안녕하세요.
사용자의 눈높이에 맞춘 이메일보안 지킴이 지란지니입니다.
Q. 단순 열람 혹은 열람하지 않았는데 감염/유출로 표기됩니다.
A. 감염/유출 카운트는 훈련 메일 내 URL에 실제로 접근하여 정보를 입력한 경우에만 표기됩니다.
단순 열람 또는 메일 열람하지 않았는데 감염/유출로 표기되었다면, 메일 수신 경로상에 위치한 보안장비가 동적 행위(APT 탐지 목적의 자동 URL 접근 등)를 수행하고 있을 가능성이 있습니다.
이 경우, 실제 사용자가 해당 메일을 열람하지 않았더라도 서버가 자동으로 URL에 접근하면서 읽음 처리 또는 감염/유출로 기록될 수 있습니다.
열람 카운트 동작 방식
훈련 메일 본문에는 이미지 URL 태그가 포함되어 있습니다.
메일을 열어보는 순간 해당 이미지 URL로 자동 접속이 발생하며, 이 시점에 열람으로 기록됩니다.
MudFix 서버는 이미지 요청을 수신하는 방식(Passive, 수동 수신)으로만 동작하며, 요청이 들어온 시각과 요청자의 IP 주소를 자동으로 기록합니다. MudFix는 어떠한 능동적 접근, 데이터 수집, 또는 사용자 시스템에 대한 조작을 수행하지 않습니다.
확인 및 조치 방법
열람하지 않았음에도 읽음 또는 감염/유출로 표기된 경우, 아래 두 가지 사항을 순서대로 확인해 주시기 바랍니다.
1. 내부 보안 장비 또는 메일서버의 동적 행위 기능 확인
- 메일서버 또는 수신 경로상의 보안 장비(예: APT 방어 솔루션, 샌드박스 등)에서 메일 내 URL 또는 이미지를 자동으로 접근하는 기능이 활성화되어 있는지 확인합니다.
- 해당 기능이 동작 중인 경우, 사용자의 실제 행동과 무관하게 서버가 이미지 URL에 먼저 접근하여 열람으로 기록될 수 있습니다.
2. 훈련 발송 메일에 대한 예외 처리 적용
- 해당 기능이 확인된 경우, MUDFIX 도메인 또는 MUDFIX IP 를 보안 장비 동적 검사 예외 대상으로 등록하여 자동 접근이 발생하지 않도록 설정합니다.
추가 문의 사항이 있으시면 기술지원팀으로 언제든지 연락해 주시기 바랍니다.