2021년 창립 기념일 주간 동안 Cloudflare에서는 Email Routing 서비스를 발표했습니다. 이 서비스를 통해 사용자는 수신자의 주소나 부서와 같은 기준에 따라 다양한 유형의 이메일 메시지(예: 마케팅, 거래 또는 관리)를 별도의 계정으로 보낼 수 있습니다. 출시 이후 이 서비스의 기능과 라우팅되는 메시지의 양이 크게 증가했습니다.
불과 몇 달 후인 2022년 2월 23일에 Cloudflare에서는 이메일, 웹, 네트워크 환경에서 피싱 공격으로부터 사용자를 보호하기 위해 Area 1 Security 인수 의향을 발표했습니다. 2022년 4월 1일에 인수가 완료된 이후, Area 1의 이메일 보안 기능은 Cloudflare의 보안 액세스 서비스 에지(SASE) 솔루션 포트폴리오에 통합되었으며, 현재 매일 수천만 개의 메시지를 처리합니다.
Cloudflare에서는 고객을 대신해 매일 수백만 건의 이메일 메시지를 처리하면서 악성 이메일의 위협, 스팸의 양, SPF, DMARC, DKIM과 같은 이메일 인증 방법의 채택, 이메일 서버의 IPv4/IPv6 및 TLS 사용에 대한 고유한 관점을 확보할 수 있었습니다. 오늘 우리는 이러한 관점을 여러분과 공유하기 위해 Cloudflare Radar에 새로운 이메일 보안 섹션을 개설합니다. 이 새로운 섹션의 통찰력은 이메일 기반 위협의 실시간 추세를 이해하는 것뿐만 아니라 다양한 지표를 통해 확인되는 이메일 보안 상태를 더 잘 이해하는 데 도움이 될 수 있습니다. (예를 들어 조직 내에서 관찰된 악성 링크가 포함된 메시지의 증가와 Cloudflare에서 관찰한 유사한 증가의 상관 관계를 분석합니다.) 아래에서는 현재 Radar에서 사용할 수 있는 새로운 지표를 검토합니다.
악의적 이메일 추적하기
Cloudflare의 이메일 보안 서비스가 고객을 대신하여 이메일 메시지를 처리하므로, 저희는 문제가 되는 메시지를 식별하고 악의적인 메시지로 분류할 수 있습니다. 예를 들어 악의적 이메일이 수신자를 속여 로그인 세부 정보와 같은 개인정보를 공유하도록 하거나 메시지에 포함된 이미지, 링크, 첨부 파일을 통해 맬웨어를 퍼뜨리려고 시도할 수 있습니다. Cloudflare Radar의 새로운 이메일 보안 섹션에서는 선택한 기간 동안 악의적인 것으로 분류했다고 처리한 메시지의 총 비율에 대한 글로벌 수준에서의 인사이트를 제공합니다. 아래 그림에서 볼 수 있듯이 2024년 2월 동안 Cloudflare에서는 메시지의 평균 2.1%가 악의적인 것으로 분류되었음을 발견했습니다. 2월 10일과 11일에는 악의적 이메일 양이 급증하여 메시지의 29%를 차지했습니다. 이러한 급증은 슈퍼볼 경기를 앞두고 일주일에 악성 이메일 양이 증가한다는 이전의 관찰과 일치하는, 슈퍼볼 직전에 발생했습니다 . 눈에 띄는(그러나 더 낮은 수준의) 급증이 2월 13일, 15일, 17일, 24일, 25일에 발생했습니다. 악의적 이메일 공유에 대한 요약 및 시계열 데이터는 Radar API를 통해 제공됩니다.
위협 분류
Cloudflare Radar 2023 연례 검토에는 공격자가 악의적 이메일 메시지를 이용한 공격을 수행할 때 사용하는 몇 가지 기법이 강조되었습니다. 앞서 언급한 바와 같이 여기에는 맬웨어로 연결되는 링크나 첨부 파일, 그리고 메시지가 신뢰할 수 있는 연락처가 보낸 것처럼 보이게 하는 신원 속임수와 신뢰할 수 있는 브랜드에서 메시지를 보낸 것처럼 보이게 하는 브랜드 가장 등의 접근이 포함될 수 있습니다. 악성 이메일 메시지를 분석할 때 Cloudflare의 이메일 보안 서비스는 이러한 메시지에 포함된 위협을 분류합니다. (단일 메시지에는 여러 유형의 위협이 포함될 수 있습니다. 보낸 사람은 신뢰할 수 있는 연락처를 가장할 수 있으며 이메일 본문에는 가짜 로그인 페이지로 연결되는 링크가 포함되어 있을 수 있습니다.)
