랜섬웨어부터 BEC 공격까지...이메일 보안의 모든 것
기관·기업의 보안담당자에게 물어본 이메일 보안 솔루션 인식조사 결과
[인터뷰] 한국인터넷진흥원 임채태 침해대응단장
국내외 이메일 보안 대표 솔루션 집중분석 : 퍼셉션포인트(에스에스앤씨), 시만텍, 지란지교시큐리티, 소프트캠프, KT, 시스코
[보안뉴스 원병철 기자] 스마트폰을 이용한 메신저부터 SNS 서비스까지 다양한 방법으로 우리는 소통하고 있지만, 아직 공적인 업무에서는 이메일(e-mail)을 더 많이 사용하고 있다. 그 때문에 사이버 공격자들은 이러한 이메일을 노린 공격을 가장 많이 벌이고 있으며, 랜섬웨어 등 다양한 악성파일을 이메일을 통해 퍼트린다. 특히 초창기 무차별적으로 악성메일을 발송하던 것과 달리 기업이나 기관 등 ‘돈’을 지급할 능력이 되는 곳을 ‘표적’ 삼아 공격하는 방향으로 공격방법이 진화하면서 이메일의 보호가 더욱 중요해졌다. 이에 보안뉴스와 시큐리티월드는 이메일 보안이란 무엇이며, 어떤 솔루션이 있고 현재 주요한 기술은 어떤 것들이 있는지 알아보는 시간을 마련했다.
[이미지=gettyimagesbank]
Part1. 이메일 공격의 시작과 최신 이메일 보안 트렌드
세계에서 이메일의 시작은 1971년 미국 컴퓨터 프로그래머 ‘레이 톰린슨(Ray Tomlinson)’이 ‘아파넷(ARPANET : Advanced Research Projects Agency Network)’ 연구개발 중 3.5m 떨어진 다른 컴퓨터에 ‘QWERTYUIOP(자판기 첫 줄)’를 타이핑해 보낸 것이 최초로 알려졌다. 아파넷은 미 국방성 고등연구계획국에서 시작한 컴퓨터 네트워크로 인터넷의 시초로 알려졌으며, 레이 톰린슨이 아파넷 연구개발 중 최초로 이메일을 보낸 것이다. 즉 이메일의 시작은 인터넷의 시작과 함께 이뤄진 것이다. 당시 레이 톰린슨은 이메일 주소를 위해 ‘앳(@)’을 사용했지만, 실제 ‘이메일(e-mail)’이란 이름은 1982년부터 쓰인 것으로 알려졌다.
이메일 공격의 시작
그렇다면 이메일을 악용한 공격은 어떻게 시작했을까? 이메일의 시작과 달리 이메일 공격은 정확히 알려진 것은 없다. 다만 보안 업계에서는 1994년 등장한 ‘스팸(Spam)’을 최초의 이메일 공격으로 본다. 스팸은 보통 ‘광고’를 위해 발송하지만, 악성코드가 담겨있기도 하기 때문이다. 스팸 혹은 스팸 이메일은 수신자가 원하지 않은 정보가 담긴 전자우편을 말하며, 쓰레기라는 이름의 ‘정크 메일(Junk Mail)’이라고 부르기도 한다. 안랩에 따르면 스팸이란 이름은 우리가 잘 알고 있는 돼지고기 햄 통조림인 ‘스팸(SAPM)’에서 시작했다. 1937년 처음 등장한 스팸의 광고를 너무나 무차별적으로 진행했기에 소비자들은 이를 ‘공해’로 여겼으며, 이후 등장한 광고 이메일에 ‘스팸’이란 이름을 붙여줬다고 한다.
방송통신위원회에 따르면, 2023년 상반기 이메일로 수신된 스팸 신고·탐지건수는 484만건으로, 이는 2022년 하반기(957만건)보다 49.4% 줄어들었다. 이메일 스팸은 지속적인 감소 추세를 보이는데, 특히 중국발 스팸이 대폭 감소(2022년 하반기 789만건, 2023년 상반기 35만건)한 것으로 나타났다.
하지만 이메일 공격은 스팸만이 아니다. 사이버 공격자들은 최근 가장 심각한 이메일 공격인 ‘비즈니스 이메일 침해(BEC, Business Email Compromise)’ 공격을 비롯해 전통적인 ‘피싱(Phishing)’ 공격과 ‘스피어 피싱(Spear Phishing)’, ‘이메일 하이재킹(e-mail Hijacking)’ 등과 같은 방식을 사용해 궁극적으로는 ‘랜섬웨어(Ransomware)’와 같은 악성파일을 피해자의 PC에 설치해 주요 정보를 빼가거나 아예 PC의 파일을 암호화해 사용할 수 없도록 만든다.
이메일 공격 방식의 진화
그렇다면 이메일 공격은 어떤 방식으로 이뤄질까? 공격은 첫 번째로 피해자가 잘 아는 사람(혹은 기관이나 기업)을 사칭하며, 두 번째로 이메일에 악성파일을 첨부하거나 본문에 링크를 걸어 악성파일을 다운로드하도록 유도한다. 때문에 이메일 보안 솔루션은 이 두 가지를 방어하는 데 초점을 맞췄다. 즉, 이메일 발신자를 확인해 제대로 된 사용자가 맞는지를 검증하고, 이후 첨부된 파일이 있으면 검사를 하거나 아예 무해화 작업을 하는 것이다.
이 두 가지 방어에 있어서 보안기업들은 각각의 방법을 사용한다. 보안기업마다 접근법이 달라 주요 기능이나 대응 방법이 다르며, 때문에 이러한 여러 방법을 모두 취합하는 방법을 사용하기도 한다. 글로벌 기업은 M&A 등을 통해 관련 솔루션을 하나씩 모아 통합하는 방식을 선호하며, KT는 아예 각 방법별 대표 솔루션과 힘을 모아 통합 메일 보안 솔루션을 제공한다.
물론 이중 어느 방법이 좋은지는 이견이 있을 수 있다. 전문성 있는 솔루션을 각각 구현해 사용할 것인지, 아니면 통합된 기능을 제공하는 솔루션을 사용할 것인지는 사용자가 판단할 문제다.
이메일 공격의 핵심 ‘BEC’
이메일이 비즈니스에서 없어 설 안될 중요한 통신 수단으로 자리 잡았지만, 특히 코로나 펜데믹으로 인해 이러한 정황이 더 굳어졌다. 임직원들이 모두 집에서 일하면서 이메일을 활용한 업무가 증가했기 때문이다. 특히 과거 대면 회의가 아닌 화상회의를 진행하면서 시간이나 장소의 문제가 해결되자 회의에 참여하는 인원이 급속도로 증가했는데, 이들에게 회의에 필요한 주요 문서 등이 이메일로 전송되면서 메일이 늘어난 것은 물론 보안 위협까지 늘어났다.
가장 심각한 것은 바로 BEC다. BEC는 기업 이메일 침해(Business Email Compromise)의 줄임말로 지금까지 약 500억 달러(한화 약 67조원, 클라우드플레어 ‘2023 피싱위협 보고서’)의 피해를 입힌 것으로 알려졌다.
참고로 해당 보고서에 따르면 악성 링크는 감지된 전체 위협의 35.6%를 차지하며, 신원을 도용한 위협(Identity Deception)이 14.2%를 차지했다. 약 10억건의 브랜드 사칭 시도가 있었으며, 이 과정에서 1,000여개의 조직이 피해를 입었다. 사칭의 대상이 된 가장 대표적인 브랜드는 마이크로소프트였고, 구글과 세일즈포스, 노션 등의 기업도 많이 사칭했다. 가장 주목할 점은 공격 이메일 중 위협적인 메시지의 89%는 이메일 보안인증 기술인 SPF(Sender Policy Framework, 표준 이메일 인증 방법), DKIM(Domain Keys Identified Mail, 도메인 키 인증 메일) 또는 DMARC(Domain-based Message Authentication, Reporting and Conformance, 도메인 기반 메일 인증) 인증 확인을 통과한 것으로 나타났다.
그렇다면 BEC는 정확하게 무엇을 말할까? BEC는 광범위한 표현으로 ‘피해자가 평소 신뢰하고 있던 이메일로부터 들어오는 사기 공격’을 의미한다. FBI가 BEC라는 용어를 자주 사용하면서 이 용어가 자리를 잡았는데, 이메일 계정 침해(Email Account Compromise, EAC)와 같은, 보다 구체적인 용어도 존재한다.
즉, 전통적 의미에서 BEC란, ‘이 이메일은 당신이 알고 있고 신뢰하는 사람이나 조직에게서 온 것’이라고 수신자를 속이는 여러 가지 방법들을 총망라하는 말이다. 여기까지 속이는 데 성공하면 피해자에게 어떤 요구라도 할 수 있게 된다. BEC 공격에서 가장 중요한 건 ‘당신이 아는 곳에서 온 메일이다. 그러므로 당신이 신뢰하고 있다’라는 걸 어떻게든 주입한다는 것이다. 피해자가 순진할수록 공격 성공률이 높아진다.
BEC 공격이 진짜처럼 보이는 곳에서부터 들어오는 것이라면 EAC는 진짜 피해자가 신뢰하는 곳에서부터 들어오는 사기 공격이다. 즉, 공격자들이 다양한 방법을 동원에 실제로 메일 계정을 침해한 후, 그 메일에서부터 사기 공작을 펼친다는 것이다. 공격자들이 비밀번호 살포, 피싱, 멀웨어 심기 등 각종 테크닉을 동원해 정상적인 메일함에 도달하는 것이 키포인트다. EAC가 특히 위험한 이유는 공격자가 실제 건물(혹은 인프라) 내에 들어와 있는 것이기 때문이다. BEC의 경우는 공격자가 아직 외부에 있다. 순진한 내부자가 밖에 있는 자의 눈속임에 속아 넘어가는 것이 BEC다. 또한 EAC처럼 계정 침해가 이뤄진 다음에는 DMARC와 같은 이메일 보안 메커니즘이 작동하지 않게 된다.
