이메일해킹 – Hoax(혹스) 메일의 실체

비트코인을 요구하는 협박성 사기 메일(이메일해킹)인 혹스(Hoax)메일이 요즘 유행하고 있습니다. 보안뉴스에서도 다룰 만큼 요즘 부쩍 늘어난 이메일해킹의 유형인데 나도 스팸메일함에 도착한 메일을 확인 할 수 있었습니다. (구글메일에서는 자동으로 이건 스팸메일이라고 판단해서 분류해버립니다. ) 놀라실수도 있지만 IT를 밥벌이로 하는 저로서는 한번 살펴보고 분석해봐야겠죠.

이메일해킹의 현장

가끔 들러보는 스팸메일에 이상한 메세지가 와있습니다. 어라. 내가 나한테 보낸 메일. 근데 내용이 심상치 않습니다. 딱보면 “얼라리? 내메일계정이 해킹되어서 나한테 메일을 누군가 보냈나?”  이렇게 이메일해킹의 현장을 목격하게 됩니다. 토렌트를 애용하는 나에게 메일 본문은 내용은 그럴리 없어 라며 부인하기에는 조금 켕기는 부분이 있는것도 사실이거든요. 바로 사회공학적 해킹이 먹혀들수 있는 좋은 찬스인 거죠.

이메일해킹의 분석

보낸사람과 받는사람의 이메일 주소가 동일하게 나와 있습니다. 그냥 손쉽게 생각하면 누군가 내 메일계정을 해킹해서 로그인후에 나에게로 메일을 보낸것으로 오해하기 쉽습니다.

하지만 EMAIL의 구조에서 보내는 사람의 주소는 얼마든지 조작이 가능합니다. 즉 메일을 보내는 서버를 해킹했다면 메일서버의 간단한 명령으로 보내는 사람의 주소를 조작할수 있는 것이지요.

자 그렇다면 메일의 원문보기를 이용해서 실제 메일의 원래 소스를 한번 살펴보겠습니다. IT를 업으로 삼고 있는 본인은 이정도의 호기심과 분석은 기초소양이라 할수 있겠죠. ㅎㅎ 🙂

메일원본 확인
메일원본 확인

아래는 우리가 흔히 보는 메일이 가진 실제 모습입니다. 컴퓨터는 이러한 원소스를 사용자들이 보기 좋게 바꾸어서 보여주는 것이지요. 이상한 문자들이 쭈욱 나열되어 있는데 중요한 부분은 바로 Recieved : from ….  라인 부분입니다.

 

이메일원본 정보. 특히 Received 주소를 잘 살펴봐야 합니다.

위의 붉는색 영역 즉 Received from 에 나오는 주소가 실제로 해당 메일을 보내는 주소 정보입니다. 일반적으로는 보내는 사람의 메일주소의 이름(도메인명)이 기재가 됩니다만 위에서는 나의 보내는 사람 주소가 아닌 전혀 엉뚱한 아이피와 도메인주소가 적혀 있음을 알수 있습니다.

 

정상적인 이메일 발신자 주소

보내는사람의 정보가 정확한 메일헤더값
보내는사람의 정보가 정확한 메일헤더값

정상적인 보내는 사람의 주소는 일반적으로 Received : from 에 나오는 도메인과 보내는 사람의 도메인 주소가 동일합니다. 또는 나처럼 구글메일 또는 구글 G-suite 사용자들은 모두 google.com의 주소로 기재됩니다.

구글메일사용자의 보내는사람 주소정보
구글메일사용자의 보내는사람 주소정보. 정상적인 이메일 형태입니다.

비정상적인 메일주소 확인

아이피의 물리적인 주소를 확인 할수있는 사이트에서 IP의 위치를 확인해보겠습니다.

이메일해킹으로 위조된 메일원문에서 관찰한 보내는 사람의 원래 주소는 아래와 같습니다.

해킹당한 SMTP 서버의 주소
해킹당한 SMTP 서버의 주소

위 주소를 IP정보 사이트에서 검색하면 아래와 같은 결과를 볼수 있습니다. 콜롬비아에 있는 ISP를 사용하는 메일서버가 해킹된것으로 추정할 수 있습니다.