이러한 평가를 바탕으로 Cloudflare Radar는 '첨부 파일', '링크', '가장', '기타' 등 다양한 위협 유형에서 관찰된 동향에 대한 인사이트를 제공합니다. '첨부 파일'은 공격자가 이메일 메시지에 파일을 첨부한 개별 위협 유형을 그룹화하고, '링크'는 공격자가 사용자가 무언가를 클릭하도록 유도하는 개별 위협 유형을 그룹화하며, '가장'은 공격자가 신뢰할 수 있는 브랜드나 연락처를 가장하는 경우 개별 위협 유형을 그룹화합니다. '기타' 그룹에는 이전 세 가지에서 다루지 않은 다른 위협 유형이 포함됩니다.
아래 그림에서 볼 수 있듯이 2024년 2월 '링크' 그룹에서는 링크 기반 위협이 가장 일반적이었고 악의적 이메일의 58%에서 발견되었습니다. HTML의 링크(즉, 하이퍼텍스트)에 대한 표시 텍스트는 임의로 설정할 수 있으므로 공격자는 실제로는 악의적인 URL을 무해한 사이트로 연결하는 것처럼 보이게 만들 수 있습니다. 악의적 이메일의 거의 3분의 1이 사용자 자격 증명을 수집하도록 설계된 이메일과 연결되어 있습니다.이러한 인기 범주의 요약 및 시계열 데이터는 Radar API를 통해 제공됩니다.
'첨부 파일' 그룹의 경우, 2024년 2월 한 달 동안 약 13%의 메시지가 공격의 맥락에서 열리거나 실행될 때 클릭 유도 문안(예: 링크를 클릭하도록 유인)을 포함하거나 공격자가 설정한 일련의 작업을 수행하는 악성 첨부 파일이 있는 것으로 밝혀졌습니다. 이 비율은 한 달 내내 여러 차례 급증하며 최대 70%에 달했습니다. 거의 6%의 메시지에 포함된 첨부 파일을 열면 추가 소프트웨어(맬웨어로 추정됨)를 다운로드하려고 시도했습니다.
이메일 메시지가 신뢰할 수 있는 브랜드에서 발송된 것으로 보이면 사용자가 이메일을 열어 소포 배송 상태 확인, 금융 거래 검토 등의 조치를 취할 가능성이 높습니다. 2024년 2월 한 달 동안 평균적으로 악의적 이메일의 4분의 1 이상을 잘 알려진 브랜드를 가장하려는 공격자들이 전송했습니다. 다른 위협 범주와 유사하게 이 위협 범주에도 유의미한 급증이 여러 번 발생하여 2월 17일에는 최고 88%에 달했습니다. 18% 이상의 메시지가 어떤 방식으로든 사용자를 갈취하려고 시도했던 것으로 밝혀졌습니다. 이러한 캠페인은 밸런타인데이를 앞둔 주(2월 14일)에 매우 활발했던 것으로 보이지만, 2월 15일에 메시지의 95% 이상에서 최고조에 달했습니다.
신원 속임수가 발생하는 때는 공격자 또는 악의적인 의도를 가진 사람이 유사한 모양의 도메인을 사용하거나 이름 표시를 조작하여 다른 사람이라고 주장하는 이메일을 보낼 때입니다. 2024년 2월, 이러한 공격은 '기타' 그룹에서의 최상위 위협 범주로, 악의적 이메일의 36% 이상에서 나타났습니다. 아래 그림은 이 기술을 사용하는 세 가지 명백한 '급증'을 보여줍니다. 첫 번째는 월초에 시작되었고, 두 번째는 2월 9일경, 세 번째는 2월 20일경에 시작되었습니다. 메시지의 11% 이상이 악의적인 것으로 분류되었습니다. 그 이유는 전송된 네트워크(자율 시스템)의 평판 때문이었습니다. 일부 네트워크 공급자는 악의적 및 원치 않는 이메일의 소스로 잘 알려져 있습니다.