프루프포인트 코리아 이석호 대표는 “BEC 공격에서 이메일 주소를 도용하는 방법은 매우 쉽다”면서, “공격자가 공격을 위한 이메일 서버를 만들거나, 이미 해킹한 서버를 사용하거나, 아마존 이메일 서비스를 이용하거나 스푸핑 웹사이트를 이용하면 쉽게 도용이 가능하다”고 말한다. “예를 들어, 스푸핑 웹사이트를 이용하면 지금 당장 누구나 이메일 주소를 똑같이 도용할 수 있습니다.”
최신 이메일 공격 사건들
그렇다면 현재 이메일 공격은 어떻게 들어올까? 최근 각종 데이터를 시각화(표와 그래프 등) 해주는 ‘구글 루커스튜디오’가 해킹됐는데, 이메일 공격자들이 이를 악용하고 있다는 소식이 보도됐다. 이들은 마치 전문가처럼 다양한 형태의 정보를 표와 그래프로 시각화해서 메일을 보내며 피해자들을 속였는데, ‘더 많은 정보를 원하면 그래프를 눌러라’와 같은 문구로 악성 링크를 클릭하도록 한 것이다. 심지어 공격자들은 발신자 정책 프레임워크(SPF)의 이메일 보안 솔루션을 속이기 위해 인증된 IP 주소와 서버를 사칭하는 등의 방법을 사용해 피해가 큰 것으로 알려졌다.
가상회의에서 CEO를 사칭하는 공격도 있었다. FBI에 따르면 CEO를 사칭해 직원들에게 돈을 송금하라고 요구했던 BEC 공격자들이 최근 가상회의에까지 침투하고 있는 정황이 있었다. 이 공격은 CEO의 이메일을 침해한 뒤에 구사할 수 있는 전략으로, 공격자들은 영상화면 대신 CEO의 사진을 사용하고 음소거 상태로 회의를 진행한다고 한다. BEC 공격자들은 꾸준히 전략을 바꾸는 것으로 유명하다. 이메일을 기반으로 한 소셜 엔지니어링 공격을 하다가 딥페이크라는 최신 기술마저 활용하기도 했었다. 최근 코로나로 인해 재택 근무자가 늘어나자 가상회의에까지 손을 뻗친 것으로 보인다.
2023년 초에는 공공 및 협회 등의 기관과 국회의원, 기자를 사칭한 BEC 공격이 대거 발생했다. 에스에스앤씨에 따르면 북한 해킹조직이 기자와 국회의원실을 사칭해 보낸 ‘동아시아연구원 사례비 지급 서식’ 메일을 열면 메일에서 요구하는 정보를 입력하거나 첨부된 워드 파일을 열람할 경우 개인정보 및 PC 내 파일과 이메일 내용을 탈취하거나 랜섬웨어로 동작하고 다른 피해자를 공격하는데 경유지로 활용되는 사례가 있었다.
2022년 5월에는 국민의힘 태영호 의원실을 사칭한 북한의 이메일 공격이 발견됐다. 이들은 북한 관련 정부 주요 인사와 전문가를 겨냥한 정보 탈취와 그들의 일거수일투족을 감시하려는 목적으로 공격을 시도했으며, 특히 ‘사례비를 지급하겠다’며 이메일 수신자가 첨부파일을 열도록 교묘하게 공격했다.
이메일 보안 솔루션의 등장
이렇게 최신 이메일 공격들은 개인은 물론 기업들도 쉽게 막기 어려운 수준이다. 그렇다면 이러한 이메일 공격을 방어할 이메일 보안 솔루션은 어떻게 진화되고 있을까? 스팸을 최초의 악성 이메일로 보는 만큼, 최초의 이메일 보안 솔루션도 안티스팸 제품이 차지하고 있다. 안랩에 따르면 최초의 안티스팸 제품은 1997년 ‘Goo Software’ 사가 개발한 ‘Spamblaster’다. 애플 출신의 Douglas Turner와 Michael Amorose가 개발한 Spamblaster는 클라이언트 기반의 안티스팸 제품으로 블랙리스트(Black List) 기반의 차단 기능을 갖고 있다.
우리나라에서는 지란지교시큐리티가 2002년 국내 최초로 ‘스팸스나이퍼’를 출시한 것으로 알려졌다. 당시 2002년 월드컵을 전후로 수많은 개발이 이뤄졌기에 이를 노린 스팸메일이 홍수를 이뤘다. 특히 대량으로 배포되는 광고성 스팸메일은 기업과 개인을 막론하고 가장 큰 사회적 이슈가 됐으며, 기업은 스팸메일이 업무에 막대한 지장을 초래하면서 스팸메일 차단과 방지에 대한 니즈가 증가했다. 스팸메일 차단으로 시작한 국내 메일 보안 시장은 이후 지능형 지속위협(APT), 랜섬웨어, 정보유출 등 보안 위협의 진화와 함께 발전해왔다.
최근에는 스팸 차단 기능을 포함해 개인정보 스캐닝, 게이트웨이, DRM, DLP, 랜섬웨어, 백신, 샌드박스, CDR, APT, MDM, 이미지 스캐닝, 첨부파일 검사 등의 기능이 이메일 보안 솔루션으로 소개되고 있으며, 최근에는 이메일 모의훈련 솔루션도 주목받고 있다. 특히 정보통신망법, 정보통신기반시설 보호지침, 전자금융감독규정 등에서 공공기관과 기업, 금융기관 등을 대상으로 주기적인 침해사고 모의훈련을 의무화하면서 이메일 모의훈련 솔루션에 대한 관심이 급증했다.
그렇다면 현재 이메일 보안 솔루션의 최신 트렌드는 어떨까? 우선 ‘클라우드’를 들 수 있다. 인프라 환경이 변화하고 있는 것이다. 기업의 디지털 전환이 본격화되면서 보안 서비스도 클라우드로 이동 중이다.
특히 클라우드 서비스의 확장성, 경제적 비용, 운영 편의성 등의 이유로 클라우드 서비스로의 전환이 이어지고 있다. 다만 클라우드 서비스를 이용할 경우 기업의 이메일이 클라우드에 쌓이는 것에 대한 거부감은 아직 남아있는 편이다.
‘통합’도 주요 이슈다. 그동안 이메일 보안 솔루션은 스팸메일 차단, 발신 메일 확인, APT 대응, CDR 등 분야별로 특화된 솔루션을 고객이 하나하나씩 사용해야 했다. 때문에 글로벌기업은 여러 솔루션 기업을 M&A 등을 통해 통합하고 있고, 일부 기업들은 자사 제품에 또 다른 기능을 하나씩 추가하면서 점차 기능을 확대하고 있다. 심지어 KT는 각 분야별 대표 솔루션을 자사 서비스에 합쳐 ‘Secure 지능형위협메일차단’이란 이름의 솔루션을 출시했다.
보안업계 최대의 화두인 ‘제로트러스트’도 이메일 보안 솔루션의 고민거리가 됐다. 사실 대부분의 이메일 공격이 ‘신뢰’를 바탕으로 이뤄지기 때문이다. 피싱부터 스캠, BEC 등 공격 메일은 사회공학적 기법을 활용해 공격 대상자를 분석하며, 아예 공격 대상자와 신뢰 관계에 있는 다른 사람의 메일을 해킹해 공격에 사용(EAC)하기도 한다.
‘인공지능’도 이메일 보안 솔루션에 적용되고 있다. AI 및 머신러닝 기술을 활용한 고급 위협 탐지 기능을 적용하는 기업들이 늘고 있으며, 반대로 공격자들도 인공지능을 악용해 보다 완벽한 사회공학적 공격을 펼치고 있다.
‘이메일 공격 모의훈련’도 고도화되고 있다. 단순히 훈련 메일을 열람하고 링크나 첨부파일을 열어보는 것을 넘어 랜섬웨어 감염 시뮬레이션, 개인을 특정한 메일 콘텐츠, 시나리오 기반 복합 훈련, 개인정보 입력 유도, 위반자 대상 교육 연계훈련 등 좀 더 정교하고 고도화된 방식으로 발전하고 있다.
국내외 대표 이메일 보안 솔루션 6종으로 살펴본 이메일 보안 기능들
이러한 이메일 보안 트렌드는 실제 제품에 어떻게 반영되고 있을까? 국내에서 서비스 중인 대표 이메일 보안 솔루션의 기능을 통해 실제 서비스되는 이메일 보안 기술을 살펴보자.
①소프트캠프 ‘실덱스 메일(SHIELDEX Mail)’
소프트캠프의 ‘실덱스 메일(SHIELDEX Mail)’은 사용자에게 안전한 메일 사용 환경을 제공하는 이메일 격리 솔루션이다. 가상환경에서 이메일을 실행하고 안전한 형식으로 변환해 이메일 내용을 제공함으로써, 수신자가 안심하고 이메일 커뮤니케이션을 할 수 있도록 돕는다. 아울러 악성코드 차단, 최신 보안 동향 대응, 사용자 편의성과 효율성 증대, 종합보안관리 등을 제공한다. 실덱스 메일은 문서 무해화(CDR) 기술을 적용해 이메일 본문과 첨부파일을 무해화하고 콘텐츠만 재구성해 제공한다. 공격에 사용될 요소를 원천 제거했기 때문에 위협이 사용자에게 도달하지 못한다. 만일 확실하게 신뢰할 수 있는 사람으로부터 발송된 문서로 위험이 없다고 판단됐고, 업무상 원본 문서가 필요한 경우, 필요한 결제 과정을 거친 후 원본을 다운로드할 수도 있다.
②시스코 ‘Secure Email’
시스코의 ‘Secure Email’은 크게 네 가지 기능을 통해 직원과 조직을 보호하면서 보안을 강화한다. 첫 번째로 첨단 위협 분석 활용이다. 시스코는 위협 인텔리전스 그룹 ‘Talos’를 통해 전 세계에서 발생하는 악성 행위들을 즉각 대응하고 업데이트할 수 있도록 돕는다. 또한 레거시 환경과 더불어 최근 Cloud 기반의 이메일 보안 솔루션도 제공하고 있고, 특히 M365를 사용하는 고객에게는 간단한 연동을 통해 악성 메일을 제거할 수 있도록 도와주고 있다. 단순히 알려진 공격에 대해서만 차단하는 것이 아니라 행동분석 혹은 머신러닝으로 지능화된 피싱으로부터 보호할 수 있고 무심코 클릭하는 직원들이 더 스마트하고 안전하게 일할 수 있도록 사용자에게 모의훈련을 제공하고 있다.
