SharedIT | 묻고 답하기(AMP)

사내 이메일을 이용한 해커 공격 그리고 막을수 있을까요? ㅠㅠ

날쌘돌이 치타
2020.07.28 () | 0 추천 | 7개의 답변

안녕하세여 선배님들

이번에 사내 직원 이메일 주소로 외부의 해커가 자신의 서버를 통해 이메일을 약 2000개정도 전송했습니다.

해당 직원의 PC와 계정 이메일로 이메일 전송은 안했으나

이메일 주소와 도메인을 그대로 떠서 발신으로 넣고 악성 프로그램을 첨부한채 업체 및 타 알수 없는 곳으로 이메일이 전송 되었는데요

위의 내용은 본사(외국) IT 보안팀에서 확인한 내용이고, 

문제는 이메일을 받은 업체에서 전화가 오면서 일이 점차 커지고 있습니다.


궁금한점은, 이런 악의적인 의도로 이메일 주소를 가지고 이메일을 뿌리는 행위를 막을 수 있는 보안 방법은 없겠지요? (추적 불가, 해커가 자신의 서버를 사용하여 전송)

참 난감하네요 어떻게 해야할지 고민이 많습니다.


Tags : 태그가 없습니다.

7개의 답변이 있습니다.

부산갈매기
  0 추천 | 3년 이상 전

스팸솔루션이라도 설치하셔서 확인하시는게 최선일 것 같습니다.

낭만생선
  0 추천 | 3년 이상 전

https://www.sharedit.co.kr/freeboards/21427


  • 1.해커가 우리 회사  메일 서버의 릴레이 기능으로 메일 발송

     - 관리자가 있다면 이런일은 없겠죠.

     - 이건 메일 서버에서 릴레이 기능의 보안 조치로 막아야 하는거고..


2. 해커가 우리회사에 침입하여 메일 정보를 수집..

   - 그 정보를 이용해 보낸 사람과 본문의 내용을 위변조 하여 발송..

   - 단, 서버는 해커 자체 메일 서버를 이용하며 표시 이름만 수집한 메일 주소로 변경


작년말 이런 형태의 행위를 보고 이거 보통일이 아니겠구나.. 싶었는데..

이게 정말 위험한게..

1단계 메일 수집 단계에서는 트로이 목마로 내부에 들어와서 실질적인 피해는 주지 않고(피해를 주는 경우도 있죠) 메일 정보만 퍼갑니다.

그리고 이런식의 메일을 보내는데

과거의 스팸 메일과는 차원이 다릅니다.

과거 주고 받았던  내용에 이어지는것처럼 보내니

100통의 메일이면 90%정도는 클릭을 하더군요. 이게 무서운 지점이구요.

또한가지 심각한것은..

우리회사 메일 주소만 수집하는게 아니라 

받는 사람 메일주소(거래처)까지 수집을 해가니

내 메일 주소로 거래처 사람에게 메일이 가면..

타사에서 속기가 쉽다는거죠.

우리 회사의 보안 수준은 우리가 컨트롤이 되지만 타사는 그게 안되니 어려운 문제인겁니다.

우리회사에서 취득한 거래처 메일 주소로 똑같은 방식으로 거래처에 침투하여 메일주소를 수집하면..

피해 규모는 어마무시 해질수 밖에 없습니다.


막을수 있는 방법은

  • 1.근본적인 방법 : 우리 회사의 메일 주소를 탈취되지 않게 한다.

         최초의 트로이 목마 메일을 잘막아야 겠죠.

        스팸 필터 있어도 어차피 100% 못막습니다.

        저희는 외부에서 들어오는 메일 거의 100% 전수 모니터링 하는데.. 

        그런데도 100%는 못막는다고 생각하고 대응중입니다.


2. 사건이 터졌을 경우(우리회사 메일이 사칭 당했을 경우)

     - 본격적으로 사건이 터지기 전에 아마 현업에서 얘기들이 나올겁니다.

       한건 그런 사례가 접수 되면..

       앞으로 반복적으로 생길거라고 상정 하시고

       각자 주요 거래업체나 담당자에게 

       "우리 메일 주소가 탈취되어 위변조 메일이 발송 될수 있으니 내 이름으로 메일이 가면 첨부나 링크는 클릭하지 마시고 보낸 사람의 메일주소를 꼭 확인 하시라"고 안내 메일을 보내시는게 거의 유일한 예방 책입니다.


처음 탈취를 막기 위해서는 내부 공지를 통해 스팸 메일을 열지 않도록 해야하고

탈취가 된 후에는 거래 업체들에게 주의를 하라고 공지를 해야할 필요가 있는것이죠.

솔루션 하나 쓴다고 해결될일은 아닙니다.

Genghis Khan
  0 추천 | 3년 이상 전

메일 보안의 가장 기본적인건 스팸스나이퍼입니다

스팸스나이퍼 외에 dns 설정관리이죠

차바라기
  0 추천 | 3년 이상 전

스팸솔루션을 다지않고는 힘들듯합니다~

wansoo
  0 추천 | 3년 이상 전

사내 메일 서버(SMTP서버)를 이용해서 메일이 발송된 경우라면, 스팸 필터 설정, 인가된 ip로 부터만 메일을 접수 받아 발송하도록 하는 등의 메일 보안 조치가 필요하겠고요.

사내 메일 서버의 도움없이 단순히 도메인 주소만 도용해서 외부에서 메일이 발송된 경우라면 해당 메일을 제대로 걸러내지 못해 피해를 입은 쪽에 전적인 책임이 있는게 아닐까 싶어 보이네요.


ktit
  0 추천 | 3년 이상 전

계정 탈취가 된 경우로 보이는데, 이경우 막기가 어렵더라고요. 사내 보안교육을 철저히 하는 수 밖에 없습니다. ㅠ

Genghis Khan
  0 추천 | 3년 이상 전

사내 직원 이메일을 도용해 해커가

이걸 이용하여 중요 외부 메일로 전송되는건

쉽지 않아 보이네요

이번 건은 특정인만 그럴진데 차 후엔 다른 분

메일을 이용하여 동일 패턴으로 그럴것 같아요

https://www.google.co.kr/amp/s/m.etnews.com/amp/20200128000195

관련 솔루션을 찾다 위 내용을 알게 되었네요



원본 페이지 보기