위험한 도메인
TLD라고도 하는 최상위 도메인은 호스트 이름의 가장 오른쪽 부분에 있습니다. 예를 들어, radar.cloudflare.com은 .com의 일반 최상위 도메인(gTLD)으로 표시되지만, bbc.co.uk 는 .uk 국가 코드 최상위 도메인(ccTLD)으로 표시될 수 있습니다. 2024년 2월 현재, IANA 루트 영역 데이터베이스에는 1,600개에 가까운 최상위 도메인이 있습니다. 지난 15년 정도 동안 '가장 위험한 TLD', 즉 위협 행위자들이 어떤 TLD를 가장 선호하는지를 살펴보는 여러 보고서가 발표되었습니다. 보고서의 '상위' TLD는 소규모 국가의 ccTLD와 더 새로운 gTLD가 섞인 경우가 많습니다. 이제 저희는 Radar에서 이러한 위험한 TLD에 대한 저희 자체의 관점을 공유하며 악의적 및 스팸 이메일이 가장 많이 관찰된 영역을 강조합니다. 분석은 이메일 메시지의 보낸 사람: 헤더에 있는 보내는 도메인의 TLD를 기반으로 합니다. 예를 들어 메시지가 [email protected]에서 온 경우 example.com은 발신 도메인이고 .com은 연결된 TLD입니다.
Radar에서 사용자는 스팸 및 악성 이메일의 공유를 볼 수 있고, 기간 및 TLD '유형'별로 필터링할 수도 있으며 모두(전체 목록), ccTLD(국가 코드) 또는 '기본' TLD(RFC 1591에 명시된 원래 gTLD 세트)를 볼 수 있는 옵션도 있습니다. 여기에 표시된 스팸 비율은 다른 업계에서 분석한 스팸 비율보다 낮을 수 있다는 점을 참고하시기 바랍니다. Cloudflare 클라우드 이메일 보안 고객은 처리를 위해 메시지가 Cloudflare에 도착하기 전에 초기 스팸 필터링을 수행하고 있으므로 Cloudflare에서 스팸으로 분류하는 메시지의 비율이 낮아지는 경우가 있습니다.
2024년 2월을 되돌아보면 새로운 gTLD 관련 업체와 ccTLD zw(짐바브웨)가 각각 85% 이상으로 악의적 이메일이 가장 많이 발생하는 도메인을 보유한 TLD인 것으로 나타났습니다. 새로운 TLD academy, directory, bar는 관련 도메인에서 발송하는 이메일 내 스팸 비율이 95% 이상으로 가장 높았습니다.
아래 그림에는 ccTLD가 나와 있는데, zw(짐바브웨, 85%)와 bd(방글라데시, 50%)의 도메인에서 전송되는 메시지의 절반 이상이 악의적인 것으로 분류되었습니다. zw 도메인에서 발견된 스팸의 점유율보다 악의적 이메일의 점유율이 훨씬 더 높았지만, bd와 pw(팔라우)에서는 훨씬 더 균형이 잡혔습니다. 2024년 2월에 총 80개의 ccTLD에서 악의적인 것으로 분류된 메시지가 1% 미만으로 관찰되었습니다.
'기본' TLD에서는 악의적 이메일과 스팸의 비율이 상대적으로 낮음을 알 수 있습니다. 2024년 2월에 가장 큰 TLD인 com이 양쪽 모두에서 가장 큰 점유율을 차지한 것은 놀라운 일이 아닙니다. int 및 gov 도메인 등록에 대한 제한 사항을 고려할 때, 관련 도메인에서 보내는 메시지의 2%조차도 악의적이라고 분류된다는 사실은 흥미롭습니다.
일부 TLD가 악성 및/또는 스팸 이메일의 더 많은 부분을 차지하는 이유는 다양합니다. 일부 TLD는 등록 요구 사항이 느슨하거나 존재하지 않을 수 있고, 일부는 소위 '도메인 테이스팅'에 더 익숙할 수 있으며, 일부는 도메인 등록 비용이 특별히 낮을 수 있습니다. TLD당 악의적 및 스팸 요약 공유는 Radar API를 통해 제공됩니다.