③에스에스앤씨 ‘Perception Point’
사용자의 메일 수신함에 메일이 들어가기 전, 퍼셉션포인트의 7개 탐지 엔진이 동시 가동되어 해당되는 악성 공격 유형을 판단하고 방어한다. 독자적인 HAP(Hardware-Assisted Platform) 기술로 수신한 이메일 내의 각종 첨부파일을 바로 VM에 띄워 그 파일만의 실행 흐름을 스냅샷으로 뜨고 추적 파일을 생성한다. 이 추적 파일은 메모리 이벤트와 함께 탐지 알고리즘에 기록되어 악성 여부를 판단한다. 샌드박싱의 스캔 지연시간, 샌드박스를 우회하는 최근의 공격 등 기존 샌드박싱 기술이 가진 한계점을 완벽하게 보완하는 샌드박스킬러 기술이다. 또한 객체 감지 기술을 활용한 퍼셉션포인트만의 이미지 인식 모델로 0.03초 이미지 스캐닝을 통한 이중 피싱 공격을 탐지하며, 최근 많이 발생하고 있는 QR코드를 통한 피싱 공격인 퀴싱(Quishing) 공격 역시 빠르게 탐지한다.
④이테크시스템 ‘Symantec Messaging Gateway’
Symantec Messaging Gateway(SMG)는 이메일 보안을 강화하는 솔루션으로, 강력한 스팸 필터링, 악성코드 탐지, 이메일 암호화, DMARC/SPF/DKIM 지원 등 핵심 기술을 통합하고 있다. SMG에 적용된 최신 기술 트렌드로는 AI 및 머신러닝 활용, 고급 위협 대응, 클라우드 기반 보안, 사용자 교육 강화, 안전한 모바일 보안 등이 도입되어 있다. 이를 통해 SMG는 동적인 보안 환경에서 사용자에게 안전한 이메일 송수신을 제공한다.
⑤지란지교시큐리티 ‘스팸스나이퍼(Spam Sniper)’
스팸스나이퍼는 스팸·악성코드 메일 및 메일서버 공격을 차단할 뿐 아니라 내부 발송 메일에 대한 모니터링을 통해 기업의 중요 정보유출을 차단하는 국내 대표 이메일 통합 보안 솔루션이다. 스팸스나이퍼는 스팸·BEC·피싱뿐만 아니라 APT를 비롯한 알려지지 않은 위협 대응, 발신 메일 보안까지 하나의 솔루션으로 통합 제공한다. 더불어, 국내 최고 수준의 전문 기술지원 전담 조직이 고객지원 서비스를 제공한다. 유선/원격 고객지원 전담부서를 운영하며 실시간 원격지원뿐만 아니라 장애 발생 시 서비스 다운타임을 최소화하는 신속한 장애처리를 지원하고 있다.
⑥KT ‘Secure 지능형위협메일차단’
KT의 Secure 지능형위협메일차단은 지능화·고도화된 신종 위협 메일로부터 기업 자산을 안전하게 지킬 수 있는 메일 보안 솔루션이다. KT Bigdata 기반의 AI 분석기술을 적용, 지능화·고도화된 신·변종 위협 메일로부터 기업 자산을 안전하게 지킬 수 있으며, 별도 장비구축 없이 이용할 수 있는 구독형이라는 장점도 있다. 구독형 서비스이기 때문에 고객의 니즈에 따라 다양한 서비스 이용이 가능한 것은 물론이다. 트래픽 우회 방식으로 별도의 인프라 구축이 필요 없으며, 국내에 특화된 DB 기반 AI 모델을 적용해 글로벌 밴더사 대비 최대 22% 더 높은 탐지율을 보여준다. 또한 악성파일을 이미지 변환 후 탐지하는 방식으로 기존 샌드박스 대비 변종 악성코드 탐지속도보다 180배 빠르며, 패턴 기반 솔루션의 피싱 URL 탐지 한계를 AI 기술로 극복한 것도 장점이다. 아울러 멀티 샌드박스 기반 동적분석과 종합 판단으로 정탐률도 행상시켰다.
기관·기업의 보안담당자에게 물어본 이메일 보안 솔루션 인식조사 결과
현장에서는 이메일 보안 솔루션 통합과 운영 효율성 원한다
앞서 이메일 보안 위협의 등장부터 최근 공격 사례, 이에 대응하는 이메일 보안 솔루션들의 기술력과 대표 제품에 대해 알아봤다. 그렇다면 실제 이메일 보안 솔루션을 사용하는 고객들의 생각은 어떨까? <보안뉴스>는 2023년 12월 14일부터 20일까지 일주일 동안 약 10만명의 보안관계자에게 ‘이메일 보안 솔루션 인식 및 선호도 설문조사’를 진행했다. 설문조사에는 공공(19.4%)과 민간분야(80.6%) 보안관계자 1,550명이 응답했다.
▲기관·기업의 보안 담당자에게 물어본 이메일 보안 솔루션 설문조사 결과[자료=보안뉴스]]
설문 응답자의 41.3%가 이메일 보안 솔루션 사용안해
이번 설문에 참여한 공공과 민간분야 보안관계자들은 이메일 보안 솔루션 사용 여부에 대해 58.7%가 사용하고 있다를, 41.3%가 사용하지 않는다를 선택했다. 이어 현재 사용하고 있는 이메일 보안 방법에 관해 묻자, 스팸메일 차단 솔루션(45.2%)과 보안 담당자 및 IT 부서에서 메일 시스템 관리(44.5%)를 선택했다. 아울러 악성메일 훈련 및 교육(30.3%)과 이메일 보안 전용 솔루션(25.8%)도 사용한다고 답했다(중복응답).
주목할 것은 24.5%의 설문 참여자가 ‘특별히 관리하지 않음’ 항목을 선택함으로써 앞서 이메일 보안 솔루션을 사용하지 않는다(41.3%)는 것과 같이 상당수의 기업이 이메일 보안 관리를 하지 않는 것으로 확인됐다. 참고로 이메일 보안 솔루션을 사용하지 않는 기관과 기업들은 비용 부담(46.5%)과 인지 부족(20.0%), 훈련 콘텐츠 부족(11.6%)과 운용 불편(11.0%) 효용성 부족(9.7%) 등을 그 이유로 들었다.
그렇다면 이들은 이메일 공격으로부터 자유로웠을까? 이메일 공격으로 피해를 입은적이 있는가에 대한 질문에 62.6%가 ‘없다’고 답했지만 있다고 답한 사람도 35.5%에 달해 공공기관과 민간기업을 대상으로 한 이메일 보안위협이 심각한 상황이라는 것을 알 수 있었다. 이에 어떤 피해를 입었나를 묻자 랜섬웨어 감염(38.7%)과 임직원 개인정보 탈취(21.3%), 전 직원 메일로 스팸메일 발송(12.9%), 주요 데이터 탈취(12.9%), 협박 메일(12.9%) 등의 피해사례를 공유했다.
그럼, 이메일 보안 솔루션을 사용하고 있는 기관과 기업은 어떤 종류의 솔루션을 사용하고 있을까? 설문에 응답한 사람들은 스팸차단(47.1%), 백신(37.4%), 모의훈련(22.6%), DLP(21.3%), APT(17.4%), 안티 랜섬웨어(16.8%), DRM(13.5%), 첨부파일 검사(11.6%), 개인정보 스캐닝(11.0%), 게이트웨이(8.4%), 샌드박스(8.4%), CDR(7.1%), MDM(3.9%), 이미지 스캐닝(3.2%) 등을 사용한다(중복응답)고 답했다.
▲기관·기업의 보안 담당자에게 물어본 이메일 보안 솔루션 설문조사 결과[자료=보안뉴스]
이메일 보안을 강화하기 위해 이메일 보안 솔루션 외에 또 다른 노력을 기울이는 기업도 많았다. 이들은 출처가 불분명한 이메일 미수신(34.8%)을 비롯해 악성메일 훈련 및 교육(28.4%), 첨부파일 및 링크 실행 지양(18.7%), 통합접근제어 솔루션(5.2%), 실시간 모니터링 강화(4.5%), 인증 솔루션(2.0%), 보안 인력 및 예산 강화(1.3%) 등 많은 노력을 기울이고 있다.
마지막으로 현재 사용 중인 이메일 보안 솔루션의 불편한 점에 대해 묻자(중복응답), 악성 이메일 탐지율이 떨어진다(27.6%)는 답변이 가장 많았고, 이어 스팸·APT 차단·수발신 메일 보안 등 개별 솔루션 도입 운영 및 비용 부담(24.8%)이라는 답변이 뒤를 이었다. 같은 맥락의 관리 포인트 증가 및 복잡한 운영(17.8%)과 성능과 호환성 문제로 불편함(15.4%)을 선택한 사람까지 생각하면 많은 기관과 기업의 보안 담당자들이 통합과 운영 효율성의 문제를 지적했단 것을 알 수 있다.
제로트러스트 관점 이메일 보안 체계 정비 시급
한편, 보안전문가들은 이메일 보안에 대한 사용자들의 인식 변화가 시급하다고 입을 모았다. 매년 사이버 위협은 증가하고 있고, 그 공격의 통로로 이메일이 사용되고 있다는 것이 현실인 지금, 더욱 이메일 보안을 강화하기 위해 노력해야 한다는 것이다. 실제로 2021년 한 해 동안 1억개 이상의 이메일 멀웨어 샘플이 탐지됐다는 결과도 이를 뒷받침한다. 보다 좋은 솔루션을 사용하는 것도 필요하지만, 보안 담당자는 물론 경영진까지 이메일 보안, 나아가 보안 자체를 ‘필요한 것’이 아닌 ‘해야 하는 것’으로 인식을 전환해야 한다는 것이 보안 전문가들의 생각이다. 아울러 현재 보안분야를 관통하고 있는 ‘제로트러스트’를 기억하고, 안전한 것은 없다는 대전제 하에 이메일 보안 체계를 점검하고 정비하는 것이 시급하다는 사실을 기억해야 할 것이다.
