다:

  1. 대상 도메인에 지나치게 허용되는 IP 범위의 SPF 레코드가 있습니다.
  2. 공격자는 해당 SPF 레코드에 포함된 IP 주소를 선택하기에 충분한 공용 인프라를 제어합니다.
  3. 공격자는 DNS 스푸핑이나 DNS 항목 수정과 같은 고급 기능 없이도 스푸핑된 이메일을 보낼 수 있습니다.

BreakSPF 공격의 유형 

이메일 전송은 일반적으로 두 가지 주요 채널을 통해 이루어집니다: HTTP 서버와 SMTP 서버. 이를 기반으로 Researchgate는 BreakSPF 공격 자체를 세 가지 그룹으로 분류합니다:

1. 고정 IP 주소 공격

고정 IP 주소 공격에서 공격자는 특정 IP 주소를 장기간 통제합니다. MTA(메일 전송 에이전트)로 활동하며 피해자의 이메일 서비스로 직접 악성 스푸핑 이메일을 보냅니다. 이러한 공격은 클라우드 서버 및 프록시 서비스와 같은 공유 인프라를 이용하는 경우가 많습니다. 그레이리스팅을 포함한 기존의 스팸 방어 메커니즘은 일반적으로 고정 IP 주소 공격에 효과적이지 않습니다.

2. 동적 IP 주소 공격

이 방법을 사용할 때 공격자는 각 연결에 대한 특정 발신 IP 주소를 제어할 수 없습니다. 하지만 현재 발신 IP를 기반으로 가장 취약한 도메인을 동적으로 평가하여 다양한 기능이나 방법을 통해 일시적으로 제어권을 확보할 수 있습니다. 이러한 IP 주소가 지속적으로 변경됨에 따라 기존의 IP 블랙리스트 방식은 동적 IP 주소 공격에 대해 다시 효과가 없게 됩니다. 이전의 고정 IP 주소 공격은 클라우드 서버와 프록시 서비스를 사용했다면, 동적 IP 주소 공격은 공용 인프라(예: 서버리스 기능, CI/CD 플랫폼 등)를 활용합니다.

3. 교차 프로토콜 공격

크로스 프로토콜 공격을 사용할 때 공격자는 IP 주소를 직접 제어할 필요조차 없습니다. 대신 해커는 SMTP 데이터에 HTTP 데이터 패킷에 삽입합니다. 그런 다음 HTTP 프록시와 CDN 출구 노드를 사용하여 이러한 패킷을 의도한 피해자의 이메일 서비스로 전달합니다. 크로스 프로토콜 공격으로 피해자를 표적으로 삼을 때 해커는 종종 공유 인프라(예: 개방형 HTTP 프록시, CDN 서비스 등)를 사용합니다. 이러한 유형의 공격은 매우 투명한 방식으로 이루어지기 때문에 탐지하거나 추적하기가 매우 어렵습니다.

BreakSPF 공격의 영향

전 세계 도메인은 피싱 공격의 대상이 되기 쉬우며, BreakSPF 공격으로 인해 매우 민감한 기밀 데이터가 해커에게 노출될 수 있습니다.. 또한 기업은 자신을 신뢰하는 사람들 사이에서 평판을 잃을 수 있습니다.

수많은 유명 기업들이 평판 악화로 인해 시장 점유율뿐만 아니라 상당한 재정적 손실을 입을 수 있습니다. 이는 BreakSPF 공격이 데이터 보안과 개인정보 보호뿐만 아니라 브랜드 이미지, 매출, 시장 지위 등 비즈니스의 다른 측면에도 직간접적인 영향을 미칠 수 있음을 의미합니다.

이러한 대규모 피싱 공격과 광범위한 이메일 스푸핑은 조직에 대한 미시적 수준의 영향을 넘어 이메일 교환 전반에 대한 신뢰를 약화시켜 개인, 전문직, 기업 간의 커뮤니케이션에 영향을 미칩니다. 여기에는 프리랜서 업무나 온라인 비즈니스 등 부업을 위해 이메일에 의존하는 개인이 포함되며, 이들은 안전하고 신뢰할 수 있는 서신에 크게 의존해야 성공할 수 있습니다. 이러한 위협으로 인해 사람들은 대체 플랫폼으로 전환할 수밖에 없으며, 이메일을 핵심 전략으로 활용하는 기존 커뮤니케이션 프레임워크와 마케팅 캠페인에 혼란을 초래할 수 있습니다.

따라서 BreakSPF 공격의 영향은 특정 지역이나 범주를 넘어서게 됩니다. 다양한 필요와 목적으로 이메일 커뮤니케이션을 사용하는 개인과 기업에 영향을 미칩니다. 

BreakSPF 공격을 방지하는 방법

도메인에 대한 이러한 공격을 방지하고 비즈니스와 직원을 보호하기 위해 취할 수 있는 몇 가지 주요 단계가 있습니다:

1. SPF 기록을 덜 복잡하게 만들기

SPF 모범 사례에 따르면 특정 도메인에는 SPF 레코드가 하나만 있어야 합니다. 안타깝게도 오늘날 도메인 소유자가 정확한 SPF 관리에 충분한 주의를 기울이지 않기 때문에 단일 도메인에 여러 개의 복잡한 SPF 레코드가 있는 경우가 매우 흔합니다. 

