◎ 해킹메일 시나리오 > 발신자 이메일주소를 속이는 경우 - 이메일 내 악성코드를 첨부하는 경우가 높습니다. - 특정 링크를 클릭하여 수신자의 민감정보를 입력하도록 유도하는 경우가 높습니다. (ex. 메일용량부족/이메일 패스워드 만료와 같은 문제 해결을 위해 로그인 요청) - 이메일 관련내용을 회신 받을 필요가 없습니다. - 한글자 정도 착각할 수 있는 메일 도메인을 사용합니다. - 발송 메일 서버도 다를 수 있습니다.
> 발신자 이메일주소를 속이지 않는 경우 - 발신자 이메일이 해킹되었을 경우가 높습니다. - 발신자 이메일의 내용이 모두 노출되었을 경우가 높습니다. - 금전적인 부분을 노리고 해킹 메일을 발송했을 경우가 높습니다.(ex. 대금결제 계좌번호 변경 요청) - 이메일 관련내용을 회신 받을 목적이 높습니다. - 정상메일과 혼돈 가능성이 높습니다.
◎ 이메일 헤더 분석 > Received: 는 송신된 메일이 어떤 경로를 통해서 전송되었는지의 기록합니다.(최상단이 가장 마지막 경로) ㄴ from A by B for C : A메일서버를 통해 B메일서버에 전송된 전자우편으로 C에게 전달되었다는 의미입니다. ㄴ Header 내에 Received: 가 여러개 있는 경우, 다른 몇 개 서버를 거쳐 전달된 것으로 Received: 헤더에 거쳐온 메일 서버들이 모두 표시됩니다. ㄴ 최하단 Received: 헤더가 제일 처음 메일이 발송된 곳이고, 그 곳에서 차례대로 위쪽으로 지나온 것입니다. ㄴ 최하단 Received: 정보 중 from 정보는 호스트네임(도메인 이름, IP)입니다. ex. Received: from localhost(unknown [10.86.224.108](Authenticated sender: kaiwei.yeo@sheleqals.com) by us2.outbound.mailhostbox.com ㄴ 메일서버 도메인과 발신자 메일 도메인을 비교합니다. ㄴ 발송 메일서버는 us2.outbound.mailhostbox.com인데(무료), 발송자 전자운편 주소 도메인은 sheleqals.com입니다.
=> 수신자가 이메일을 확인 시 kaiwei.yeo@sheleqals.com 이메일 주소에서 발신된 것으로 착각할 수 있으나, 실제로 발신된 메일서버는 sheleqals.com 가 아니라 무료 메일서버( us2.outbound.mailhostbox.com )를 이용해 수신자를 속이려고 한 것입니다.
> Authentication-Results는 전자메일 인증 확인 결과입니다. ㄴ dkim="none (message not signed)" => 인증결과 메시지서명 없다는 것으로 기업에서는 메시지서명을 필수로 사용합니다.
> Date는 수진자가 메일을 수신한 날짜 및 시간입니다.
> From은 메일의 송신자 이름 및 계정 정보입니다.
> To는 메일의 수신자 이름 및 계정 정보입니다.
> Subject는 메일 본문의 제목입니다.
> User-Agent는 에플리케이션 정보입니다. ㄴ User-Agent: Roundcube Webmail/1.4.8 => 오픈소스로 기업에서는 사용하는 경우가 없습니다.
> Message-ID는 메일 서버에서 부여하는 메일의 식별 번호입니다.
> Return-Path는 메일 전송이 실패할 경우 반송될 계정 정보로서 일반적으로 MTA에서 송신자의 메일 주소를 입력합니다.
> 헤더 위조 여부 확인 : 추적을 어렵게 하기 위해 헤더에 아래 내용을 추가하는 경우도 있습니다. Received: from nowhere by fictitious-site (8.8.3/8.7.2)... Received: No Information Here, Go Away!
해킹메일/스팸메일/악성메일/피싱메일 등 위변조된 이메일을 분석하기위한 기초로 이메일 헤더형식을 알아보겠습니다.
◎ Email Headers > From 회사명이나 회사 직책과 같은 신원이나 이메일 주소를 나타내지만 쉽게 위조될 수 있으며 신뢰성이 가장 낮을 수 있습니다.
> Sender 발신자 이메일 주소입니다. 이 속성을 설정하지 않으면 Sender 이메일 주소는 From 이메일 주소와 동일합니다.
> Subject 이는 보낸 사람이 이메일 제목 줄에 표시한 제목을 나타냅니다.
> Date 이메일 메시지가 작성된 날짜와 시간이 표시됩니다.
> To 이는 메시지가 누구에게 전달되었는지 표시하지만 수신자의 주소를 포함하지 않을 수 있습니다.