이메일 인증 방법 채택
SPF, DKIM, DMARC는 세 가지 이메일 인증 방법으로, 함께 사용하면 스팸 발송자, 피싱 공격자, 기타 승인되지 않은 당사자가 이메일을 소유하지 않은 도메인을 대신하여 보내는 것을 방지하는 데 도움이 됩니다.
발신자 정책 프레임워크(SPF)는 도메인에서 이메일을 보낼 수 있는 모든 서버의 IP 주소를 나열하는 DNS의 SPF 레코드를 사용하여 도메인에서 이메일을 보내는 모든 서버를 나열하는 방법입니다. 이메일 메시지를 수신하는 메일 서버에서는 수신자의 받은 편지함으로 메시지를 전달하기 전에 SPF 레코드와 대조하여 확인할 수 있습니다. 도메인 소유자는 도메인 키 식별 메일(DKIM)을 사용하면 암호화를 사용하여 이메일이 도메인에서 발송되었음을 수학적으로 확인하는 디지털 '서명'을 통해 도메인의 이메일에 자동으로 '서명'할 수 있습니다. 도메인 기반 메시지 인증 보고 및 적합성(DMARC)은 수신 이메일 서버에 SPF 및 DKIM을 확인한 후 결과가 주어지면 수행할 작업을 알려줍니다. DMARC 레코드에 저장된 도메인의 DMARC 정책 은 다양한 방법으로 설정하여 메일 서버에 SPF 또는 DKIM(또는 둘 다)에 실패한 이메일을 격리하거나, 해당 이메일을 거부하거나, 전달하도록 지시할 수 있습니다.
Google과 Yahoo! 모두 스팸을 줄이기 위한 보다 적극적인 노력의 일환으로 2024년 1분기에 대량 발송자에게 SPF, DKIM, DMARC 등의 표준을 사용하여 더 강력한 이메일 인증을 구현하는 모범 사례를 따르도록 요구할 것이라고 발표하면서 이러한 인증 방법은 최근 그 중요성이 더욱 커지고 있습니다. 주어진 이메일 메시지를 이 세 가지 방법에 따라 평가할 때 잠재적인 결과는 통과, 실패, 없음으로 나뉩니다. 앞의 두 가지는 설명이 필요 없으며, 없음은 메시지 발신 도메인과 관련된 SPF/DKIM/DMARC 정책이 없음을 의미합니다.
2024년 2월의 평균 점유율을 살펴보면 메시지의 93% 이상이 SPF 인증을 통과한 반면, 실패한 비율은 2.7%에 불과했습니다. 이 메트릭을 고려할 때 실패가 더 큰 관심을 끄는 이유는 SPF가 DKIM보다 스푸핑하기 쉽고, 또한 회사의 마케팅 부서에서 제3자를 사용하여 회사를 대신하여 이메일을 보내면서 관련 SPF 기록에 해당 제3자를 추가하지 않은 경우와 같은 '섀도우 IT' 상황으로 인해 실패가 발생할 수 있기 때문입니다. 2월에 평균 88.5%의 메시지가 DKIM 평가를 통과한 반면, 2.1%만이 실패했습니다. DKIM의 경우, 특정 서명이 검증에 실패할 수 있는 잠재적인 비악의적인 이유가 있으므로 통과에 초점을 맞춰야 합니다. DMARC의 경우 86.5%의 메시지가 인증을 통과한 반면 4.2%는 실패했으며, 이 지표에서는 관련 정책의 존재 여부가 가장 중요하고 메시지의 통과 또는 실패 여부는 덜 중요하므로 통과와 실패의 조합에 초점을 맞춰야 합니다. 이 섹션의 세 가지 방법 모두에서 NONE은 관련 정책이 없음을 나타냅니다. SPF(요약, 시계열), DKIM(요약, 시계열), DMARC(요약, 시계열) 데이터는 Radar API를 통해 얻을 수 있습니다.
