이런 저런 사연이 있어 대표메일쪽으로 스팸이 와르르 들어오기도 하고
CEO 지시사항이기도 하고 해서 최근에 스팸메일에 대응 하기 위한 방법을 여러가지 고민했었습니다.
저희는 모사의 UTM장비에 라이센스를 얹어서 스팸메일 대응을 하는 방향으로 생각을 했습니다.
혹시나 홍보처럼 보일까봐 일단은 빼놨습니다. 잘 아시는 분들이면 왠지 거기인가 하실지도 모르겠네요.
기 구축된 메일서버는 그룹웨어사 제공인데 뭔가 원하는 만큼의 매칭이나 대응이 안될뿐더러 화이트리스트 방식으로 할 수 없는 이상 블랙리스트로 계속해서 추가를 해야 하는건 그만큼의 시간 인력손실 각이 나올거라고 봤습니다.
해당 업체쪽에서 스팸솔루션을 가격 주신걸 봤는데 금액적으로 도입하고 한두개라도 들어오면 도입하고도 혼날 금액이라 고민하던 중에 가격적인 절충안을 찾은 건데 쉽지가 않습니다.
일단 현재 방식은 UTM에서 스팸에 대해 자체적으로 해당 업체가 구축한 DB를 기반으로 스팸이 날아오는 IP들의 집합이 있어서 해당 발송지면 무조건적 차단 (Block IP)와 메일의 내용을 기본적으로 체크해서 이상징후가 보이면 처리를 하는 방식입니다.
■설치 당일
○세팅을 다 뒤집으면서 해야 하니 쉬운일이 아니지만 그래도 정리를 기반으로 엔지니어 분들이 고생해서 정리를 하는데 성공 했습니다.
■2일차
○설치 다음날부터 해외에서 오던 메일이 전부 정리됐습니다.
○왠만한 해외의 이상발송 메일은 빈틈없이 막아냅니다. 솔직히 기대 이상이었습니다.
■3일차
○잘되니까 불안합니다.
■4일차
○로그를 보는데 이상한게 보입니다. 외부공격이 아닌 내부에서 다량의 메일이 스팸으로 나갑니다
○약 3천여건, 내부에서 업무상 VPN을 쓸수밖에 없다고 주장(?) 하시는 분의 컴퓨터에서 발송이 확인됐습니다.
○해당 사용자에게 이야기 드리고 정리했습니다. 돈값을 하는듯 합니다.
■5일차
○해외의 현장에서 아웃룩을 사용하는데 문제가 있다는 연락을 받았습니다
○그룹웨어에서 웹메일을 이용하는건 딱히 접속차단을 걸지 않았지만, 아웃룩을 이용해서 Pop3, IMAP, SMTP 이용하는데 있어서 해당 현장 IP가 Block IP로 걸렸습니다.
○엔지니어분과 통화 후 기존 정책보다 먼저 해당 IP에서 올경우는 그냥 통과하는 것으로 정책을 변경했습니다.
■6일차
○혹시 몰라 회사 내에 공지를 올렸습니다. 해외에서 아웃룩 이용에 문제 있으면 연락주세요
○해외 현장에서 여전히 안된다고 연락이 옵니다. 본인들 IP를 명확히 몰라서 생긴 문제였습니다.
○현장 하나에서 여러개의 인터넷 회선을 끌어다 쓰신다고 하네요 -_-
■8일차
○내부 보고는 진행됐고 대금지급 준비하는 과정에서 다른 이야기 하나가 나옵니다
○받아야 할 중요메일을 못받으면 어떻게 하지?
○로그를 남기기는 하는데 공격들어오는 이상한 로그를 제외하고 확실히 믿을만한 곳이라면 화이트리스트로 넘겨주는 방법을 선택하기로 했습니다.
○대신 해당 화이트리스트에서도 메일필터링은 진행하며 이상함이 보인다면 Spam이라는 태깅을 달아 메일 제목에 붙이도록 진행했습니다.
■9일차
○해외 현장에서 또 전화가 왔습니다. IP를 뭐 쓰는지 리스트업이라도 좀 해주시지....
○로그를 전부 뽑아내서 지속적으로 들어오는 IP대역에 대해서는 C클래스 기준으로 전부 차단을 진행합니다. 혹시 몰라서 스팸메일서버 혹은 이상한 곳이 맞는지를 찾기 위해 해당 사이트를 이용했습니다.
■https://anti-hacker-alliance.com/ <- IP를 넣으면 관련 위치나 스팸서버 등재여부등을 보여줍니다.