> Cc 이메일 메시지의 추가 수신자 이메일 주소입니다.
> Bcc 이메일 메시지를 받고 있지만 주소가 다른 수신자에게 표시되지 않는 수신자의 이메일 주소(숨은참조)입니다.
> Delivered-To 수신자의 이름과 주소뿐만 아니라 참조 및 숨은 참조에 있는 기타 주소도 표시합니다.
> Deliver-To 배송을 받은 수령인의 주소가 표시됩니다. 배송이 진행되는 동안 Deliver-To 헤더가 추가됩니다.
> Reply-To 답장을 보낼 이메일 주소를 포함하는 선택적 필드입니다.
>: Return-Path 반송 메일의 이메일 주소입니다. 이는 "Reply-To:"과 동일합니다.
> Envelope-To 이 헤더는 이메일 주소가 사서함으로 전달되었음을 보여줍니다.
> Delivery Date 메일 서버나 클라이언트에서 이메일을 받은 날짜와 시간을 표시합니다.
> Received 수신된 내용은 이메일 헤더의 가장 중요한 부분이며 일반적으로 가장 신뢰할 수 있습니다. 이는 메시지가 귀하에게 도달하기 위해 이동한 모든 서버/컴퓨터의 목록을 형성합니다. 수신된 줄은 아래에서 위로 읽는 것이 가장 좋습니다. 즉, 첫 번째 "Received:" 줄은 사용자의 시스템 또는 메일 서버입니다. 마지막 “Received:” 줄은 메일이 시작된 곳입니다. 각 메일 시스템에는 "Received:" 줄이라는 고유한 스타일이 있습니다. "Received:" 줄은 일반적으로 메일을 받은 서버와 메일을 받은 서버를 식별합니다.
> Dkim-Signature & Domainkey-Signature 이는 이 도메인에 서명된 서버가 실제로 이 메시지를 보냈는지 확인하기 위해 도메인 키 식별자가 검증되었는지 여부를 나타냅니다. 이메일은 디지털 서명으로 서명되며, 이는 보낸 사람 도메인의 DNS 레코드에서 보낸 사람의 공개 키를 확인하여 확인할 수 있습니다.
> PF or Sender Policy Framework 보낸 사람이 도메인을 대신하여 이메일을 보낼 수 있는 호스트를 지정하는 데 사용하는 인증 방법입니다. MTA(메일 전송 에이전트)는 보낸 사람의 DNS 레코드를 확인하여 도메인에서 받은 이메일이 보낸 사람의 DNS 레코드에 나열된 호스트에서 보낸 것인지 확인합니다.
> Message-id 메시지가 처음 생성될 때 메일 시스템에서 할당한 고유 문자열입니다. 여기에는 다양한(약 50개) 문자와 숫자가 포함됩니다.
> Mime-Version MIME(Multi Purpose Internet Mail Extensions)은 이메일 형식을 확장하는 인터넷 표준 입니다. 메시지를 암호화하기 위해 PGP 서명을 사용하는 S/MIME과 같이 첨부할 수 있는 다양한 MIME 차별화 요소가 있습니다.
> Content-Type 일반적으로 이는 html 또는 일반 텍스트와 같은 메시지 형식을 알려줍니다.
◎ X-Headers 이 필드는 이메일이 인터넷과 내부 네트워크를 통과할 때 이메일 안티 바이러스 스캐너와 같은 보안 장치에 의해 이메일에 추가됩니다. X-헤더는 순서가 맞지 않을 수 있으며 종종 메시지 정보 및 서버 릴레이 헤더 내에서 혼합됩니다. 모든 X-Headers가 모든 경우에 나타나는 것은 아닙니다.
> X-Spam-Status 서비스 또는 메일 클라이언트에서 생성된 스팸 점수를 표시합니다.
> X-Spam-Level 서비스 또는 메일 클라이언트에서 일반적으로 생성되는 스팸 점수를 표시합니다.
> X-Mailer 이메일을 보내는 데 사용된 이메일 클라이언트 또는 소프트웨어.
> X-Microsoft-Antispam 대량 메일 및 피싱에 대한 추가 정보가 포함되어 있습니다.
> X-Originating-Email 실제 메일을 보낸 사람의 이메일주소입니다.
> X-Originating-IP 실제 메일을 보낸 사람의 PC의 IP 주소입니다.
> X-Priority 이메일의 우선순위를 지정하는 데 사용되는 이메일 사양의 선택적 매개변수입니다. 1(가장 높음), 2(높음), 3(보통), 4(낮음), 5(가장 낮음). 필드가 생략된 경우 3(일반)이 기본값입니다.