INTERVIEW. 한국인터넷진흥원 임채태 침해대응단 단장
악성메일은 발신자 속이기부터...메일 인증기술 보급 시급하다
▲한국인터넷진흥원 임채태 침해대응단 단장[사진=한국인터넷진흥원]
한국인터넷진흥원(원장 이원태, 이하 KISA)은 기업과 개인 등 민간분야의 보안을 지원하는 기관으로, 특히 침해대응단을 중심으로 민간분야의 보안위협 분석 및 지원을 하고 있다. 침해대응단은 KISA 5본부 중 사이버침해대응본부에 소속되어 있으며, 국내 웹사이트와 주요 서비스 등에 대하여 해킹 등 이상징후를 1년 365일 24시간 모니터링하고 인터넷상에서 발생하는 사이버공격 등 위협정보를 선제적으로 탐지하여 신속하게 차단·조치하는 등 대응 역할을 수행한다.
특히, 이러한 일련의 탐지·모니터링 과정 중에 수집된 다양한 위협정보들은 사이버위협정보공유시스템(C-TAS)을 통해 공유·전파해, 다수의 기관 및 기업에서 사이버 보안 활동에 활용될 수 있도록 하고, 대량으로 수집된 위협정보를 빅데이터화해 산·학·연에서 보안기술 연구 및 보안제품 개발 등에 활용될 수 있도록 제공하는 등 환류 활동도 추진하고 있다.
이에 보안뉴스에서는 임채태 침해대응단 단장에게 최근 민간분에서 발생한 이메일 보안 위협현황과 대응방안에 대해 짚어보는 시간을 마련했다.
Q. 기업, 기관에서 발생하는 주요 이메일 보안 위협은 어떤 게 있나?
이메일은 누구나 쉽게 메시지나 파일 등을 전송할 수 있는 보편적인 도구로서 기업이나 기관에서 업무 전반에 거쳐 이메일을 사용하고 있다고 해도 과언이 아닐 것이다. 그로 인해 이메일이라는 채널은 보안 위협이 쉽고 자유롭게 드나들 수 있는 통로가 되고 있으며, 기업으로 유입되는 주요 이메일 보안위협은 기업의 자산 탈취를 목적으로 한 스피어피싱 공격과, 업무망 침투를 통한 다양한 공격을 목적으로 하는 악성코드 감염형 공격으로 크게 구분할 수 있다.
먼저 스피어피싱과 같은 사회공학적 기법으로 사용되는 이메일 위협은 기존 거래처 등을 사칭해 금전적 취득을 목적으로 관리자의 계정정보 등 민감정보 등을 빼내는 형태 또는 세금계산서 위조를 통한 거래대금 가로채기 형태가 있다.
악성코드 감염형 공격에는 전자 거래서, 입사지원서 등 기업이 상시로 수신하는 문서 유형에 악성코드를 삽입해 기업 전산망에 침투하고, 정보시스템으로부터 정보자산을 탈취해 가거나 유출해 금전을 요구하는 형태와 암호화를 통한 업무 마비를 일으켜 협박하는 랜섬웨어 유형이 이에 해당한다.
Q. 민간분야에서 발생하는 보안위협은 어떤 것들이 있으며, 그중 메일을 통해 벌어지는 사건들은 얼마나 되나?
침해대응단에서는 기업들의 정보시스템 대상으로 침해사고가 발생한 경우, 신고와 접수를 받고 있다. 신고 내용을 보면, 스피어피싱 메일을 통해 악성코드에 감염된 사실을 기업이 직접 인지하고 신고한 경우도 있으며, 기술지원을 위해 피해 원인 조사 시 메일을 통해 악성코드에 감염되어 피해가 발생한 경우도 있다.
KISA는 이러한 민간분야에서의 침해사고를 줄이기 위해 사이버 위기대응 모의훈련을 하고 있다. 특히 2022년 훈련결과를 보면, 참여한 281개 사 임직원을 대상으로 내부 보안담당자나 거래업체에서 발송한 것처럼 위장한 해킹 메일을 발송해 메일 열람과 첨부파일 클릭을 통한 악성코드 감염을 유도하는 방식으로 진행했는데, 해킹 메일 열람률은 27.3%, 악성코드 감염률은 9.9% 결과를 보였다. 이는 해당 훈련에 자발적으로 참여해 상대적으로 보안 의식이 높은 기업 및 직원들도 교묘해진 이메일 보안위협에 당할 수 있다는 사례를 간접적으로 보여주고 있다.
Q. 기업들이 조심해야 할 이메일 보안위협은 어떤 것이 있나?
많은 기관과 기업들이 이러한 이메일 위협에 대해 인지하고 대내외 사이버위협 대응 모의훈련에 참여하는 등 이메일 훈련을 하고 있다. 이러한 이메일 훈련을 통해 실제로 악성 메일로 인한 침해사고 발생률을 낮추는 데 큰 영향을 주고 있는 것은 사실이다.
다만, 기업 규모가 상대적으로 작고 독립적인 메일서버를 두고 운영하는 경우에 교묘해지고 지능화되는 스피어피싱 형태나, 메일 보안 체계를 우회하는 악성코드 공격에 취약해질 수밖에 없다.
Q. 그렇다면 기업들은 어떻게 보안을 강화해야 할까?
시장에 나와 있는 이메일 보안위협 솔루션은 기존에 탐지되었던, 알려진 스피어피싱 형태, 악성코드를 탐지하는 데에는 충분히 그 기능을 발휘하고 있다고 생각한다. 즉, 발견된 악성 이메일 유형에 대해서는 재발 방지 및 피해확산 최소화 역할을 충분히 하고 있다.
다만, 공격자들이 이를 우회하기 위해 특징을 숨기는 형태로 진화하고 있어, 이메일 보안 솔루션들이 정적인 탐지·차단 형태에서 행위분석 기반 탐지·차단 형태로 더욱 고도화할 필요가
있다고 생각하며, 최근 그러한 솔루션이 등장하여 점차 확산되고 있는 것으로 알고 있다.
Q. 최근 사회공학적 기법으로 피해를 본 기업이나 기관이 늘고 있다. 이에 대응할 방법은 어떤 것이 있을까?
공격자는 악의적 목적을 지닌 메일을 피해자에게 발송할 때 자신의 신분을 속이게 되므로 적합한 메일서버를 통해 발송되었는지를 검증하는 메일 인증기술의 확대·보급이 가장 중요할 것이다. 규모가 있는 기업과 기관에서는 대부분 적용되어 있으나, 여전히 많은 기업이 부인방지 기술(SPF 등)을 적용하고 있지 않아, 수신기관에서 신분을 속인 메일을 일차적으로 차단하지 않는 경우가 있는 것이 여전히 문제라고 본다.
개인 사용자 측면에서는 혹시나 모를 스피어피싱 메일, 악성코드 내포 해킹 메일 등에 대비해 의심메일 및 첨부파일 열람에 주의를 기울이는 게 가장 중요하다고 할 수 있다. 때문에 꼭 필요한 메일은 번거롭더라도 메일 본문에 있는 링크를 클릭하지 않고 검색엔진을 통해 직접 사이트에 접속하여 URL을 확인해 본다든지, 첨부파일을 안티바이러스 백신을 통해 점검한 후에 실행할 수 있도록 해야 할 것이다.
Q. 그렇다면 KISA는 이메일 보안 위협 예방을 위해 어떤 노력을 기울이고 있나?
이메일 보안위협을 선제적으로 탐지·대응하기 위해 실제 공격자가 사용한 악성 첨부파일의 상세 분석으로 특징을 추출해 메일 보안솔루션의 성능이 향상될 수 있도록 공유·전파하고 있다.
Q. 이메일 보안 위협 예방을 위한 침해대응단의 계획은?
이메일 보안위협은 궁극적으로 기업·기관의 정보시스템을 해킹하고 정보자산의 유출·훼손, 서비스의 장애·마비 등 심각한 피해를 일으키기 위한 해킹공격의 진입점으로 보고 있어, 단순히 악성 이메일 유입에 대한 대응에 국한하지 않고 메일을 통한 정보시스템 침투, 악성코드 감염, 이를 통해 달성하려는 목적 등을 사전에 탐지하고 효과적인 대응방안을 마련하려고 한다.
해킹공격은 과거와 달리 이메일 외 공급망 공격, 제품 취약점 등 다양한 공격표면을 통해 시도되는 등 더 전문적이고 지능화되고 있어 다채널로부터 공격 위협을 선제 탐지하고 이러한 탐지정보를 연관 분석해 공격자의 의도와 전략을 사전에 파악해 대응하는 체계로 전환할 예정이다.
=========================================================================
[이메일 보안 대표 솔루션 집중분석-1]
이메일 내 모든 콘텐츠, 심층 분석하여 독자적인 지능형 위협 대응 기술
최신 공격도 99.95% 차단, 고급 이메일 보안 솔루션 퍼셉션포인트
최근 유명 브랜드를 비롯해 협회 및 공공기관, 국회의원, 기자, 심지어 개인이 주고받던 지인의 메일 주소를 사칭한 BEC 공격이 자주 발생하고 있다. 공격자는 이메일을 통해 피해자를 속여 기업정보를 노출하거나, 시스템 접근 경로 노출, 돈을 탈취해 피해를 입힌다. 하지만 이러한 BEC 공격은 사이버 표적 공격이라 개인의 주의만으로는 탐지가 어렵다. 이러한 점에 주목한 에스에스앤씨 한은혜 대표는 독자적인 지능형 위협 대응 기술을 통해 99.95% 공격을 탐지·차단 솔루션 퍼셉션포인트를 출시해 본격적으로 국내 시장 진출에 나섰다.