○제 기준에서는 국외에서 7개 이상이면 거의 100%라고 판단하고 진행했습니다.
○혹시 몰라 현장이 있는 국가의 경우는 제외를 했습니다.
■10일차
○로그의 양이 현저히 줄어들기 시작합니다. 좀더 분석이 편해집니다.
○이제 안전하다고 추정되는 주요(회사와 아주 중요한 관계인) 거래처들의 발송지 IP정보를 분석해서 화이트리스트에 추가합니다.
○중간중간 오작동이 나는지 계속 봅니다.
■11일차
○이상한 메일이 하나 둘 보입니다.
○이전에도 썼던 해외에서 한국어로 작성한 듯한 메일입니다.
○첨부파일을 그림파일로 대체하고 링크를 연결해서 얼핏 보면 낚일뻔 한 수준입니다.
○다행히 업무담당자들이 센스있게 잘 대처하셨습니다.
○영어는 커버가 되는데 한국어로 오는건 커버를 못하는것 같습니다.
■12일차
○특별히 큰 문제는 없어보입니다. 주말이 지나갑니다.
■15일차
○Spam 태그를 걸어놔서 메일서버가 그걸 보고 전달을 튕겨버리는 일이 일어납니다.
○Spam 태그 거는걸 제거했습니다. 괜찮을까 모르겠습니다.
○그 와중에 한국어로 된 스팸 두개를 발견했습니다.
○메일의 내용은 평이하고 첨부는 대용량 메일의 링크처럼 위장해서 옵니다.
○UTM장비가 아무리 뛰어나다고 해도 Naver, Daum, OneDrive에 올려진 파일 링크를 보고 차단을 때려버릴 수 없는 문제가 나와버립니다.
계속해서 지켜보고 화이트리스트, 블랙리스트 등재 로그분석을 하고 있는데 진작 안한거도 문제였지만 좋은 솔루션을 쓴다고 해도 결국 메일을 보는 개인들이 주의를 해야 한다는게 결론 같습니다.
카카오(다음), 네이버, Gmail등으로 보내버리는데 저렇게 들어오는건 진짜 어떻게 해도 막기가 쉽지 않은것 같습니다.
생각이 많아집니다. 성능은 확실히 좋아서 외산은 잘막는데 한국어 특성상 쉽게 커버가 안되는것 같습니다.
혹시 다른 회사에서는 어떤식으로 대응하고 계시는지도 궁금합니다.
20개의 댓글이 있습니다.
사용자 교육밖에 답이 없습니다.
주기적으로, 자체적인 가짜 스팸 메일 만들어서 사용자 테스트 하세요. 클릭하면 그 명단 경영진에 보고 하고요. 몇번 그러면 겁나서 메일 확인 제대로 하겠죠.
스팸과는 끝 없는 전쟁이죠
IT는 뭘해도 욕먹죠~잘하면 티가 안나는데 못하면 진짜 ~~겁나 욕먹고
자세한 히스토리를 남겨주셔서 도움이 되는 곳이 있을듯 합니다. 추후 진행사항도 알려주시면 감사하겠습니다~
혹시 XX게이트 UTM의 스팸필터 기능을 사용하신건가요?
저희 회사는 일평균 수신 메일이 8000~10000건인데, 이중에서 정상은 2000~3000건이고,
스팸메일이 5000~7000건정도 됩니다. 정상메일의 2~3배는 스팸메일이더군요;;
국산스팸서버를 쓰고 있는데 저희는 외국쪽 스팸메일 비율더 더 높아서 XX게이트 UTM의 스팸필터 기능을 사용해봤습니다.
작년에 적용해서 사용해보고 있는데... 엔지니어에게 문의해봐도 적용 사례가 잘 없다고 하더군요;
설정도 단순했고요
말씀하신 것처럼 한국어 메일은 잘 안되는 경우가 많지만 설정 이후 지금까지 잘 사용하고 있습니다
개인적으로 효과가 더 많았던 부분은 DKIM/DMARC 설정과 RBL 설정이 였습니다.
KISA에서도 제공중인 RBL도 나름 효과가 좋더라구요
RBL은 이메일서버에 적용해보시는 것도 좋을꺼같아요 아마 대부분 지원하지않을까합니다.
그리고 국내보안업체에서 클라우드형 스팸서버도 있던데 메일수가 많지 않다면 클라우드형도 비용대비 효과가 좋은걸로 알고있어요 테스트했을때 메일이 1분정도 뒤에 오거나, 상세 설정을 하지못하는 단점이 있었던 걸로 기억합니다
예 그거 맞습니다. 좀 더 잘 써보려고 노력중인데 아무래도 뭔가 부족함이 없진 않네요.
