현재, 이메일은 악성코드를 전송하는 주요 경로로 알려져 있습니다. 'ILOVEYOU' 웜부터 최신 랜섬웨어까지, 보안사고의 주범은 주로 이메일 첨부 파일에서 유래하고 있습니다.
이메일 파일 첨부의 표준인 'MIME(Multipurpose Internet Mail Extensions)'은 텍스트 뿐만 아니라 이미지, 오디오, 실행 파일 등 다양한 데이터를 전송할 수 있도록 설계되었습니다. 이는 이메일 시스템 SMTP(Simple Mail Transfer Protocol)이 초기에는 7비트 ASCII 문자만을 전송할 수 있었기 때문에 필요했던 기술입니다.
MIME는 메시지를 여러 파트로 분할하여 각 파트마다 데이터 타입과 인코딩 방식을 지정하여 전송하는 방식으로 동작합니다. 이를 클라이언트가 해석하고 사용하는 프로세스로 볼 수 있습니다.
그러나 이러한 유연한 구조는 해커들에게 쉬운 공격 수단으로 작용하고 있습니다. 해커들은 실행 파일(.exe)을 텍스트 파일로 위장하거나 이중 확장자(invoice.pdf.exe)를 사용하여 수신자를 속이는 등의 기술을 사용하고 있습니다.
악성코드를 PC에 심는 방법 중 하나인 매크로(Macro)는 업무용 문서에 악성 VBA매크로를 심어 '콘텐츠 사용'을 유도하여 악성코드를 다운로드하는 공격 방법입니다. 또한, 암호 걸린 압축 파일을 첨부하여 보안 검사를 우회하거나, 디스크 이미지 파일을 활용하는 방법도 사용됩니다.
현재 대부분의 악성코드는 시그니처 기반 보안기술로 차단할 수 있지만, 신종 악성코드는 제로데이 공격을 통해 이를 우회하는 경우도 있습니다.
이에 대한 대응책으로 CDR(Content Disarm and Reconstruction) 기술이 주목받고 있습니다. CDR은 문서 내 잠재적 위협 요소를 제거하고 안전한 콘텐츠로 재조립하는 기술로, 보안 강화에 도움을 줄 수 있습니다. 또한, 파일을 실행하기 전 가상 환경에서 테스트하는 샌드박스(SandBox) 기술도 활용되고 있습니다.
가장 효과적인 보안책은 실행 가능한 파일 확장자의 수신을 원천적으로 차단하는 것입니다. 이를 통해 악성코드를 발송하는 해커의 메일서버를 탐지하고 차단할 수 있습니다. 해커들은 보안 기술을 우회하려고 하지만, 악성코드를 배포하는 '전송 인프라'를 변경하기는 쉽지 않습니다.