IP의 물리적위치 추적 사이트
IP의 물리적위치 추적 사이트

 

결론

수신자와 발신자가 당사자의 이메일로 동일하게 설정된 “Email Bounce Attack” 공격은 일종의 사회공학적 해킹의 유형입니다. 구글메일은 기본적으로 이러한 발신지의 주소가 일종의 패턴을 벗어난 유형은 즉시 스팸으로 분류합니다. 혹은 자신의 메일함에 이러한 메일이 도착했을 경우에도 함부로 금전을  결제하지 않도록 주의하세요.  (본인도 처음에는 깜짝 놀랬습니다. 정말 이메일 계정이 해킹된게 아닐까? 라는 상황이 상상되니까요.)

기업체 전산(보안) 담당자 역시 spam필터를 벗어나 유입되는 경우가 발생한다면 키워드 등록을 통해서 이메일서버단에서 차단하는 처리가 반드시 필요합니다.

  • 내가 나에게로 보낸 메일에 놀라지 마세요. 자신의 메일 계정이 해킹된 것은 아닙니다. 단순 협박메일이죠.
  • 보통 비트코인으로 보내라는 송금요구 내용이 포함되어 있습니다. 절대 입금하시면 안됩니다.(할필요없어요)
  • 일반적인 메일서비스(구글메일의 경우) 자동으로 스팸으로 분류되니 크게 걱정 안하셔도 됩니다.
  • 해당 메일을 단지 열어본다고 해서 컴퓨터가 감염되거나 랜섬에 장악되는 경우는 없습니다. 간단히 스팸함으로 떨궈주시면 됩니다.

 

Print Friendly, PDF & Email

3 Replies to “이메일해킹 – Hoax(혹스) 메일의 실체”

  1. 안녕하세요. 저도 저 내용하고 똑같은 협박메일을 받았습니다. 오늘은 저 금액이 두배로 늘어나고 내용도 더 세져서 불안했는데 글 내용 보고 메일 헤더를 열어서 IP를 확인해보니까 안심이 되네요.
    좀 의문스러운게 그 IP가 국내 ISP의 IP로 되어있다 나와있는데 이거는 한국인이 진짜 장난으로 보낸거로 봐야 하나요? 아니면 개인회선에 연결된 어느 PC를 감염시켜서 위장용 메일서버를 설치한거로 봐야 하나요?

    1. 한국인의 장난으로만 단정지을수는 없습니다. 기존 메일서버를 해킹해서 어드민권한을 획득했을 수도 있구요. 다양한 경로로 메일을 보내는 서버가 침해사고를 당한것으로 판단할수 있습니다. 구글 메일이라면 2채널 인증 반드시 해두시면 좋습니다. 네이버 메일은 이러한 메일을 지능적으로 걸러주지 못해서 상당한 사용자들에 저의 네이버 블로그에도 문의를 해주시는데 기본적인 보안수칙을 잘 지시키는게 중요합니다.

  2. 안녕하세요? 저도 윗분처럼 원문 열어보니 한국ip가 적힌 메일을 받았어요. 다른 분들처럼 메일에 제 비번이 적혀있진 않았지만, 찝찝해서 변경도 했구요. 검사도 진행했습니다. (디펜더, 앱체크, mzk) 다만 찝찝한게 하나 있는데 제가 평상시에 장치관리자에서 웹캠을 사용안함으로 해두고 있는데, 오늘 보니 사용함으로 바뀌어져 있더라고요. 멀웨어나 바이러스는 아무것도 검출이 안됐는데 말입니다.. 해킹때문일까요? 아님 윈도우에서 설정이 풀리기도 하나요? 혹시나싶어 염치불구하고 댓글 남겨봅니다ㅠㅠ

댓글 남기기

이 사이트는 스팸을 줄이는 아키스밋을 사용합니다. 댓글이 어떻게 처리되는지 알아보십시오.

도구 모음으로 건너뛰기