악성코드 메일로부터 메일 사용자 보호

메일 메시지에 첨부되어 전달되는 악성 코드는 매우 큰 위험성을 내포하고 있습니다. 메일 수신자가 첨부 파일을 확인하지 않고 실행했을 경우 해당 PC의 모든 제어권은 악성 코드 배포자(해커)에게 넘어가게 됩니다. 사용자 PC에 있는 문서 조회, 사용자가 입력하는 각종 암호 조회, 데이터 삭제 등 모든 작업이 해커에 의해 가능한 상태가 됩니다.

이런 악성 코드는 백신 프로그램으로 차단할 수도 있지만 변종 형태가 많고 일반적이지 않은 특정 사이트에 한정된 공격 코드가 많아 백신으로 모든 악성 코드를 막을 수는 없습니다. 따라서 모르는 발송자에게서 온 메일에 첨부된 파일을 열어보지 않도록 하는 메일 사용자의 지속적인 교육이 필요합니다. 또한 메일 서버에서는 이러한 악성 코드가 포함된 메일을 사전에 차단해 메일 사용자에게 전달되지 않도록 운영하는 것이 필요합니다.

악성 코드 메일

아래 그림은 실제로 수신한 악성 코드를 포함한 메일입니다. 여러 가지 형태로 본문은 작성되고 주로 ZIP 파일을 포함하고 있습니다. 이 ZIP 파일을 풀었을 때 윈도우에서 실행 가능한 파일이 포함되어 있으며 파일 이름은 일반적인 문서 파일인 doc, xls, pdf나 이미지 파일인 jpg, png, gif 등으로 위장되어 있습니다. 메일 수신자가 제대로 확인하지 않고 문서 파일을 열기 위해 클릭하는 순간 악성 코드는 실행되게 됩니다.

최근에는 악성 자바스크립트를 포함하고 있는 랜섬웨어 메일이 대량으로 유포되고 있습니다. 자바 스크립트는 쉽게 실행될 수 있으므로 사용자 PC를 손쉽게 위험 상태로 빠트릴 수 있습니다. 또한 악성 스크립트를 제작하기도 매우 쉬워 매일 다양한 변종이 생성되어 일반 백신이 빠르게 대처하지 못하는 상황입니다.

실행 가능한 파일 검사

메일캐리어는 메시지에 첨부된 파일중에 윈도우 환경에서 실행 가능한 파일을 검출하는 기능을 제공하고 있습니다. 단순히 파일 확장자를 검사하는 방식이 아닌 파일 포맷을 직접 분석해 PE 형식인지 여부를 판단합니다. 따라서 exe 파일이 아니더라도 다양한 형태의 실행 가능한 파일을 검출해낼 수 있습니다.

해당 파일을 검출했을 경우 해당 파일을 포함한 메시지를 버리지 않고 스팸으로 처리합니다. 업무 특성상 실행 파일을 주고 받을 수도 있기 때문에 완전 차단할 경우 별도의 시스템(웹하드 등)을 통해 파일을 전달해야 하므로 매우 번거롭습니다. 이런 메일을 스팸으로 처리하면 사용자에게 위험성을 다시한 번 환기시킬 수 있고, 정상 수신해야 하는 메일일 경우 수신 허용에 추가해 향후 이 검사 없이 바로 받을 수도 있습니다.

다음은 실행 가능한 파일 검사 기능을 활성화시키는 방법입니다.

메일캐리어 관리 도구를 실행합니다.
콘솔 루트 아래에서 도메인을 선택합니다.
기능을 적용할 개별 도메인을 선택합니다.
스팸 설정을 선택하고 속성 창을 엽니다.
두 번째 스팸 필터 탭에 있는 실행 가능한 파일 검사를 선택합니다.
확인 버튼을 눌러 적용합니다.

스크립트 검사

스크립트 검사는 랜섬웨어 메일을 차단할 수 있는 가장 빠르고 확실한 방법입니다. 압축된 첨부 파일 속에 다양한 종류의 스크립트 파일이 존재하는지 여부를 검사해 존재할 경우 스팸으로 처리합니다. 업무 특성상 스크립트 파일을 받아야하는 사용자는 웹메일에 로그인해 개인별 주소록 또는 수신 허용 목록에 상대방 메일 주소를 등록하면 스크립트가 포함된 메일을 받을 수 있습니다.

다음은 실행 스크립트 검사 기능을 활성화시키는 방법입니다.

메일캐리어 관리 도구를 실행합니다.
콘솔 루트 아래에서 도메인을 선택합니다.
기능을 적용할 개별 도메인을 선택합니다.
스팸 설정을 선택하고 속성 창을 엽니다.
두 번째 스팸 필터 탭에 있는 스크립트 검사를 선택합니다.
확인 버튼을 눌러 적용합니다.

주의 사항

악성 코드 메일 중 상당 수는 자기 도메인에서 발송된 메일인 것처럼 속여서 들어옵니다. 이를 안전하게 차단하기 위해서는 아래 사항을 점검 바랍니다.

도베인 별 스팸 설정에는 스팸 검사를 하지 않는 예외 도메인을 지정할 수 있습니다. 예외 도메인에 운영하고 있는 자기 도메인을 입력할 경우 모든 스팸 검사에서 예외 처리가 됩니다. 따라서 도메인을 사칭한 메일을 스팸 검사 없이 그대로 받게 됩니다. 반드시 예외에서 삭제하도록 합니다.
도메인 사칭을 막는 가장 근본적인 방법은 자기 도메인에 대한 올바른 SPF 등록과 스팸 설정에서 SPF 검사를 하게끔 설정해 두는 것입니다. 잘못된 SPF 설정으로 인해 거부되는 일부 메일을 받기 위해 SPF 검사 옵션을 꺼 두는 것은 매우 위험합니다.

Note
실행 가능한 파일 검사와 스크립트 검사 필터가 올바르게 동작하기 위해서는 mce7smtpr.exe 파일의 버전이 7,2,5,53 이상이 되어야 합니다. 이 보다 낮은 경우 최신 설치 파일을 받아서 업그레이드 바랍니다. 메일캐리어는 압축 파일 해제를 위해 기본적으로 메일캐리어에 내장된 7-Zip Command Line Version을 사용합니다. 보다 많은 압축 파일 형식을 지원하기 위해서는 시스템에 7-zip을 설치하는 것이 좋습니다. 7-zip 설치 후 MailCarrier 7 SMTPR Service를 재시작시키면 메일캐리어는 7-zip을 자동으로 검색해 사용합니다.

Note

실행 가능한 파일 검사와 스크립트 검사 필터가 올바르게 동작하기 위해서는 mce7smtpr.exe 파일의 버전이 7,2,5,53 이상이 되어야 합니다. 이 보다 낮은 경우 최신 설치 파일을 받아서 업그레이드 바랍니다.

메일캐리어는 압축 파일 해제를 위해 기본적으로 메일캐리어에 내장된 7-Zip Command Line Version을 사용합니다. 보다 많은 압축 파일 형식을 지원하기 위해서는 시스템에 7-zip을 설치하는 것이 좋습니다. 7-zip 설치 후 MailCarrier 7 SMTPR Service를 재시작시키면 메일캐리어는 7-zip을 자동으로 검색해 사용합니다.