▲에스에스앤씨 퍼셉션포인트[자료=에스에스앤씨]
어떤 공격유형도 막아내는 7개의 탐지 레이어
퍼셉션포인트는 기존 샌드박스, CDR, Anti-Spam 등의 기술을 대체하는 차세대 위협탐지 플랫폼이다. 지능형 지속 공격, 피싱, 악성 프로그램, BEC 공격을 빠르게 탐지하는 게 특징이다. 탐지 엔진은 스팸 필터, 리커시브 언팩커, 지능형 위협 인텔리전스, BEC & ATO(계정탈취공격), Anti-Phishing, HAPTM의 7개 탐지 레이어로 구성되어 있으며, 사용자가 이메일을 수신하면 7개의 탐지 엔진이 동시에 가동된다. 그중 악성 유형 엔진에서 탐지된 보안 위협은 상세한 내용의 리포트로 전달된다. 탐지된 데이터는 2시간 안에 전 세계 탐지 엔진에 업데이트되며, 업데이트된 데이터는 지속적으로 축적되고 최적화된 환경으로 개선돼 강력한 보안 인텔리전스를 구축한다. 특히, 퍼셉션포인트만의 독자적인 특허 기술인 HAPTM은 샌드박스를 우회하는 최신 악성코드의 공격을 빠르게 탐지한다. 콘텐츠 내 압축파일 속 비밀번호로 보호된 첨부파일 스캔, 이미지 검사, 암호화된 트래픽 해독 등 기존 샌드박스의 한계점을 탈피한 독보적인 기술로 탐지 효과를 나타내고 있다.
기업의 보안 관련 대응 리소스를 75% 단축할 수 있는 대체 솔루션
에스에스앤씨는 퍼셉션포인트를 통해 기업에서 이메일 보안에 투입되는 대응 리소스를 75% 단축할 수 있다고 강조했다. 사이버보안 전문가가 퍼셉션포인트 자체 SOC 센터 내에 24시간 365일 상주해 고급 자동 학습 알고리즘을 기반으로 과탐 및 오탐지 인스턴스에 대한 알림과 분석, 지속적인 모니터링을 통해 대응하고 있다. 또한, 홈페이지 문의 및 핫라인 채팅을 통해 한국어로 상시 대응이 가능하다. 기업에서 고민하고 있는 보안 관련 대응 리소스 절감에 대한 방안 뿐만 아니라 이메일을 통한 최신 악성 공격에도 빠르게 대응할 수 있도록 서비스를 제공하고 있다.
[이메일 보안 대표 솔루션 집중분석-2]
메일 위협 탐지, DLP와의 연동 통해 개인정보 & 기밀정보 유출 위협 차단!
보이지 않는 위협 차단, 이메일 보안 솔루션 Symantec Messaging Gateway
Symantec Messaging Gateway는 포괄적이고 효과적인 이메일 보안 솔루션으로, 신속한 위협 대응을 위한 최신 기술을 채택하고 있다. 강력한 데이터 손실 방지(DLP) 기능을 통해 개인정보와 기밀 정보의 유출을 방지하며, 통합된 보안 솔루션으로 다양한 보안 요소를 효율적으로 관리할 수 있다.
또한, 클라우드 호환성이 뛰어나 기업의 IT 환경이 클라우드로 전환하더라도 안전하게 이메일 통신을 지원할 수 있다. 기업에서는 사용자 정책 설정의 유연성을 통해 각종 보안 요구에 맞춘 적용이 가능하다.
최적화된 성능은 대규모 기업 환경에서도 안정적인 운영을 보장하며, 직관적이고 사용자 친화적인 인터페이스를 통해 사용자가 보안 정책을 이해하고 쉽게 준수할 수 있도록 지원한다. 이를 통해 Symantec Messaging Gateway는 기업의 이메일 커뮤니케이션을 종합적으로 보호하면서도 다음과 같이 사용자에게 최상의 경험을 제공한다.
▲이메일을 통한 외부 위협과 스팸 및 대량메일 차단을 위한 다단계 보호[자료=시만텍]
최신 위협 탐지
첫째, 최신 위협 탐지다. Symantec Messaging Gateway는 실시간으로 업데이트되는 위협 인텔리전스를 활용하여 여러 가지 보안 위협에 대응한다. 이는 신속한 대응과 정확한 탐지를 가능케 하며, 기업은 항상 최신 보안 기술을 활용하여 고급 위협으로부터 안전을 유지할 수 있다. 다양한 탐지 기술을 통해 악성코드, 스팸, 피싱 시도 등을 신속하게 식별하여 차단할 수 있다.
DLP와의 연동을 통한 정보유출 방지
둘째, DLP와의 연동을 통해 정보유출을 방지할 수 있다. Symantec Messaging Gateway는 DLP(데이터 손실 방지)와 연동해 이메일 트래픽을 실시간으로 감시하고, 정책에 따라 개인정보나 기밀 데이터와 관련된 민감한 데이터의 무단 이메일 전송을 방지 및 차단한다. 이를 통해 민감 정보 유출을 사전에 방지하고 규정 준수에 대한 신뢰를 증진 시킨다.
유연한 정책 설정
셋째, 유연한 정책 설정이다. 사용자가 기업의 특정 보안 요구에 맞게 정책을 유연하게 설정하고 관리할 수 있도록 하며, 사용자는 DLP 정책, 스팸 필터링 규칙, 악성코드 검사 방법 등을 조절해 기업의 특정 보안 요건에 맞게 솔루션을 최적화할 수 있다.
클라우드 호환성
넷째, 클라우드 호환성이다. Symantec Messaging Gateway는 온프라미스 환경 및 클라우드 환경에서도 최적의 상태로 작동하여 기업의 하이브리드 환경에서도 유연하게 대처할 수 있도록 지원한다. 이를 통해 기업의 클라우드로의 전환을 보다 안전하게 수행할 수 있도록 지원한다. 클라우드 호환성은 확정성을 높이고 유연성을 강화해, 기업의 인프라 구조가 변하더라도 지속적인 보안을 제공한다.
최적화된 성능
다섯째, 최적화된 성능이다. Symantec Messaging Gateway는 뛰어난 성능 최적화를 제공해 대규모 기업은 대용량의 이메일 트래픽을 효과적으로 처리가 가능하다. 안정적이고 효율적인 작동은 기업의 업무 효율성을 유지하면서도 안전한 이메일 통신을 보장한다. 고성능 하드웨어 및 최신 보안 기술을 통해 신속한 탐지 및 차단할 수 있다.
사용자 편의성
마지막으로 사용자 편의성이다. 직관적이고 사용자 친화적인 인터페이스를 제공하여 사용자가 손쉽게 보안 정책을 이해하고, 준수하는 데 큰 도움을 준다. 사용자 교육과 지원에 필요한 리소스를 최소화하며, 사용자가 보안 정책을 적극적으로 준수할 수 있도록 도와준다.
[이메일 보안 대표 솔루션 집중분석-3]
지능형 이메일 위협에 대응하는 이메일 제로트러스트 전략 제시
지란지교시큐리티, 이메일 통합 보안 솔루션 ‘스팸스나이퍼’
성공적인 사이버 공격의 91%는 이메일에서부터 시작된다. 이메일 보안이 다시금 화두가 되는 이유다. 지능화된 보안 위협에 대응하기 위해서는 공격의 시작점인 이메일 보안 대응력 강화가 기업의 최우선 보안 과제다. 국내 이메일 보안 대표 기업인 지란지교시큐리티 스팸스나이퍼는 자체 개발한 필터링 기술과 CDR을 결합한 이메일 제로트러스트 전략을 제시한다.
▲지란지교시큐리티 이메일 통합 보안 솔루션 스팸스나이퍼6 주요 특징[자료=지란지교시큐리티]
외부 이메일 공격 차단에서 발신 이메일 보안까지, 강력한 통합 보안 실현
스팸스나이퍼(SpamSniper)는 스팸, 악성코드 메일 및 메일 서버 공격 등 외부 위협 차단뿐만 아니라 발송 메일에 대한 모니터링을 통해 기업의 중요 정보 유출을 차단하는 이메일 통합 보안을 제공한다.
자체 개발한 메일 유사도 필터링 엔진을 탑재해 해시값을 통한 유사도 분석으로 실시간 변형되는 신종 악성 이메일 공격을 차단한다. 3단계 안전도 검사를 거쳐 메일 위험도를 종합적으로 분석, 잠재 위협에 대한 정보를 제공한다. 또한 발신 이메일에 대한 DLP 기능도 제공한다. 외부로 발송되는 메일에 대해 내부 승인 절차를 부여하고 주요 이메일 및 첨부파일은 암호화해 이메일을 통한 기업정보 유출을 방지한다.
스팸스나이퍼는 내부로 유입되는 이메일의 수신자, 발신자, 첨부파일, 링크 등 모든 요소를 검증하고, 안전한 메일만 유입시키는 제로트러스트 관점에서의 강력한 이메일 보안을 구현한다. 주요 기능으로는 △듀얼 백신 △이메일 유사도 필터링 △국내 이메일 보안 표준 인증(SPF, DKIM, DMARK 등) 적용 △수·발신자 인증 △이메일 안전도 검사 △첨부파일 콘텐츠 무해화(CDR) 등이 있다. 또한 직관적인 UI와 클라우드 릴레이 제공으로 사용자 편의성을 한층 높였다. 이메일 흐름에 대한 데이터 정보를 시각화한 대시보드를 제공한다. M365, Google Workspace 등 클라우드 이메일 서비스 연동을 지원해 별도의 API 설정 없이도 클라우드 환경에서 안전하고 편리한 이메일 보안 환경을 제공한다.
메일 수신·발신·저장·훈련까지 전방위적 메일 보안 라인업 보유
지란지교시큐리티는 전방위적으로 이메일 보안 라인업을 보유하고 있다. 풀 라인업을 바탕으로 기업의 보안 요구사항에 맞춰 최적화된 이메일 보안 서비스를 제공한다. 스팸스나이퍼를 주축으로 발신 메일에 대한 강력한 필터링과 승인·결재 프로세스를 제공하는 이메일 DLP 메일스크린, 이메일의 저장, 백업, 복구와 지능형 검색으로 이메일 관리의 효율성을 높여주는 이메일 아카이빙 제이볼트 플러스, 지속적인 모의훈련과 교육으로 임직원의 보안인식을 향상시키는 악성 이메일 모의훈련 머드픽스가 있다. 이와 더불어 KT AI와 결합한 클라우드 이메일 통합 보안 서비스 클라우드 메일게이트까지 갖추고 있다.