RBL을 적용하려면 그룹웨어 서비스사랑 이야기를 해야 하는데 딱히 대응이... ㅠㅠ
창과 방패의 끝없는 싸움 속에 계시는것 같네요~
제 생각엔 방패가 좀 더 강할거라 생각합니다.
아무리 튼튼한 방패라도 언젠가는 뚫리기는 하겠지만... ㅎㅎㅎ
처음에는 쉴새없이 막고 막아야 하다가, 시간이 지나면서 뚫리는 빈도도 줄고, 간격도 길어지면서 숨쉴틈도 생기고 여유도 생기고 하겠죠~
응원합니다. 화이팅~ ^^
이렇게 해도 계속해서 뚫릴 수 밖에 없지만 저 하나가 좀 더 노력하면
나머지가 누워서 떡을 먹을 수 있으니, 최대한 문제없도록 해주고 그 안에서 혹시모를 문제까지 잡아주는게 좋은 것 같습니다.
스팸메일에는 일정의 패턴이 있습니다. 물론 그런 패턴을 이용해서, 소루션 제품이 있죠.
메일은 아니지만, 회원가입에 메일 주소를 쓰는데, 화이트, 블랙 리스트 작성을 자동화 프로그램으로 해결했었습니다.(IP, 도메인, Forwarded ip, 초단위 간격, 횟수) 다만 1% 정도는 같은 IP어드레스로 와서, 차단되는 경우가 있었습니다.(학원에서 교육할때)
모든지, 자동화 스팸은 패턴이 있는데, 그걸 회사 지사 및 협력 업체의 IP, 도메인를 바탕으로 프로그램을 짜는것이 최상의 방어를 구현할 수 있다고 생각이 듭니다. 또한 직원들의 협력이 필요하죠.
여러가지 방법으로 계속 데이터를 모아야 하는데 사실 그거 말고도 해야 할게 많다보니 힘드네요.. 흐흐
보통 장비사면 그걸로 끝인데..
저렇게 열심히 관리하고 운영하고 보고하면
윗분들도 사주는 보람이 있겠네요..
하지만 현실은 계속 해외현장쪽에서 일부 트러블이 발생하는데 통제가 쉽지가 않네요.. 흐흐
저희는 기본적으로 UTM DB가 꾸준히 업데이트 되기 때문에 자동적으로 반응하는데 그럼에도 계속 치러 들어오는 경우라면 아예 전체적인 통신 자체를 끊어도 무방하니 서버대역으로 가는 모든 트래픽을 차단 하는 형태로 처리하고 있네요.
문제는 이제 예상치 못한 받아야 할 메일을 못받거나 외부에서 서버로 들어와야 하는 일부들에 대해서 일종의 샌드박스 형태로 올려두고 확인해본 다음에 메일의 제목이나 성향으로 보고 이상이 없으면 해당 위치에 대해서는 스팸을 거치지 않도록 처리하는 형태로 가보려고 하는 상황입니다.
DB업데이트를 수동으로만 해야 한다면 한계가 있을 수 밖에 없는 것 같습니다. 그거만 죽자고 봐도 사후대처지 사전대응은 아니기 때문에.. ㅠㅠ
이싸움에서 반드시 승리하겠다는 의지가 느껴지네요, 바쁘시겠지만 계속적인 후기를 부탁드리고 싶네요 ^^
이기기보단 적어도 막으려는 노력은 한다 정도의 느낌은 줘야 하지 않을까 싶습니다. 어느정도 안정화가 되면 나중에 제대로 된 후기를 써볼까 생각중이긴 합니다.
g-suite 나 o365면 스팸이 없습니다 '-')/~
아무래도 그 쪽 데이터들이야 온갖 스팸이나 피싱에 대한 대응이 뛰어날수밖에 없는데, 문제는 계정당 사용료 생각하면 어르신들이 이해를 못하기죠. 인당 연 10만원대면 ㅋㅋㅋㅋㅋ
현재 그룹웨어 유지보수료로 가져가는게 메일 포함해서 인당 1000원대네요, 이번에 솔루션 적용가 포함해도 인당 연 2천원이니..
물론 지슈트 o365를 쓰면 오피스에 대한 문제가 얼추 해결되긴 하지만 .... 참 이야기 꺼내기 어려운 부분입니다.
사내 보안을 위한 장기전 ㄷㄷㄷㄷ
뭘 해도 욕먹을 상황은 나올수밖에 없으니 머리아프네요, 뚫리면 뚫려서, 막으면 받을거 못받아서...