DKIM 리플레이 공격이란 무엇이며 어떻게 방어할 수 있나요?

블로그

DKIM 리플레이 공격에서 공격자는 원래 도메인의 평판을 이용하여 DKIM으로 서명된 메시지를 여러 수신자에게 다시 보낼 수 있습니다.

by 아호나 루드라

읽기 시간: 5
DKIM 리플레이 공격이란 무엇이며 어떻게 방어할 수 있나요?
목차-

DKIM은 디지털 서명 형태의 암호화를 사용하여 도메인에서 전송되는 메시지에 서명하는 이메일 인증의 중요한 요소입니다. 이를 통해 인증된 출처에서 발신된 이메일이 의도한 수신자에게 도달하기 전에 변경되지 않도록 하여 사칭 위협을 완화할 수 있습니다. 

DKIM 리플레이 공격에서는 공격자가 합법적인 DKIM 서명 이메일 메시지를 가로챈 다음 메시지 내용이나 서명을 변경하지 않고 의도한 수신자 또는 다른 대상에게 여러 번 다시 전송합니다. 이 공격의 목표는 DKIM 서명에 의해 구축된 신뢰를 이용하는 것입니다. DKIM 서명 에 의해 구축된 신뢰를 이용하여 수신자가 동일한 합법적인 메시지의 사본을 여러 번 수신하고 있다고 믿게 만드는 것입니다.

주요 내용

  1. DKIM은 암호화 서명을 사용하여 전송 중에 이메일이 변경되지 않았는지 확인합니다.
  2. DKIM 리플레이 공격은 신뢰할 수 있는 이메일을 다시 전송하여 수신자가 새롭고 합법적인 메시지라고 믿도록 속이는 것입니다.
  3. 공격자는 평판이 높은 도메인을 사용하여 신뢰할 수 있는 이메일 소스를 사칭함으로써 DKIM을 악용할 수 있습니다.
  4. DKIM 리플레이 공격을 방지하려면 헤더에 오버서명을 하고 DKIM 키를 정기적으로 교체하는 등의 전략이 필요합니다.
  5. 이메일 수신자에게 DKIM에 대해 교육하고 전송률 제한을 구현하면 리플레이 공격의 위험을 완화하는 데 도움이 될 수 있습니다.

DKIM 리플레이 공격이란 무엇인가요? 

DKIM 재생 공격은 위협 행위자가 DKIM을 사용하여 서명하고 신뢰할 수 있는 이메일을 가로챈 다음 동일한 이메일을 다시 보내거나 '재생'하여 수신자가 변경되거나 유해할 수 있음에도 불구하고 새롭고 신뢰할 수 있는 메시지라고 생각하도록 속이는 사이버 공격입니다.

DKIM 리플레이 공격의 구조를 분석하고 방어 전략을 논의하기 전에 DKIM이 어떻게 작동하는지 알아보겠습니다: 

PowerDMARC로 보안을 간소화하세요!

15일 평가판 시작 데모 예약하기

DKIM은 이메일을 어떻게 인증하나요?

DKIM (DomainKeys Identified Mail)은 이메일 메시지의 진위 여부를 확인하고 이메일 스푸핑 및 피싱 시도를 탐지하는 데 도움이 되는 이메일 인증 방법입니다. DKIM은 전송 서버에서 이메일 메시지에 디지털 서명을 추가하고, 수신자의 이메일 서버에서 이 서명을 확인하여 전송 중에 메시지가 변조되지 않았는지 확인할 수 있습니다.

DKIM은 다음과 같은 프로세스를 활용하여 운영됩니다: 

1. 메시지 서명: DKIM을 사용하는 도메인에서 이메일을 보내면 보내는 메일 서버는 메시지에 대한 고유한 암호화 서명을 생성합니다. 이 서명은 이메일의 콘텐츠(헤더 및 본문)와 '보낸 사람' 주소 및 '날짜' 필드와 같은 일부 특정 헤더 필드를 기반으로 합니다. 서명 프로세스에는 일반적으로 개인 키를 사용합니다.

2. 공개 키 게시: 발신 도메인은 DNS(도메인 이름 시스템) 레코드에 공개 DKIM 키를 게시합니다. 이 공개 키는 수신자의 이메일 서버에서 서명을 확인하는 데 사용됩니다.

3. 메시지 전송: 이제 DKIM 서명이 포함된 이메일 메시지가 인터넷을 통해 수신자의 이메일 서버로 전송됩니다.

4. 검증: 수신자의 이메일 서버가 이메일을 수신하면 이메일 헤더에서 DKIM 서명을 검색하고 발신자 도메인의 DNS 레코드에서 발신자의 공개 DKIM 키를 조회합니다.

서명이 이메일의 콘텐츠와 일치하면 수신자는 이메일이 전송 중에 변조되지 않았으며 발신자 도메인으로 추정되는 곳에서 진짜로 전송된 것임을 합리적으로 확신할 수 있습니다.

5. 합격 또는 불합격: 확인 프로세스 결과에 따라 수신자 서버는 이메일을 DKIM 확인 또는 DKIM 실패로 표시할 수 있습니다.

DKIM은 발신자 도메인의 진위 여부를 확인하는 메커니즘을 제공하여 피싱, 스푸핑 등 다양한 이메일 기반 공격을 방지하는 데 도움을 줍니다.

DKIM 리플레이 공격은 어떻게 작동하나요?

DKIM 리플레이 공격에서 악의적인 개인은 DKIM 서명의 관대함을 이용하여 이메일 수신자를 속이고 잠재적으로 유해한 콘텐츠나 사기를 퍼뜨릴 수 있습니다. 