프로토콜 사용
Cloudflare에서는 오랫동안 IPv6 채택을 권장해 왔지만,그다지 새롭지는 않은 이 버전 의 프로토콜을 통해 웹 리소스를 사용할 수 있도록 하는 데 대체로 중점을 두었습니다. 하지만 다른 인터넷 서비스도 IPv6를 지원하고 사용하기 시작하는 것도 중요하며, Cloudflare의 최근 연구 결과에 따르면 공급자에게 부족할 수 있는 부분이 바로 이 영역입니다.
발신자의 메일 서버에서 Cloudflare의 이메일 서버로의 인바운드 연결 분석을 통해 저희는 IPv4 및 IPv6에서의 이러한 연결 분포에 대한 인사이트를 얻을 수 있습니다. 2024년 2월 동안의 이 분포를 살펴보면 95%의 연결이 IPv4를 통해 이루어졌으며 IPv6을 사용한 연결은 5%에 불과했습니다. 이러한 분포는 같은 기간 동안 37%였던 IPv6 지원(듀얼 스택) 웹 콘텐츠에 대한 IPv6 요청의 비율과 크게 대조됩니다. IPv4/v6 분포에 대한 요약 및 시계열 데이터는 Radar API에서 얻을 수 있습니다.
또한, Cloudflare는 2014년 창립 기념일 주간에 Universal SSL을 출시하여 모든 고객의 사이트(당시에 200만 개 이하)에서 최종 사용자와 Cloudflare 간의 보안 연결을 가능하게 하는 등 보안 연결을 오랫동안 권장해 왔습니다. 지난 10년 동안 SSL이 TLS로 발전되는 과정이 완료되었습니다. 많은 사람이 TLS가 웹 콘텐츠에만 관련되는 것으로 생각하며, 이는 아마도 여러 해에 걸쳐 브라우저 주소 표시줄에서 🔒 자물쇠를 찾으라는 명령이 떠올랐기 때문일 수 있지만, TLS는 또한 SMTP(이메일), FTP(파일 전송), XMPP(메시지 전송) 등 다른 프로토콜에서 클라이언트/서버 연결을 암호화하는 데에도 사용됩니다.
앞서 설명한 IPv4/v6 분석과 유사하게, TLS를 사용하는 Cloudflare 이메일 서버에 대한 인바운드 연결의 점유율을 계산할 수도 있습니다. TLS를 통해 연결하는 경우 메시지는 전송 중 암호화되지만, 암호화되지 않은 연결을 통해 전송된 메시지는 전송 중에 읽거나 수정할 수 있습니다. 다행히도, Cloudflare의 이메일 서버에서 수신된 메시지의 대부분은 암호화된 연결을 통해 만들어졌으며, 2024년 2월 중 전송된 메시지의 6%만이 암호화되지 않은 상태로 전송되었습니다. TLS 사용에 대한 요약 및 시계열 데이터는 Radar API에서 얻을 수 있습니다.
결론
젊은 인터넷 사용자들은 다양한 메시징 앱을 통한 커뮤니케이션을 더 선호하여 이메일 이용을 기피할 수 있지만, 이메일은 여전히 절대적으로 필수적인 인터넷 서비스이며 개인, 기업, 온라인 및 오프라인 소매점, 정부 등에서 의존합니다. 그러나 이메일은 아주 보편적이고 중요하며 저렴하기 때문에 매력적인 벡터이기도 합니다. Cloudflare의 이메일 라우팅 및 보안 서비스는 고객이 이메일을 관리하고 보호하는 데 도움을 주고, Cloudflare Radar의 새로운 이메일 보안 섹션은 보안 연구원, 이메일 관리자, 기타 이해 관계자가 악의적 이메일, 스팸 및 악의적 이메일의 출처, 이메일 남용을 방지하도록 설계된 기술 채택에서 발견되는 위협에 대한 최신 동향을 이해하는 데 도움이 될 수 있습니다.
이 새로운 섹션에 대해 질문이 있는 경우에는 radar@ cloudflare.com으로 이메일을 보내거나 소셜 미디어 @CloudflareRadar(X/Twitter), cloudflare.social/@radar(Mastodon), radar.cloudflare.com(Bluesky)으로 이메일을 보내 Cloudflare Radar 팀에 연락할 수 있습니다.
더 많은 뉴스와 공지사항, 생각을 자극하는 토론을 기대해 주세요! 전체 Security Week 허브 페이지를 놓치지 마세요.