SMTP(단순 메일 전송 프로토콜)를 통한 데이터 유출은 공격자가 손상된 시스템에서 외부 위치로 민감한 정보나 기밀 정보를 전송할 때 사용하는 강력한 방법입니다. 표준 이메일 통신 프로토콜인 SMTP는 일반적으로 허용되는 포트(예: 포트 25, 465 또는 587)를 통해 작동하기 때문에 공격자들이 유출을 위해 선택합니다. 그러나 이러한 위험성에도 불구하고 기업 환경 내에서 차단되는 경우는 거의 없습니다.
공격자는 민감한 데이터를 이메일 첨부파일이나 본문 콘텐츠에 인코딩하여 자신이 제어하는 외부 이메일 계정으로 전송함으로써 이 프로토콜을 악용할 수 있으므로 IT 보안 전문가와 네트워크 관리자는 SMTP 트래픽을 모니터링해야 합니다. SMTP 트래픽은 일반적으로 STARTTLS 또는 SMTPS와 같은 프로토콜을 사용하여 암호화되기 때문에 암호화된 트래픽을 검사하도록 구성되지 않은 많은 기존 네트워크 모니터링 도구를 우회할 수 있습니다. 또한, 기업 워크플로우에서 이메일을 합법적으로 사용하면 공격자가 유출된 데이터를 합법적인 이메일 활동과 혼합하는 경우 침입 탐지 시스템에서 SMTP를 통한 유출을 덜 의심하게 됩니다.
앞서 스네이크 로더와 키로거 코드 분석을 수행하여 그 기법과 전술을 강조했습니다. 현재 아리아카 위협 연구소는 스네이크 키로거가 데이터 유출 전에 사용하는 SMTP 기반 데이터 유출 메커니즘을 분석하고 있습니다.
공격자는 종종 피싱 또는 인증 정보 도용을 통해 손상된 이메일 계정을 악용하여 이메일을 전송하고, 성공 가능성을 높이기 위해 활동을 합법적인 것처럼 보이게 합니다. 또 다른 수법은 특수하게 제작된 멀웨어를 사용하여 데이터 수집, 인코딩 및 유출을 자동화하는 것으로, 종종 SMTP 서버와 직접 상호 작용하도록 구성됩니다. 이 멀웨어에는 주기적으로 연결을 확인하거나 이메일 수신자 주소를 동적으로 업데이트하여 차단 목록을 회피하는 메커니즘이 포함될 수 있습니다.
그림 1: 감염된 시스템에서 실행되는 스네이크 인포스틸러에서 트리거된 SMTP 통신
전체 워크플로우를 이해하기 위해 TCP 세션 스트림을 분석하여 분석해 보겠습니다.
- 스네이크 인포스틸러를 실행하는 손상된 시스템은 클라이언트를 서버로 식별하고 ESMTP(확장 SMTP) 기능에 대한 지원을 표시하기 위해 EHLO(확장 헬로) 명령을 보냅니다.
AUTH 명령은 감염된 시스템에서 실행 중인 SMTP 클라이언트와 SMTP 서버 간의 인증 프로세스를 시작합니다. 이 명령은 다양한 인증 메커니즘을 지원하여 SMTP 서버에 인증 자격 증명을 제공합니다. 스네이크 인포스틸러를 실행하는 인증된 시스템만 서버를 통해 이메일을 중계할 수 있도록 합니다.“c2VuZGVyQGluaG91c2VwaWNrLmNvbQ== 는 “[email protected]”로 디코딩됩니다.“
그림 2: SMTP 인증 명령 교환
인증이 완료되면 감염된 시스템은 이메일 발신자“[email protected]”를 강조 표시하는 “MAIL FROM” 명령을 보냅니다. 마찬가지로 “RCPT TO” 명령은 이메일의 수신자(이 경우“[email protected]”임)를 강조 표시합니다.“250 OK” 응답은 서버가 명령을 수락했음을 나타냅니다. 그림 3은 침해된 시스템이 “DATA” 명령을 사용하여 침해된 시스템에서 탈취한 정보를 유출하는 방법을 보여줍니다.
그림 3: SMTP: DATA 명령을 사용한 데이터 유출
DATA 명령은 클라이언트가 이메일 콘텐츠를 전송할 수 있다는 신호를 SMTP 서버에 보냅니다. 명령이 실행되고 서버가 긍정적으로 응답하면 클라이언트는 이메일의 헤더와 본문을 전송하고 특정 구분 기호로 전송을 종료합니다. 스네이크 인포스틸러가 설치된 감염된 시스템에서 실행 중인 SMTP 클라이언트가 “DATA” 명령을 보내면 원격 서버가 354 코드로 응답하여 메시지 콘텐츠를 수신할 준비가 되었음을 나타냅니다. 데이터가 유출되면 클라이언트는 “QUIT”(그림 4 참조) 명령을 실행하여 SMTP 세션을 종료합니다. 스네이크 인포스틸러가 탈취한 민감한 데이터가 SMTP 채널을 통해 유출되는 것을 확인할 수 있습니다.
그림 4: 유출 성공 후 SMTP 연결이 닫힘
아시다시피, 손상된 스네이크 인포스틸러 시스템은 STARTTLS를 사용하여 민감한 이메일 헤더, 본문 내용, 인증 자격 증명을 포함한 모든 명령과 메시지 콘텐츠를 암호화되지 않은 형식으로 네트워크를 통해 전송하지 않았습니다. 이 시스템은 STARTTLS 없이 SMTP AUTH를 사용하여 메일 서버에 로그인하므로 사용자 이름과 비밀번호가 일반 텍스트로 전송됩니다.
SMTP는 기업 환경에서 널리 허용되기 때문에 이러한 활동은 면밀히 모니터링하지 않으면 눈에 띄지 않을 수 있습니다. 공격자는 데이터를 작은 덩어리로 보내거나 정상적인 이메일로 위장하여 침입 탐지 시스템(IDS)이나 데이터 손실 방지(DLP) 도구의 탐지를 피할 수 있습니다.
서비스형 통합 SASE는 SMTP 위반을 완화하는 데 어떻게 도움이 되나요?
통합 보안 액세스 서비스 에지(SASE) 프레임워크는 네트워크 보안과 제로 트러스트 액세스 제어를 통합하여 SMTP 트래픽을 노리는 위협을 비롯한 데이터 유출로부터 조직을 보호합니다. SASE는 중앙 집중식 가시성과 모니터링을 제공하여 보안팀이 이메일 활동의 갑작스러운 급증이나 신뢰할 수 없는 외부 메일 서버로의 연결과 같은 이상 징후를 감지할 수 있도록 합니다.
이메일 통신을 포함한 모든 트래픽에 일관된 보안 정책을 적용하는 통합 SASE는 무단 SMTP 트래픽, 악성 첨부 파일, 아웃바운드 데이터 유출을 실시간으로 탐지 및 차단하여 즉각적인 보안을 제공합니다. SASE의 콘텐츠 검사 기능은 중요한 데이터가 SMTP를 통해 유출되는 것을 방지합니다. 아웃바운드 이메일을 검사하고 민감한 정보(예: 신용카드 번호, 지적 재산 또는 개인 식별자)의 패턴을 감지하며 무단 전송을 자동으로 차단할 수 있습니다.