페달 포 키즈(Pedal for Kids)는 몬트리올 어린이 병원 재단의 가장 중요한 기금 모금 활동 중 하나이지만, 가장 재미있는 활동 중 하나이기도 합니다! 30인승 대형 자전거가 역동적인 음악에 맞춰 자랑스러운 사이클리스트들과 함께 도심의 거리를 달리는 모습입니다.
1992년, 몬트리올 어린이 병원에서 치료를 받던 딸 메건을 기리기 위해 마이클 콘웨이와 실비 랄루미에르는 페달 포 칠드런 기금 모금 활동을 시작하기로 결정했습니다. 30년이 지난 오늘날, 마이클은 이 이니셔티브를 지속하여 어린이병원이 아픈 어린이와 그 가족에게 최첨단 치료를 계속 제공할 수 있도록 지원하고 있습니다.
・ 학사 이상의 학위, 기사 또는 정보보호 관련 국내외 자격을 취득한 사람 ・ 전문대학 졸업 또는 산업기사 자격을 취득한 후 2년 이상의 정보통신 관련 경력이 있는 사람 ・ 기능사 자격을 취득한 자로서 4년 이상의 자격을 취득한 자
・ 학사 이상의 학위를 취득한 후 2년 이상의 정보통신 관련 경력이 있는 사람 ・ 전문대학을 졸업한 후 4년 이상의 정보통신 관련 경력이 있는 사람 ・ 정보통신 관련 경력 6년 이상 있는 사람
중급 기술자
・ 1년 이상의 정보보호 관련 경력이 있고 석사학위를 취득한 사람 ・ 학사학위, 기사 또는 정보보호 관련 국내외 자격을 취득한 후 3년 이상의 정보보호 관련 경력이 있는 사람 ・ 전문대학 졸업 또는 산업기사 자격을 취득한 후 5년 이상의 정보보호 관련 경력이 있는 사람
・ 학사 이상의 학위를 취득한 후 5년 이상의 정보보호 관련 경력이 있는 사람 ・ 전문대학을 졸업한 후 7년 이상의 정보보호 관련 경력이 있는 사람
・ 초급 자격 기준 취득 후 3년 이상 정보보호 경력이 있는 사람
고급 기술자
・ 박사학위 또는 기술사 자격을 취득한 사람 ・ 4년 이상의 정보보호 관련 경력이 있고 석사학위를 취득한 사람 ・ 학사학위, 기사 또는 정보보호 관련 국내외 자격을 취득한 후 6년 이상의 정보보호 관련 경력이 있는 사람 ・ 전문대학 졸업 또는 산업기사 자격을 취득한 후 8년 이상의 정보보호 관련 경력이 있는 사람
・ 학사 이상의 학위를 취득한 후 8년 이상의 정보보호 관련 경력이 있는 사람 ・ 전문대학을 졸업한 후 10년 이상의 정보보호 관련 경력이 있는 사람
・ 중급 자격 기준 취득 후 3년 이상 정보보호 경력이 있는 사람
특급 기술자
・ 3년 이상의 정보보호 관련 경력이 있고 박사학위 또는 기술사 자격을 취득한 사람 ・ 7년 이상의 정보보호 관련 경력이 있고 석사학위를 취득한 사람 ・ 학사학위, 기사 또는 정보보호 관련 국내외 자격을 취득한 후 9년 이상의 정보보호 관련 경력이 있는 사람 ・ 전문대학 졸업 또는 산업기사 자격을 취득한 후 11년 이상의 정보보호 관련 경력이 있는 사람
・ 학사 이상의 학위를 취득한 후 11년 이상의 정보보호 관련 경력이 있는 사람 ・ 전문대학을 졸업한 후 13년 이상의 정보보호 관련 경력이 있는 사람
・ 고급 자격 기준 취득 후 3년 이상 정보보호 경력이 있는 사람
기타
※ 정보통신유관경력은 정보보호유관경력 50%로 인정한다(단, 정보보호유관경력은 정보통신유관경력과 중복인정 안됨). ※ 자격 및 학위 취득 이전의 정보보호유관경력은 50%를 인정한다. ※ 한국인터넷진흥원의 정보보호전문가(SIS) 2급 자격을 취득한 자는 유관 자격 또는 유관 학력의 보유 여부와 관계없이 초급 기술자로 인정하며, SIS 1급은 기사 자격에 준하여 인정한다(단, 비고 “5호”의 “가” 항목과 중복인정 안됨). ※ 국내외 해킹방어대회 입상자는 전문위원회 심의를 통하여 유관 자격 또는 유관 학력의 보유 여부와 관계없이 중급 기술자 이상으로 인정할 수 있다.
<비고>
1. “관련자격”이란 「국가기술자격법 시행규칙」 별표 7에 따라 과학기술정보통신부장관 또는 방송통신위원회 검정의 소관으로 하는 전자계산기, 정보통신, 통신설비, 통신기기, 통신선로, 정보기기운용, 전파통신, 전파전자, 무선설비, 방송통신, 정보관리, 정보처리, 사무자동화 및 전자계산조직응용 종목의 기술자격을 말한다.