[이메일 보안 대표 솔루션 집중분석-4]
경계 사라진 업무 환경에서도 안전하게 이메일 보안 제로 트러스트로 구현
소프트캠프, SHIELDEX Mail & SHIELD Mail로 선제적인 이메일 보안 환경 제시
랜섬웨어, APT, 피싱 사이트 등 대다수의 보안 위협은 이메일로부터 시작된다. 메일을 열람하거나, 메일 내 첨부파일을 실행, 메일 내 URL을 클릭하는 순간 더이상 나와 내 동료는 안전하지 않다. 수신되는 메일 환경을 신뢰할 수 없다면, 발신되는 메일은 안전할까? 소프트캠프의 이메일 보안의 제로 트러스트 구현은 이런 고민에서 시작했다.
▲소프트캠프 SHIELDEX Mail & SHIELD Mail[자료=소프트캠프]
수신되는 이메일 보안의 제로 트러스트 구현 방법 SHIELDEX Mail
SHIELDEXMail(실덱스 메일)은 메일로 유입되는 악성 콘텐츠를 격리 및 차단하는 제로 트러스트 보안 메일 서비스다. 메일을 구성하는 본문과 첨부된 이미지, URL, 첨부파일까지 모든 구성 요소를 검사하고 무해화(CDR, Content Disarm & Reconstruction) 한다. 그 어떤 위협도 메일을 통해 반입되지 않고, 메일의 모든 것을 안전하게 사용할 수 있다. On-Premise 메일 서버 뿐만 아니라 Microsoft 365의 Outlook, Google의 Gmail 등 SaaS로 제공되는 메일 서비스와 연동해 SHIELDEXMail을 통해 제로 트러스트 보안을 실현할 수 있다.
발신되는 이메일 보안의 제로 트러스트 구현 방법 SHIELD Mail
SHIELD Mail(실드메일)은 외부로 발송되는 메일의 첨부파일을 제로 트러스트 조건부 적응적 정책(ZTCAP, Zero Trust Conditonal Adaptive Policy) 정책에 따라 수신자(같은 회사 도메인 등)에 맞게 자동 변환(암호화 유지, 해제 등)해 발송하는 문서보안 오케스트레이션 서비스다. 사내에서 대외로 발송되는 첨부문서가 포함된 메일에 대해 제로 트러스트 보안이 적용된다.
[이메일 보안 대표 솔루션 집중분석-5]
KT Bigdata기반 AI탐지모델에 SPAM, APT솔루션까지 통합한 구독형 SaaS 솔루션
AI탐지모델을 접목한 Cloud형 메일보안 서비스, “지능형위협메일차단”
최근 이메일 해킹 공격은 AI/RPA 기술로 지능화되고, 공격 빈도도 급격히 증가해 기존 시그니처 기반 보안 솔루션만으로 대응이 불가한 상황이다. 특히 보안 인프라 도입 및 운영인력이 부족한 중소기업과, 공공기관, 학술기관 등 국가 주요시설 대상으로도 공격이 확대되고 있어 관련 부처에서는 해당 기관에 이메일 보안 강화 등 대응 마련을 요구하고 있다.
▲KT 지능형위협메일차단[자료=KT]
대부분 기업은 메일보안 강화의 필요를 체감하고 있으나, 도입을 망설이는 몇 가지 이유가 있다.
1. 단일 솔루션을 도입하는 경우, 탐지속도(지연시간), 탐지율, 정탐율이 만족스럽지 않다.
2. 기업 규모가 작은 경우 구축한 솔루션을 운영, 관리하는데 어려움이 많다.
3. 기존 메일보안 솔루션은 온프레미스형으로 제공되어, 초기 투자비용이 크게 발생한다.
KT 지능형위협메일차단 솔루션은 AI기술과 기존 솔루션이 접목된 Cloud 통합 이메일보안 서비스로 기존 메일보안 솔루션이 가지고 있는 한계를 해결한다.
AI탐지모델 적용으로 검사 시간 단축 및 탐지율 향상 KT AI메일보안플랫폼에서 악성메일 탐지 시, 실행파일을 비트맵이미지화(약 1초 소요) 하고 이를 기존 학습된 악성파일과의 유사도를 측정하는 방식을 사용한다. 이 때문에 악성 행위를 기다릴 필요 없어, 기존 동적분석 대비 최대 180배까지 탐지속도 향상이 가능하다. 특히, AI탐지모델은 국내 특화 DB가 적용되어 글로벌 B사 솔루션 대비 최대 22% 높은 탐지율을 보이고 있다.
SaaS형태로 솔루션제공과 운영까지 통합 제공
지능형위협메일차단은 SPAM, AI탐지모델, APT솔루션이 SaaS형태로 한 번에 제공되어 탐지성능 유지를 위한 별도의 운영 관리가 필요 없다. KT AI플랫폼은 보안전문가의 지속적인 AI모델 관리 및 학습을 통해 정확도 97%이상의 탐지율을 유지하고 있다. 약 13만 건의 악성/정상 파일을 48시간동안 20회 학습하여 스무 개의 모델을 생성하고, 그 중 가장 높은 정탐율을 나타내는 모델을 선택·적용해 최상의 탐지율을 유지한다. 또한 SPAM솔루션의 경우 24h/365d 전문 고객센터 운영으로 기업 메일 관리자는 언제든 원격으로 기술지원을 받을 수 있다.
50user구간 단위 구독형 서비스 제공
지능형위협메일차단은 최소 50user부터 가입 가능한 월 구독형 Cloud 서비스로 제공되어, 동일 성능의 구축형 TCO 대비 최대 75%까지 비용 절감이 가능하다. 서비스 해지에 대한 위약금이 없어, 메일계정 확장/축소 시에도 유연한 요금 대응이 가능하다.
PoC 기간 최대 1개월 제공
KT에서는 희망 고객을 대상으로 최대 1개월까지 무료 PoC 기간을 제공하고 있다. PoC 사례 중, K 연구기관 보안담당자는 PoC 이용기간 동안 악성메일 신고 건이 월 140건에서 4건으로 감소, 랜섬웨어 사고가 월 평균 2건에서 0건으로 감소하는 등 PoC의 시작과 종료가 확연히 체감 될 정도로 유의미한 결과가 있다고 응답했다.
[이메일 보안 대표 솔루션 집중분석-6]
시스코 보안 위협 센터 TALOS의 위협 인텔리전스로 보안 강화
이메일 보안의 시작과 끝이 여기에, 시스코 Secure Email
이메일은 공격자가 쉽게 사용할수 있는 공격 방법이기에, 여전히 No#1 공격 대상이며, 대부분의 보안침해 사고는 Email로 부터 시작되기 때문에, 강력한 이메일 보안이 필요한 시대가 되었다.
▲시스코 Secure Email이 지원하는 보안기능 요약[자료=시스코]
점점 다양하고 정교해지는 이메일 공격과 이에 따라 변화하는 시스코 Secure Email
최근 사이버 공격이 기업 및 개인의 이메일을 통해 점점 더 정교해지고 있다, 이러한 위협에 대응하기 위한 강력한 이메일 보안 솔루션이 필수적인 사항으로 부각되고 있다. 시스코의 Secure Email은 이러한 위협에 대응하기 위해, 지속적으로 최신 기술을 추가해, 다양한 보안 기능들을 탑재하여 안전하고 신뢰할 수 있는 이메일 보안을 제공하고 있다.
시스코 보안 위협 센터인 TALOS를 통해 제공하는 위협 인텔리전스로, 송신자의 평판조회부터, 도메인검사, 메일 송신양과 SPF, DKIM을 조회하여 송신자 검증을 실행하며, 바이러스 검사, 빠른 첨부파일의 실시간 TALOS 조회, 분석되지 않은 첨부파일의 샌드박싱 분석, DLP, 마케팅 메일을 탐지하여 컨트롤 하는 기능, 이메일 본문내의 링크에 대한 위협 조사 및 차단, 또한 글로벌하게 실시간으로 퍼지고 있는 악성 이메일에 대한 긴급차단 기능, 클라우드 이메일 보안까지 이메일 보안을 위한 거의 모든 보안기능을 제공하고 있다.
또한 시스코는 최근 고객들의 이메일 운영 형태의 변화에 따라, 세가지 형태로 솔루션을 제공하는데, 그 형태는 다음과 같다.
1) On-Premise 형태: 직접 고객사에 설치하여 운영하는 방식.
2) 클라우드(SaaS) 형태: Secure Email 을 시스코의 클라우드에서 운영하는 형태, 혹은 O365에 특화된 이메일 보안을 제공하는 형태.
3) 하이브리드: 위 두가지 형태를 동시에 사용한 보안이 필요하거나, On-Premise 형태에서 클라우드형 이메일 보안으로 변경하는 과정의 고객인 경우.
특히 이메일 보안솔루션의 처리량은 고객이 사용중인 이메일의 양과 관계가 있는데, 시스코 Secure Email은 OS사용에는 추가 비용이 발생하지 않는 구조이기 때문에, 동일 사용자를 대상으로 더 많은 이메일에 대한 검사가 필요할때에는 쉽고 빠르게 서버를 늘릴수 있는 구조를 지원하고 있어, 큰 운영에 유연성을 제공하고있어 고객사의 만족도가 높다.