 

이러한 부정 행위는 SPF 유효성 검사 실패로 이어지며, 그 결과 합법적인 이메일도 스팸으로 표시되는 경우가 많습니다. 이는 전체적으로 이메일 전달률을 떨어뜨리고 비즈니스 커뮤니케이션과 평판을 위험에 빠뜨립니다.

2. DNS 조회 제한인 10을 초과하지 않도록 합니다. 

"SPF 허용 오류: DNS 조회 횟수가 너무 많습니다"는 DNS 조회 제한인 10회를 초과할 때 표시되는 메시지입니다. 영구 오류로 인한 SPF 실패로 간주되며, 종종 이메일이 의도한 수신자의 받은 편지함에 도달하지 못하거나 의심스러운 것으로 플래그가 지정될 수 있습니다. 이로 인해 이메일 전달률에 심각한 문제가 발생할 수 있습니다. 

DNS 조회 제한인 10개를 초과하지 않기 위해 취할 수 있는 몇 가지 단계가 있습니다. 예를 들어, 불필요한 "include" 문과 중첩된 IP를 제거하여 SPF 평탄화 서비스를 사용합니다.

가급적이면 다음을 사용하여 SPF 기록을 최적화할 수 있습니다. SPF 매크로. PowerDMARC에서는 고객이 매번 무제한 조회를 통해 오류 없는 SPF를 달성할 수 있도록 지원합니다. 호스팅 SPF 매크로 통합을 활용하는 솔루션입니다.

자세한 내용은 블로그 게시물에서 필요한 단계에 대해 확인할 수 있습니다. SPF 허용 오류 수정.

3. 프로토콜 구성 오류의 틈새 수정

BreakSPF는 SPF 및 DMARC 확인을 우회할 수 있습니다. 공격자가 확인 검사를 우회하지 못하도록 SPF 및 DMARC 채택의 공백이나 잘못된 구성을 식별하고 수정하는 것이 중요합니다. 이러한 격차 및 잘못된 구성에는 잘못된 DMARC 및 SPF 채택, 적시에 업데이트 또는 최적화되지 않은 경우 등이 포함될 수 있습니다. 

4. DMARC 보고서 모니터링

도메인에 대해 DMARC 보고를 사용 설정하고 주의를 기울이면 기존 이메일 인증 프로토콜의 문제와 잘못된 구성을 감지하는 데 도움이 될 수 있습니다. 이러한 보고서는 의심스러운 IP 주소를 탐지할 수 있는 풍부한 정보를 제공합니다. 

5. DMARC 정책 시행

DMARC는 SPF 및 DKIM과 함께 사용해야 할 뿐만 아니라 지나치게 허용적인 정책을 피하기 위해 DMARC 거부와 같은 엄격한 정책과 함께 배포해야 합니다. DMARC 없음 정책은 사이버 공격에 대한 보호 기능을 제공하지 않습니다. 이메일 인증의 초기 단계(즉, 모니터링 단계)에서만 사용해야 합니다. 

그러나 초기 모니터링 단계 이후에도 이 정책을 계속 따르면 도메인이 사이버 공격에 취약해져 심각한 보안 문제가 발생할 수 있습니다. 이메일에 대해 DMARC가 실패하더라도 없음 정책에 따라 악성 콘텐츠가 포함된 이메일이 수신자의 받은 편지함으로 계속 배달되기 때문입니다.

6. 항만 관리 강화

클라우드 서비스에 대한 포트 관리를 강화하고 개선하면 공격자의 클라우드 IP 남용을 막는 데 도움이 됩니다. 클라우드 서비스는 사이버 공격의 일반적인 원인입니다. 클라우드는 중요하고 민감한 데이터의 저장소로 사용되는 경우가 많아 해커들에게 매력적인 표적이 되기 때문입니다. 또한 해커가 클라우드 계정에 액세스하는 데 성공하면 즉시 모든 데이터를 보고 한 번에 훔칠 수 있기 때문에 클라우드 공격은 데이터 유출로 이어질 수도 있습니다. 

따라서 모든 데이터를 하나의 중앙 집중식 클라우드 플랫폼에 보관하면 여러 가지 장점이 있지만, 온라인 보안에 매우 위험할 수도 있습니다. 따라서 데이터 암호화, 침입 탐지, 엄격한 액세스 제어와 같은 사전 예방적 조치는 클라우드 서비스 및 비즈니스 전반의 보안을 강화하는 데 가장 중요합니다. 

요약 

이메일 인증 프로토콜의 올바른 채택과 관련하여 도움과 조언이 필요하신가요? PowerDMARC가 도와드리겠습니다! 

PowerDMARC의 일반적인 관리형 SPF 서비스 - PowerSPF PowerSPF는 전 세계 기업을 위한 광범위한 호스팅 SPF 관리 및 최적화 솔루션을 제공하여 BreakSPF 및 기타 여러 SPF 관련 오류와 문제를 방지할 수 있도록 도와줍니다. 도메인 보안 강화 - 지금 바로 PowerDMARC에 문의하세요 디지털 커뮤니케이션을 안심하고 즐기세요!

CTA

Yunes Tarada의 최신 글 (전체 보기)
상위 10개의 PowerDMARC 대안 및 경쟁업체: 자세한 기능 비교레드 시프트의 OnDMARC 대안: 최고의 대안 및 경쟁사