스팸메일 차단 시스템

스팸메일 차단 시스템은 금융회사의 메일서버로 들어오는 광고성, 스팸성 메일을 탐지하고 차단한다. 시스템에 백신 엔진도 탑재가 되어있어 악성코드가 첨부된 메일도 통제가 가능하다.

메일을 통해 주로 이뤄지는 공격은 APT이다. Advanced Persistent Threats의 줄임말로 지능적으로 지속적으로 공격하는 걸 의미한다. 주로 개인이나 특정 회사를 타깃으로 꾸준히 이뤄지는 공격이다.

악성메일, 피싱 메일 등을 걸러내야 하는데 정말 쉽지 않다. 특정 단어로 막는 것도 한계가 있고 전 세계의 악성 패턴을 클라우드로 업데이트받아 운영을 하더라도 신규 악성메일은 매일매일 대량으로 쏟아지기 때문에 완전히 막기란 쉽지가 않다.

Google의 Gmail이 머신러닝으로 그렇게 잘 막는다고 하더라..

만약 APT 공격으로 내부 PC가 감염된 경우, 백신이나 DLP 등 EndPoint 보안 솔루션에 의해 격리되거나 실행 차단될 수 있다. 하지만 제로데이 등 보안 솔루션이 탐지하지 못한다면 감염된 PC와 연결된 시스템, 연결된 PC로 전파가 된다.

혹여 메일 서버 담당자 PC가 감염된 경우 메일서버로 악성코드가 옮겨갈 수 있고, 서버가 감염이 되어 외부로 악성메일을 또다시 유포하게 될 수 도 있다. 이러한 경우 글로벌 RBL(Real-time Blocking List) DB에 BlackList로 올라가게 되는데, 고객이나 다른 회사에서 금융회사의 메일을 못 받아 볼 수 있다.

대부분 금융회사 메일서버들은 스팸메일 차단 시스템을 구축하고 있고, 스팸메일 차단 시스템은 여러 개의 글로벌 RBL을 참조하여 차단한다. 만약 금융회사가 메일 발송을 실패하게 되는 경우 메일서버 점검과 RBL조회를 해봐야 한다.

KISA에선 회사의 메일 주소가 차단되는 경우를 대비해서 WhiteDomain, SPF 서비스를 제공한다. (링크)

악성메일 유포한 흔적도 없는데 회사 메일이 차단된대요.

꼭 악성메일을 유포해서 글로벌 RBL에 등록되진 않는다. 업무상 대량으로 메일을 보내는 등 여러 가지 케이스로도 차단이 될 수 있는데, 해제 요청만 가능하고 차단 사유 등을 회신받기는 어렵다.

언제 차단이 되었는지 등 먼저 알려주지 않기 때문에 필자 같은 경우는 아래 사이트를 이용하여 모니터링한다. (업무 자동화는 별도 매거진으로 묶어서 업로드 예정)

여러 RBL 중 korea.services.net은 한국의 모든 사이트가 차단 대상이기 때문에 무시해도 된다.

<rbl-check.org 메인화면>