또한 이메일 보안솔루션을 운영하는 경우 꼭 필요한 특수사용자를 위한 사용자별 보안 정책 적용, 정밀한 정책 적용, 스팸차단, 멀웨어탐지 차단, URL 필터링, 까지 강력한 보안 기능이 한 솔루션에서 관리 되기 때문에, 빠르고 쉽게 정책 적용이 가능하다
미래에도 필요한 강력한 이메일 보안 솔루션
강력한 보안기능과 함께, DMARK, Domain Protection, 클라우드 이메일 보안, 피싱, 업무를 가장한 사기 메일등 이메일을 통한 보안 공격들은 변화하고 있고, 그에 대응하는 표준 방식들도 변화하고 있다. 때문에 사용자의 이메일 운영 정책도 변경 되어야 하는데, Cisco Secure Email은 이런 흐름을 빠르게 변화하며 지원하고 있고, 이 때문에 전문 이메일 보안 솔루션인 Cisco Secure Email 이 계속 주목받는 이유이기도 하다. 앞으로는 기존 보안 솔루션의 방식으로는 대응이 불가능한 사기 이메일 차단도 향후에 적극 도입을 검토해야하는데, 수개월전 시스코는 AI 기술을 가진 회사를 인수한바 있으며, 이는 조만간 제품의 기능으로 출시될것으로 예상되고 있다.
마지막으로, 대부분의 사이버 위협의 시작인 이메일을 통한 보안 유지 현황도 보안 관제에서 함께 필수적으로 운영해야 하는데, 시스코 XDR를 통하게 되면, 어떠한 공격이 어떤 사용자에게 메일로 전달되었는지 또한 이 악성메일을 통한 공격이 어떤 경로로 퍼져 나갔는지를 한 번에 빠르게 확인할 수 있게 있어, 보안 운영에 또다른 큰 효율을 가져올 수 있다. 미래에도 안전한 보안 환경을 만들기 위해서는 강력한 이메일 보안이 꼭 필요함을 잊지 말아야겠다.
[원병철 기자(boanone@boannews.com)]
기관·기업의 보안담당자에게 물어본 이메일 보안 솔루션 인식조사 결과
[인터뷰] 한국인터넷진흥원 임채태 침해대응단장
국내외 이메일 보안 대표 솔루션 집중분석 : 퍼셉션포인트(에스에스앤씨), 시만텍, 지란지교시큐리티, 소프트캠프, KT, 시스코
[보안뉴스 원병철 기자] 스마트폰을 이용한 메신저부터 SNS 서비스까지 다양한 방법으로 우리는 소통하고 있지만, 아직 공적인 업무에서는 이메일(e-mail)을 더 많이 사용하고 있다. 그 때문에 사이버 공격자들은 이러한 이메일을 노린 공격을 가장 많이 벌이고 있으며, 랜섬웨어 등 다양한 악성파일을 이메일을 통해 퍼트린다. 특히 초창기 무차별적으로 악성메일을 발송하던 것과 달리 기업이나 기관 등 ‘돈’을 지급할 능력이 되는 곳을 ‘표적’ 삼아 공격하는 방향으로 공격방법이 진화하면서 이메일의 보호가 더욱 중요해졌다. 이에 보안뉴스와 시큐리티월드는 이메일 보안이란 무엇이며, 어떤 솔루션이 있고 현재 주요한 기술은 어떤 것들이 있는지 알아보는 시간을 마련했다.
[이미지=gettyimagesbank]
Part1. 이메일 공격의 시작과 최신 이메일 보안 트렌드
세계에서 이메일의 시작은 1971년 미국 컴퓨터 프로그래머 ‘레이 톰린슨(Ray Tomlinson)’이 ‘아파넷(ARPANET : Advanced Research Projects Agency Network)’ 연구개발 중 3.5m 떨어진 다른 컴퓨터에 ‘QWERTYUIOP(자판기 첫 줄)’를 타이핑해 보낸 것이 최초로 알려졌다. 아파넷은 미 국방성 고등연구계획국에서 시작한 컴퓨터 네트워크로 인터넷의 시초로 알려졌으며, 레이 톰린슨이 아파넷 연구개발 중 최초로 이메일을 보낸 것이다. 즉 이메일의 시작은 인터넷의 시작과 함께 이뤄진 것이다. 당시 레이 톰린슨은 이메일 주소를 위해 ‘앳(@)’을 사용했지만, 실제 ‘이메일(e-mail)’이란 이름은 1982년부터 쓰인 것으로 알려졌다.
이메일 공격의 시작
그렇다면 이메일을 악용한 공격은 어떻게 시작했을까? 이메일의 시작과 달리 이메일 공격은 정확히 알려진 것은 없다. 다만 보안 업계에서는 1994년 등장한 ‘스팸(Spam)’을 최초의 이메일 공격으로 본다. 스팸은 보통 ‘광고’를 위해 발송하지만, 악성코드가 담겨있기도 하기 때문이다. 스팸 혹은 스팸 이메일은 수신자가 원하지 않은 정보가 담긴 전자우편을 말하며, 쓰레기라는 이름의 ‘정크 메일(Junk Mail)’이라고 부르기도 한다. 안랩에 따르면 스팸이란 이름은 우리가 잘 알고 있는 돼지고기 햄 통조림인 ‘스팸(SAPM)’에서 시작했다. 1937년 처음 등장한 스팸의 광고를 너무나 무차별적으로 진행했기에 소비자들은 이를 ‘공해’로 여겼으며, 이후 등장한 광고 이메일에 ‘스팸’이란 이름을 붙여줬다고 한다.
방송통신위원회에 따르면, 2023년 상반기 이메일로 수신된 스팸 신고·탐지건수는 484만건으로, 이는 2022년 하반기(957만건)보다 49.4% 줄어들었다. 이메일 스팸은 지속적인 감소 추세를 보이는데, 특히 중국발 스팸이 대폭 감소(2022년 하반기 789만건, 2023년 상반기 35만건)한 것으로 나타났다.
하지만 이메일 공격은 스팸만이 아니다. 사이버 공격자들은 최근 가장 심각한 이메일 공격인 ‘비즈니스 이메일 침해(BEC, Business Email Compromise)’ 공격을 비롯해 전통적인 ‘피싱(Phishing)’ 공격과 ‘스피어 피싱(Spear Phishing)’, ‘이메일 하이재킹(e-mail Hijacking)’ 등과 같은 방식을 사용해 궁극적으로는 ‘랜섬웨어(Ransomware)’와 같은 악성파일을 피해자의 PC에 설치해 주요 정보를 빼가거나 아예 PC의 파일을 암호화해 사용할 수 없도록 만든다.
이메일 공격 방식의 진화
그렇다면 이메일 공격은 어떤 방식으로 이뤄질까? 공격은 첫 번째로 피해자가 잘 아는 사람(혹은 기관이나 기업)을 사칭하며, 두 번째로 이메일에 악성파일을 첨부하거나 본문에 링크를 걸어 악성파일을 다운로드하도록 유도한다. 때문에 이메일 보안 솔루션은 이 두 가지를 방어하는 데 초점을 맞췄다. 즉, 이메일 발신자를 확인해 제대로 된 사용자가 맞는지를 검증하고, 이후 첨부된 파일이 있으면 검사를 하거나 아예 무해화 작업을 하는 것이다.
이 두 가지 방어에 있어서 보안기업들은 각각의 방법을 사용한다. 보안기업마다 접근법이 달라 주요 기능이나 대응 방법이 다르며, 때문에 이러한 여러 방법을 모두 취합하는 방법을 사용하기도 한다. 글로벌 기업은 M&A 등을 통해 관련 솔루션을 하나씩 모아 통합하는 방식을 선호하며, KT는 아예 각 방법별 대표 솔루션과 힘을 모아 통합 메일 보안 솔루션을 제공한다.
물론 이중 어느 방법이 좋은지는 이견이 있을 수 있다. 전문성 있는 솔루션을 각각 구현해 사용할 것인지, 아니면 통합된 기능을 제공하는 솔루션을 사용할 것인지는 사용자가 판단할 문제다.
이메일 공격의 핵심 ‘BEC’
이메일이 비즈니스에서 없어 설 안될 중요한 통신 수단으로 자리 잡았지만, 특히 코로나 펜데믹으로 인해 이러한 정황이 더 굳어졌다. 임직원들이 모두 집에서 일하면서 이메일을 활용한 업무가 증가했기 때문이다. 특히 과거 대면 회의가 아닌 화상회의를 진행하면서 시간이나 장소의 문제가 해결되자 회의에 참여하는 인원이 급속도로 증가했는데, 이들에게 회의에 필요한 주요 문서 등이 이메일로 전송되면서 메일이 늘어난 것은 물론 보안 위협까지 늘어났다.
가장 심각한 것은 바로 BEC다. BEC는 기업 이메일 침해(Business Email Compromise)의 줄임말로 지금까지 약 500억 달러(한화 약 67조원, 클라우드플레어 ‘2023 피싱위협 보고서’)의 피해를 입힌 것으로 알려졌다.
참고로 해당 보고서에 따르면 악성 링크는 감지된 전체 위협의 35.6%를 차지하며, 신원을 도용한 위협(Identity Deception)이 14.2%를 차지했다. 약 10억건의 브랜드 사칭 시도가 있었으며, 이 과정에서 1,000여개의 조직이 피해를 입었다. 사칭의 대상이 된 가장 대표적인 브랜드는 마이크로소프트였고, 구글과 세일즈포스, 노션 등의 기업도 많이 사칭했다. 가장 주목할 점은 공격 이메일 중 위협적인 메시지의 89%는 이메일 보안인증 기술인 SPF(Sender Policy Framework, 표준 이메일 인증 방법), DKIM(Domain Keys Identified Mail, 도메인 키 인증 메일) 또는 DMARC(Domain-based Message Authentication, Reporting and Conformance, 도메인 기반 메일 인증) 인증 확인을 통과한 것으로 나타났다.
그렇다면 BEC는 정확하게 무엇을 말할까? BEC는 광범위한 표현으로 ‘피해자가 평소 신뢰하고 있던 이메일로부터 들어오는 사기 공격’을 의미한다. FBI가 BEC라는 용어를 자주 사용하면서 이 용어가 자리를 잡았는데, 이메일 계정 침해(Email Account Compromise, EAC)와 같은, 보다 구체적인 용어도 존재한다.
