이메일 위협과 종합적 이메일 보안

이메일 위협과 종합적 이메일 보안

이메일은 널리 쓰이는 만큼 다양한 보안 위협에 취약한다

• 인증-관련 위협(Authentication-related threats)
  • 기업 이메일 시스템에 허가받지 않은 접근이 허용되는 경우
• 무결성-관련 위협(Integrity-related threats)
  • 이메일 콘텐츠가 허가받지 않은 수정을 허용하는 경우
• 기밀성-관련 위협(Confidentiality-related threats)
  • 민감한 정보가 허가받지 않은 노출을 허용하는 경우
• 가용성-관련 위협(Availability-related threats)
  • 종단 사용자의 메일 전송이나 수신이 방해되는 경우

위협 대응용 표준 프로토콜

STARTTLS (SMTP over TLS)

• SMTP를 TLS(전송 계층 보안) 상에서 구동하여 인증, 무결성, 부인방지(디지털 서명으로)와 기밀성(암호로)을 제공하는 SMTP의 보안 확장 프로토콜

S/MIME SMTP

• 메시지 안의 메시지 본문에 인증, 무결성, 부인방지(디지털 서명으로)와 기밀성(암호로)을 제공

DNS 보안 확장(DNSSEC: DNS Security Extensions)

• DNS 데이터의 인증과 무결성 보호를 제공하는 프로토콜
• 다양한 이메일 보안 프로토콜에서 사용하는 기본 도구

네임드 개체 DNS-기반 인증(DANE: DNS-based Authentication of Named Entities):

• 인증 기관(CA) 시스템의 문제점을 해결하기 위해 설계된 프로토콜
• DNSSEC에 기반한 공개 키 인증을 제공하며 IP 주소를 인증하는 데 사용한 신뢰 관계와 동일한 신뢰 관계를 이용하여 해당 주소 상의 서버 운영을 인증

송신자 정책 프레임워크(SPF: Sender Policy Framework):

• DNS를 사용하여 도메인 소유자가 도메인 이름과 허가된 메시지 송신자의 특정 IP 주소 범위를 연결하는 레코드를 생성

DKIM(DomainKey Identified Mail):

• MTA가 메시지의 선택된 헤더와 본문에 서명할 수 있게 함
• 메일의 출발지 도메인을 입증하고 메시지 바디 무결성을 제공하는 프로토콜

DMARC(Domain-based Message Authentication, Reporting, and Conformance)

• 송신자가 자신의 SPF와 DKIM 정책의 비례적 효과를 알 수 있도록 함
• 수신자에게 신호를 보내 다양한 개별 공격이나 벌크 공격 시나리오에 어떻게 대응해야 할지를 알려줌

메시지 인증과 무결성 확인을 위한 DNSSEC, SPF, DKIM, DMARC, DANE 및 S/MIME 관계

부족한 점이나 잘못 된 점을 알려주시면 시정하겠습니다 :>