DKIM 리플레이 공격이 어떻게 작동하는지 단계별로 살펴보겠습니다:

DKIM 시그니처 유연성

DKIM을 사용하면 서명 도메인(이메일에 서명하는 도메인)이 이메일의 '보낸 사람' 헤더에 언급된 도메인과 다른 도메인이 될 수 있습니다. 즉, 이메일이 '보낸 사람' 헤더에 특정 도메인에서 보낸 것으로 표시되어 있어도 DKIM 서명은 다른 도메인과 연결될 수 있습니다.

DKIM 인증

이메일 수신자의 서버는 DKIM 서명이 있는 이메일을 수신하면 서명을 확인하여 도메인의 메일 서버에서 서명된 이후 이메일이 변경되지 않았는지 확인합니다. DKIM 서명이 유효하면 이메일이 서명 도메인의 메일 서버를 통과했으며 전송 중에 변조되지 않았음을 확인합니다.

평판이 높은 도메인 활용

이제 여기서 공격이 시작됩니다. 공격자가 사서함을 탈취하거나 해킹하는 데 성공하거나 평판이 높은 도메인(이메일 서버에서 신뢰할 수 있는 출처라는 의미)으로 사서함을 만드는 경우, 공격자는 도메인의 평판을 유리하게 활용합니다.

초기 이메일 보내기

공격자는 평판이 높은 도메인에서 자신이 제어하는 다른 사서함으로 이메일 한 통을 보냅니다. 이 초기 이메일은 의심을 피하기 위해 무해하거나 심지어 합법적인 이메일일 수도 있습니다.

재방송

이제 공격자는 녹화된 이메일을 사용하여 동일한 메시지를 다른 수신자 집합(원래 합법적인 발신자가 의도하지 않은 수신자 집합)에 다시 브로드캐스트할 수 있습니다. 이메일에는 평판이 높은 도메인의 DKIM 서명이 그대로 남아 있기 때문에 이메일 서버는 이를 합법적인 메시지로 간주하고 신뢰하여 인증 필터를 우회할 가능성이 높습니다. 

DKIM 리플레이 공격을 방지하는 단계

이메일 발신자를 위한 DKIM 리플레이 공격 방지 전략: 

1. 헤더 오버서명

서명 후 날짜, 제목, 보낸 사람, 받는 사람, 참조와 같은 주요 헤더를 추가하거나 수정할 수 없도록 하려면 오버서명을 고려하세요. 이러한 안전장치는 악의적인 공격자가 이러한 중요한 메시지 구성 요소를 변조하는 것을 방지합니다.

2. 짧은 만료 시간 설정(x=) 2.

가능한 한 짧은 만료 시간(x=)을 구현하세요. 이렇게 하면 리플레이 공격의 기회 창이 줄어듭니다. 새로 만든 도메인은 공격에 더 취약하므로 기존 도메인보다 만료 시간을 더 짧게 설정해야 합니다. 

3. 타임스탬프(t=) 및 논스 사용 3.

리플레이 공격을 더욱 방지하려면 이메일 헤더 또는 본문에 타임스탬프와 논스(난수)를 포함하세요. 이렇게 하면 공격자가 나중에 같은 이메일을 다시 보내더라도 값이 변경되어 다시 보내기 어렵게 됩니다.

4. 주기적으로 DKIM 키 회전

DKIM 키 회전 를 정기적으로 교체하고 그에 따라 DNS 레코드를 업데이트하세요. 이렇게 하면 리플레이 공격에 노출되어 손상될 수 있는 수명이 긴 키의 노출을 최소화할 수 있습니다.

 

이메일 수신자를 위한 DKIM 리플레이 공격 방지 전략: 

1. 속도 제한 구현

수신자는 수신 이메일 메시지에 속도 제한을 구현하여 공격자가 재생된 이메일을 시스템에 넘쳐나게 하는 것을 방지할 수 있습니다. 이를 위해 특정 발신자가 특정 시간 내에 수신하는 이메일 수에 제한을 설정할 수 있습니다.

2. 이메일 수신자 교육

이메일 수신자에게 DKIM의 중요성에 대해 교육하고 수신 이메일에서 DKIM 서명을 확인하도록 권장하세요. 이렇게 하면 잠재적인 리플레이 공격이 수신자에게 미치는 영향을 줄일 수 있습니다.

3. 네트워크 보안 조치

네트워크 보안 조치를 구현하여 리플레이 공격에 연루될 수 있는 알려진 악성 IP 주소 및 소스의 트래픽을 탐지하고 차단합니다.

PowerDMARC가 DKIM 리플레이 공격을 완화하는 방법

도메인 소유자가 DKIM 키를 쉽고 간편하게 관리할 수 있도록 포괄적인 호스팅 DKIM 솔루션을 도입했습니다. 이메일 흐름과 DKIM 서명 관행을 모니터링하여 불일치를 신속하게 감지하고 공격자보다 항상 한 발 앞서 나갈 수 있도록 도와드립니다.

대시보드의 레코드 최적화는 수동 업데이트를 위해 DNS에 여러 번 액세스할 필요 없이 자동으로 이루어집니다. 번거로운 수동 작업 없이 서명을 변경하고, 다중 선택기를 처리하고, DKIM 키를 회전하여 PowerDMARC를 사용하여 자동화로 전환하세요. 지금 바로 등록하여 무료 평가판!

아호나 루드라의 최신 포스트 (전체 보기)
진화한 이메일 사기 사기 5가지: 2024년 트렌드2021 사기지속적인 위협 노출 관리(CTEM)란 무엇인가요?