2. “관련학력”이란 「고등교육법」에 따른 해당 학교에서 다음 각 목에 해당하는 학과에서 소정의 과정을 이수하고 졸업하거나 그 밖의 관계법령에 따라 국내 또는 외국에서 이와 같은 수준 이상으로 인정되는 학력을 말한다.
가. 전자 관련 학과: 정보전자, 전자, 전자계산, 전기전자제어, 전자정보, 전자제어, 전기전자, 전자전기정보, 전자컴퓨터전기제어, 컴퓨터과학, 전기전자정보, 전자컴퓨터, 메카트로닉스, 전자재료, 제어계측, 반도체
다. 정보처리기술 관련 학과: 시스템, 전산, 정보전산, 컴퓨터제어, 컴퓨터응용제어, 컴퓨터응용, 컴퓨터응용설계, 구조시스템, 컴퓨터정보, 멀티미디어, 정보시스템, 전산통계, 정보처리
라. 그 밖에 교육부장관이나 해당 교육기관의 장으로부터 전자․통신 및 정보처리기술․정보보호 관련 학과로 인정받은 학과
3. “정보통신 유관경력”이란 공공기관, 민간기업, 교육기관 등에서 정보통신서비스(기간통신, 별정통신, 부가통신, 방송서비스 등을 말한다), 정보통신기기(정보기기, 방송기기, 부품 등을 말한다) 또는 소프트웨어 및 컴퓨터 관련 서비스(패키지 소프트웨어, 컴퓨터 관련 서비스, 디지털콘텐츠, 데이터베이스 제작 및 검색 등을 말한다)에 해당되는 분야에서 계획․분석․설계․개발․운영․유지보수․컨설팅․감리 또는 연구개발 업무 등을 수행한 기간을 말한다.
4. “정보보호 유관경력”이란 공공기관, 민간기업, 교육기관 등에서 정보보호를 위한 공통기반기술(암호 기술, 인증 기술 등을 말한다), 시스템․네트워크 보호(시스템 보호, 해킹․바이러스 대응, 네트워크 보호 등을 말한다) 또는 응용서비스 보호(전자거래 보호, 응용서비스 보호, 정보보호 표준화 등을 말한다)에 해당되는 분야에서 계획․분석․설계․개발․운영․유지보수․컨설팅 또는 연구개발 업무 등을 수행한 기간을 말한다.
5. 다음 각 목에 해당하는 자격증을 보유한 자는 정보보호유관경력 1년으로 인정하되, 중복 인정은 할 수 없다.(정보보호 관련 국내외 인정 자격 또한 다음 각 목과 같으며, 정보보호유관경력과는 중복 인정되지 아니한다.)
가. 정보시스템감리사
나. 공인정보시스템감사사(CISA: Certified Information Systems Auditor)
다. 공인정보시스템보호전문가(CISSP: Certified Information Systems Security Professional)
라. 정보보호전문가(SIS: Specialist for Information Security)
마. 정보보안기사, 정보보안산업기사
바. 정보보호관리체계(ISMS: Information Security Management System) 인증심사원
사. 전자정부정보보호관리체계(G-ISMS: Government Information Security Management System) 인증심사원
아. 개인정보보호관리체계(PIMS: Personal Information Security Management System) 인증심사원
6. 제7조제1항제1호에 따른 기술인력은 신원조사에서 국가 안전보장에 유해한 정보가 있음이 확인되면 기술인력으로 인정되지 아니한다.
소프트웨어(SW) 기술자등급제가 2012년 폐지되었지만 여전히 특급/고급/중급/초급으로 참여인력의 등급을 나누어 제안요청을 하는 문서가 많습니다. 또한 여전히 참여인력 등급으로 사업비용을 책정하기도 합니다. 정보보안에 투자하는 것을 비용으로 바라보며 절감하려는 모습이 안타깝기도 합니다. 이렇게 바라보는 분들은 빨리 회사에서 떠나셨으면 좋겠습니다. 아무튼 그러다 보니 저비용 사업에 일부 보안기업은 참여를 안 하게 되는데 서비스저하로 이어질 수 있다고 생각이 듭니다. 한국소프트웨어산업협회에서는 매년 12월 SW(소프트웨어)기술자 평균임금을 공표합니다. 관련해서 여러업체 영업담당자에게 견적을 요청하여 비용을 산정하고 사업비용을 책정하면 좋겠습니다. 어쨌든 SW기술자 평균임금을 기준으로 사업비용을 책정하면 보안기업도 더욱더 양질의 서비스를 제공할 수 있다고 생각합니다.
