|
이번 시간에는 악성코드를 배달하는 웜메일에 대하여 수신자의 피해와 웜의 동작에 대하여 2회에 걸쳐서 알아보도록 하자.
2009년 7월7일 발생한 DDoS 대란은 악성코드가 국가산업의 동작을 중지시킬 수 있다는 가능성을 보여준 예로 기억되게 되었다. 서비스에 병목현상을 야기하는 DoS 공격은 금번과 같은 web 서비스에만 국한되지 않는다. 거의 모든 서비스는 DoS의 공격이 될 수 있으며 DoS라는 기법이 알려진 지 오래 되었음에도 불구하고 이를 방어하는 시스템을 만드는 것이 어렵고 적은 이유는 정상적인 사용자로 인한 트래픽 증가인지 악의적 폭주인지 판단하기 어렵기 때문이다.
DoS 공격은 공격의 대상이 되는 서비스별로 다양한 기법이 존재한다. 이중 우리가 일상생활에서 접하기 쉬운 메일서비스를 통해 전파되는 DoS 공격 ‘웜메일’ 대하여 알아보도록 하자.
수상한 한 통의 메일. 읽을 것인가 지울 것인가?
[그림 1 수상한 내용을 포함한 메일의 예]
단순 스팸메일이라면 읽어도 피해가 없을 수 있지만 웜메일의 경우 악성코드 감염 및 사내 확산과 본인의 PC에 존재하는 주소록에 가입되어 있는 사람들에게 웜메일을 발송할 위험성이 높다. 실제로 위 그림의 메일은 7월7일 DDoS 대란시 유입되었던 메일로 첨부파일이 손상되어 감염확산 문제는 발생하지 않았지만 해당일 많은 사람들이 동일한 메일을 받게 되었다.
일과 중 상당시간을 수많은 메일 속에서 읽어야 할 메일과, 읽을 필요가 없는 스팸메일을 구분하는 것도 짜증나는데 메일 속에 피해를 입힐 수 있는 위험한 메일이 섞여 있다는 것은 우리에게 상당한 스트레스를 주고 있다.
메일시스템을 이용하는 전파 방법에 따라 사용자에게 나타나는 피해에 대하여 먼저 알아보자.
* 해당 케이스는 메일방역프로그램에서 진단을 하지 못하는 상태에서 공격을 받을 경우를 가정한다.
[CASE 1]
1명의 수신자에게 worm mail이 1분에 1통씩 들어온다. 이 경우 수신자에게는 어떠한 불편함이 발생할까?
[그림 2 차단된 메일의 예]
-하루 동안 56MByte의 메일공간이 사용되게 된다. (1 USER X 41KB SIZE MAIL X 1440 MAIL = 56MB)
-수신자는 1440통의 추가적인 메일이 들어오므로 순식간에 메일박스용량이 초과되어 메일수신이 안될 수 있으므로 정상적인 메일과 분류/삭제해야 하는 부담이 발생한다.
-메일을 읽거나 첨부파일을 실행하는 경우 감염 및 웜메일의 피해 발생
* 실제 2004년 발생하였던 Win32/MyDoom.worm.의 경우 다음과 같은 특성을 갖는다.
메일의 특징 : 41KB(41,435 바이트), worm이 첨부파일로 포함된 메일을 분당 9통 발송, 특정사이트에 대한 SYN-Flooding DDoS 공격
[그림 3 Win32/MyDoom.worm.A형의 개략적인 구조]
[CASE 2]
1,000명이 근무하는 회사에 개인당 웜메일이 1분에 1통씩 들어온다. 이 경우 업무시스템에는 어떠한 문제가 발생할까?
-1000명이 근무하는 회사에서 모든 직원이 해당 메일을 받게 되는 경우 하루 동안 54GByte의 메일서버 공간이 필요하게 된다. 요즘의 경우 HDD등의 저장공간이 매우 커져서 공간부족의 문제가 없을 것으로 보이지만 메일서비스의 특징상 관리자 및 메일시스템에서 일괄적으로 메일을 지울 수 없으므로 이미 유입된 메일은 개인이 처리해야 하는 부담이 발생한다.
-메일시스템은 Mail Queue를 가지고 있으며 수신 및 필터링 동작에는 일정한 시간이 필요하다. 이러한 상황에서 메일시스템은 1초당 약 16통의 메일을 수신 및 스팸/악성코드검출 동작을 해야 한다. 하지만 Mail Queue를 처리하는 부하가 증가하면 메일서버는 Queue의 처리율이 안정화 될 때까지 메일의 수신을 거부하게 될 수 있다. 이 경우 더 이상의 메일 수신이 중단되게 된다.
[그림 4 웜메일의 DDoS 공격 발생시 메일 시스템의 피해]
*일반적으로 메일시스템은 1일 30만통(초당 3.5통) 이상을 처리할 수 있어야 한다. 단 시스템의 구성 및 처리율에 따라 더 높을 수도 낮을 수도 있다.
* 메일방역 시스템은 다양한 기법을 통하여 스팸과 악성코드 메일을 검출하지만 금번과 같이 다수의 좀비PC를 동원한 공격의 경우 일반 사용자의 분류(동일IP를 유입 단 카운트를 통한 차단), 네트워크 단의 필터링이 어려울 수 있다.
* 메일서버는 많은 메일을 수신하기 위하여 다중화 되어 있는 경우가 많으며 MX Record라는 메일 분기 구조를 갖으며 발송서버들간 일정횟수의 재전송 시도를 하도록 되어 있다.
다음 편에서는 실제 웜메일이 실행되는 경우 발생하는 피해 및 동작 과정에 대하여 알아보도록 한다.@
| 
