스팸스나이퍼

구독
다운로드 53
업데이트 2025. 3. 3.

웹메일 데이터 유출

스팸스나이퍼에서 개인 웹메일 주소로 파일을 첨부하여 전송 시 탐지합니다.

쿼리

수신 도메인이 웹메일에 해당하고, 보낸 사람 이메일 주소(mail_from)와 받는 사람 이메일 주소(mail_to)의 메일 계정이 유사하고 첨부파일이 존재하는 경우에 탐지합니다. spamsniper_email_similarity() 함수는 메일 계정으로부터 생성한 n-gram 집합의 유사성을 비교하여 0~1 사이의 값을 반환합니다.

| search len(mail_cc) == 0 and in(mail_to, "*@gmail.com", "*@hotmail.com", "*@outlook.com", "*@naver.com", "*@hanmail.net", "*@kakao.com", "*@nate.com", "*@proton.me")
| eval similarity = spamsniper_email_similarity(mail_from, mail_to)
| search similarity >= 0.4 and len(mail_attachments) > 0

메시지

  • 웹메일 데이터 유출: $mail_from > $mail_to

출력 필드 순서

  • _log_time, mail_from, mail_to, mail_cc, mail_subject, mail_attachments, similarity, approver_name, approver_email, approval_result, approval_state, approval_time

위협 분석

  • 메일을 통한 파일 반출 시 결재 승인을 하지 않는 환경이라면 내부자는 기존에 사용하던 웹메일 계정으로 기밀 자료 전송을 시도할 수 있습니다. 특별히 주의를 기울이지 않았다면 메일 계정은 기존에 사용하던 조직 내 계정 이름과 유사할 가능성이 높습니다.

오탐 유형

  • 조직에서 반출 허가를 받았거나 일반적인 자료 전송 시에도 탐지될 수 있습니다. 이 룰은 어느 정도의 오탐이 발생할 수 있으나 잠재적인 유출을 방지하기 위하여 이벤트 발생 시 지속적으로 확인할 것을 권장합니다.

대응 방안

  • 기밀 유출로 상당히 의심되는 메일 전송 이력이 발견되었다면, 메일을 발송한 임직원에게 어떤 사유로 메일을 전송한 것인지 소명을 요청합니다.
  • 소속 팀이나 부서장을 통하여 소명 내용을 검토하고 합리적인 사유가 있다면 사후 승인, 보안 규정 위반에 해당된다면 조직의 규정에 따른 인사 조치를 실행합니다.

MITRE ATT&CK