본문 바로가기

해킹-보안

스팸 메일 확인 방법

반응형


최근 신종 코로나 관련한 피싱 메일이 널리 확산되고 있다.
구글은 매일 검열되는 피싱 메일 1억여 개 중
코로나 피싱 메일이 하루에 1천 8백만여 개나 된다고 한다.
여기서 피싱 메일이란 개인 정보 유출 등의 피해를 주는 악성 메일이다.
우리 귀에 익숙한 용어는 아마도 스팸 메일일 것이다.
스팸은 불필요하게 전송되는 광고성 메일을 일컫는 것인데
최근에는 저 두 용어 의미를 굳이 구분 지어서 사용하지 않는 것 같다.



그렇다면 수신한 메일이 스팸 메일인지 어떻게 확인할까?

첫 번째로 보낸 사람의 메일 주소를 확인하는 방법이다.
많이 사용하는 네이버 메일을 기준으로 설명하겠다.

우선 메일 주소를 확인해서 실제 해당 기관에서 보낸 메일인지 알아본다.
예를 들면 정부24에서 사용하는 메일은 gov.kr라는 도메인을 사용하는데
피싱 메일은 이와 유사한 도메인을 만들어서 사용자를 감쪽같이 속인다.
예시로 "gov.kr"과 비슷하게 생긴 "9ov.kr"과 같은 식으로 만들어서 메일을 보낸다.

그러면 보낸 사람의 메일 주소는 어떻게 확인할까?

대부분 사용자는 E-mail 주소를 확인하려고 메일을 직접 열어보는 경우가 많다.
물론 보낸 이의 메일 주소를 쉽게 확인하는 방법의 하나긴 하지만 이는 실질적으로 잘못된 방법이다.
만약 메일 본문에 악성 실행 코드가 삽입됐다면 단지 메일을 읽기만 해도 PC가 감염될 수 있다.
HTML 파일처럼 미리 보기나 바로 보기가 가능하면 읽기 자체로 다운로드가 가능하도록 스크립트를 

삽입할 수 있다.
물론 네이버와 같이 메일 보안 시스템이 좋으면 저런 방법은 잘 먹히지 않겠지만
사내 메일을 사용한다면 얘기가 달라질 수 있으니 의심되는 메일은 열람하지 않도록 주의해야 한다.

메일을 열람하지 않고 메일 주소를 확인하는 방법은 매우 단순하다.
아래와 같이 메일 보낸 사람에 마우스 커서를 갖다 대면 메일 주소가 나타난다.

도메인이 gov.kr이라고 표시되는데 해당 도메인은 정부24에서 사용하는 정상적인 도메인으로 확인된다.



도메인이 정상인지 확인하는 방법은
확인된 도메인을 주소창에 직접 쳐서 들어갈 수도 있지만, 악성 행위를 하는 사이트일지도 모르니
웹 페이지를 대신 접속하도록 도와주는 urlscan.io 서비스를 사용하거나
후이즈 서비스로 해당 도메인의 등록일 및 국가를 조회해본다.

도메인 등록일이 너무 짧다면 해커가 범죄에 악용하기 위해 급하게 만든 도메인인지 의심해볼 필요가 있다.
또한 국가가 한국이 아닌 싱가포르나 네덜란드 같은 해외에서 운영하는 서비스인 경우도 의심의 대상이다.
그래도 잘 모르겠다면 해당 도메인을 구글에 검색하여 피싱 사례가 있는지 등을 확인해본다.

안전한 메일인지 구분하는 두 번째 방법은 메일 헤더를 확인하는 것이다.
메일 헤더에는 나에게 전송된 메일이 어떤 경로로 거쳐 왔는지에 대한 정보들이 포함되어 있다.
이 방법은 메일 헤더를 해석할 줄 알아야 하므로 최대한 필요한 부분만 설명하겠다.

메일 헤더를 보려면 메일 옆의 체크 박스 버튼에 체크하고
세 점을 클릭한 뒤 원문 보기를 누른다. 

( PC에 저장해서 열어도 상관없다. 저장 시 확장자는 eml이다. )


헤더 보기 버튼을 클릭한다.

그러면 데이터 부분을 제외한 헤더 내용만 보여주는데
필요하다고 생각되는 헤더만 설명하겠다.
앞으로 나오는 내용들은 스팸 메일일 가능성이 큰 조건들이다.   



Received-SPF, Authentication-Results
이 항목을 통해서 메일을 보낸 사람의 정보가 실제 메일서버의 정보와 일치하는지 확인한다.

snsgc1@daum.net designates 203.133.180.229 as permitted sender.
여기서 보낸 이의 메일 계정은 snsgc1@daum.net인데 뒤에 IP는 무엇인지 
아래 사이트에서 조회해보자.
https://ipshowtime.com/

IP 입력 후 조회 결과 기관명이 카카오라고 나오는데 카카오는 daum을 인수하였기 때문에
Daum IP로 확인된다.
메일을 보낸 snsgc1이라는 사용자는 Daum 메일 서버에 정상적으로 등록된 것이다.
등록되지 않은 메일 서버라면 does not designates라는 문구로 뜨게 되는데
이는 스팸 메일일 가능성이 있다.

Received
제일 중요한 단서가 될 수 있는 항목으로서 받은 메일의 출처를 확인해 볼 수 있다.

from 부분이 메일을 발송하는 서버의 주소나 호스트 이름을 나타낸다.
위 내용에서 보면 알겠지만 mail-smail-vm41.hanmail.net는
Daum에서 사용하는 IP로 나오게 된다. 곧 신뢰할 수 있는 기관임을 나타낸다.

To
서로 메일을 주고 받은 적이 있다면 아래와 같이 To에 계정 이름이 포함된다.
 
그런데 프로그램을 통하여 마구잡이로 뿌려지는 대부분의 스팸 메일은
To 헤더에 계정 이름이 존재하지 않는 특징을 가진다.



X-Originating-IP
이 항목은 어떤 IP에서 나에게 메일을 보냈는지 확인할 수 있다.

다음에서 네이버로 메일을 보낼 때 이 항목이 생성되는데
일부 메일에서는 저 항목이 없을 수도 있다.
분명 한국에서 보낸 듯한 메일인데 해당 IP를 조회해보니 
해외 IP인 경우 스팸일 가능성이 있다.


이해가 잘 안 된다면 이런 복잡한 헤더 내용을  간단하게 보여주는 사이트가 있는데 
아래 링크로 들어가서 헤더 내용을 붙여넣으면 이메일이 보내진 경로를 쉽게 확인할 수 있다.
https://www.ip-adress.com/trace-email-address



아까 데이터 부분을 제외하고 메일 헤더만 보았는데
여기서 데이터까지 다루면 내용이 너무 길어지므로 생략하였다.
데이터 부분을 보고 의심되는 URL이 있는지 찾거나
바이러스를 심기 위해 사용하는 포트 등을 확인하는 방법도 있으니 참고하자.



반응형