즉, 전통적 의미에서 BEC란, ‘이 이메일은 당신이 알고 있고 신뢰하는 사람이나 조직에게서 온 것’이라고 수신자를 속이는 여러 가지 방법들을 총망라하는 말이다. 여기까지 속이는 데 성공하면 피해자에게 어떤 요구라도 할 수 있게 된다. BEC 공격에서 가장 중요한 건 ‘당신이 아는 곳에서 온 메일이다. 그러므로 당신이 신뢰하고 있다’라는 걸 어떻게든 주입한다는 것이다. 피해자가 순진할수록 공격 성공률이 높아진다.
BEC 공격이 진짜처럼 보이는 곳에서부터 들어오는 것이라면 EAC는 진짜 피해자가 신뢰하는 곳에서부터 들어오는 사기 공격이다. 즉, 공격자들이 다양한 방법을 동원에 실제로 메일 계정을 침해한 후, 그 메일에서부터 사기 공작을 펼친다는 것이다. 공격자들이 비밀번호 살포, 피싱, 멀웨어 심기 등 각종 테크닉을 동원해 정상적인 메일함에 도달하는 것이 키포인트다. EAC가 특히 위험한 이유는 공격자가 실제 건물(혹은 인프라) 내에 들어와 있는 것이기 때문이다. BEC의 경우는 공격자가 아직 외부에 있다. 순진한 내부자가 밖에 있는 자의 눈속임에 속아 넘어가는 것이 BEC다. 또한 EAC처럼 계정 침해가 이뤄진 다음에는 DMARC와 같은 이메일 보안 메커니즘이 작동하지 않게 된다.
프루프포인트 코리아 이석호 대표는 “BEC 공격에서 이메일 주소를 도용하는 방법은 매우 쉽다”면서, “공격자가 공격을 위한 이메일 서버를 만들거나, 이미 해킹한 서버를 사용하거나, 아마존 이메일 서비스를 이용하거나 스푸핑 웹사이트를 이용하면 쉽게 도용이 가능하다”고 말한다. “예를 들어, 스푸핑 웹사이트를 이용하면 지금 당장 누구나 이메일 주소를 똑같이 도용할 수 있습니다.”
최신 이메일 공격 사건들
그렇다면 현재 이메일 공격은 어떻게 들어올까? 최근 각종 데이터를 시각화(표와 그래프 등) 해주는 ‘구글 루커스튜디오’가 해킹됐는데, 이메일 공격자들이 이를 악용하고 있다는 소식이 보도됐다. 이들은 마치 전문가처럼 다양한 형태의 정보를 표와 그래프로 시각화해서 메일을 보내며 피해자들을 속였는데, ‘더 많은 정보를 원하면 그래프를 눌러라’와 같은 문구로 악성 링크를 클릭하도록 한 것이다. 심지어 공격자들은 발신자 정책 프레임워크(SPF)의 이메일 보안 솔루션을 속이기 위해 인증된 IP 주소와 서버를 사칭하는 등의 방법을 사용해 피해가 큰 것으로 알려졌다.
가상회의에서 CEO를 사칭하는 공격도 있었다. FBI에 따르면 CEO를 사칭해 직원들에게 돈을 송금하라고 요구했던 BEC 공격자들이 최근 가상회의에까지 침투하고 있는 정황이 있었다. 이 공격은 CEO의 이메일을 침해한 뒤에 구사할 수 있는 전략으로, 공격자들은 영상화면 대신 CEO의 사진을 사용하고 음소거 상태로 회의를 진행한다고 한다. BEC 공격자들은 꾸준히 전략을 바꾸는 것으로 유명하다. 이메일을 기반으로 한 소셜 엔지니어링 공격을 하다가 딥페이크라는 최신 기술마저 활용하기도 했었다. 최근 코로나로 인해 재택 근무자가 늘어나자 가상회의에까지 손을 뻗친 것으로 보인다.
2023년 초에는 공공 및 협회 등의 기관과 국회의원, 기자를 사칭한 BEC 공격이 대거 발생했다. 에스에스앤씨에 따르면 북한 해킹조직이 기자와 국회의원실을 사칭해 보낸 ‘동아시아연구원 사례비 지급 서식’ 메일을 열면 메일에서 요구하는 정보를 입력하거나 첨부된 워드 파일을 열람할 경우 개인정보 및 PC 내 파일과 이메일 내용을 탈취하거나 랜섬웨어로 동작하고 다른 피해자를 공격하는데 경유지로 활용되는 사례가 있었다.
2022년 5월에는 국민의힘 태영호 의원실을 사칭한 북한의 이메일 공격이 발견됐다. 이들은 북한 관련 정부 주요 인사와 전문가를 겨냥한 정보 탈취와 그들의 일거수일투족을 감시하려는 목적으로 공격을 시도했으며, 특히 ‘사례비를 지급하겠다’며 이메일 수신자가 첨부파일을 열도록 교묘하게 공격했다.
이메일 보안 솔루션의 등장
이렇게 최신 이메일 공격들은 개인은 물론 기업들도 쉽게 막기 어려운 수준이다. 그렇다면 이러한 이메일 공격을 방어할 이메일 보안 솔루션은 어떻게 진화되고 있을까? 스팸을 최초의 악성 이메일로 보는 만큼, 최초의 이메일 보안 솔루션도 안티스팸 제품이 차지하고 있다. 안랩에 따르면 최초의 안티스팸 제품은 1997년 ‘Goo Software’ 사가 개발한 ‘Spamblaster’다. 애플 출신의 Douglas Turner와 Michael Amorose가 개발한 Spamblaster는 클라이언트 기반의 안티스팸 제품으로 블랙리스트(Black List) 기반의 차단 기능을 갖고 있다.
우리나라에서는 지란지교시큐리티가 2002년 국내 최초로 ‘스팸스나이퍼’를 출시한 것으로 알려졌다. 당시 2002년 월드컵을 전후로 수많은 개발이 이뤄졌기에 이를 노린 스팸메일이 홍수를 이뤘다. 특히 대량으로 배포되는 광고성 스팸메일은 기업과 개인을 막론하고 가장 큰 사회적 이슈가 됐으며, 기업은 스팸메일이 업무에 막대한 지장을 초래하면서 스팸메일 차단과 방지에 대한 니즈가 증가했다. 스팸메일 차단으로 시작한 국내 메일 보안 시장은 이후 지능형 지속위협(APT), 랜섬웨어, 정보유출 등 보안 위협의 진화와 함께 발전해왔다.
최근에는 스팸 차단 기능을 포함해 개인정보 스캐닝, 게이트웨이, DRM, DLP, 랜섬웨어, 백신, 샌드박스, CDR, APT, MDM, 이미지 스캐닝, 첨부파일 검사 등의 기능이 이메일 보안 솔루션으로 소개되고 있으며, 최근에는 이메일 모의훈련 솔루션도 주목받고 있다. 특히 정보통신망법, 정보통신기반시설 보호지침, 전자금융감독규정 등에서 공공기관과 기업, 금융기관 등을 대상으로 주기적인 침해사고 모의훈련을 의무화하면서 이메일 모의훈련 솔루션에 대한 관심이 급증했다.
그렇다면 현재 이메일 보안 솔루션의 최신 트렌드는 어떨까? 우선 ‘클라우드’를 들 수 있다. 인프라 환경이 변화하고 있는 것이다. 기업의 디지털 전환이 본격화되면서 보안 서비스도 클라우드로 이동 중이다.
특히 클라우드 서비스의 확장성, 경제적 비용, 운영 편의성 등의 이유로 클라우드 서비스로의 전환이 이어지고 있다. 다만 클라우드 서비스를 이용할 경우 기업의 이메일이 클라우드에 쌓이는 것에 대한 거부감은 아직 남아있는 편이다.
‘통합’도 주요 이슈다. 그동안 이메일 보안 솔루션은 스팸메일 차단, 발신 메일 확인, APT 대응, CDR 등 분야별로 특화된 솔루션을 고객이 하나하나씩 사용해야 했다. 때문에 글로벌기업은 여러 솔루션 기업을 M&A 등을 통해 통합하고 있고, 일부 기업들은 자사 제품에 또 다른 기능을 하나씩 추가하면서 점차 기능을 확대하고 있다. 심지어 KT는 각 분야별 대표 솔루션을 자사 서비스에 합쳐 ‘Secure 지능형위협메일차단’이란 이름의 솔루션을 출시했다.
보안업계 최대의 화두인 ‘제로트러스트’도 이메일 보안 솔루션의 고민거리가 됐다. 사실 대부분의 이메일 공격이 ‘신뢰’를 바탕으로 이뤄지기 때문이다. 피싱부터 스캠, BEC 등 공격 메일은 사회공학적 기법을 활용해 공격 대상자를 분석하며, 아예 공격 대상자와 신뢰 관계에 있는 다른 사람의 메일을 해킹해 공격에 사용(EAC)하기도 한다.
‘인공지능’도 이메일 보안 솔루션에 적용되고 있다. AI 및 머신러닝 기술을 활용한 고급 위협 탐지 기능을 적용하는 기업들이 늘고 있으며, 반대로 공격자들도 인공지능을 악용해 보다 완벽한 사회공학적 공격을 펼치고 있다.
‘이메일 공격 모의훈련’도 고도화되고 있다. 단순히 훈련 메일을 열람하고 링크나 첨부파일을 열어보는 것을 넘어 랜섬웨어 감염 시뮬레이션, 개인을 특정한 메일 콘텐츠, 시나리오 기반 복합 훈련, 개인정보 입력 유도, 위반자 대상 교육 연계훈련 등 좀 더 정교하고 고도화된 방식으로 발전하고 있다.
국내외 대표 이메일 보안 솔루션 6종으로 살펴본 이메일 보안 기능들
이러한 이메일 보안 트렌드는 실제 제품에 어떻게 반영되고 있을까? 국내에서 서비스 중인 대표 이메일 보안 솔루션의 기능을 통해 실제 서비스되는 이메일 보안 기술을 살펴보자.
①소프트캠프 ‘실덱스 메일(SHIELDEX Mail)’
소프트캠프의 ‘실덱스 메일(SHIELDEX Mail)’은 사용자에게 안전한 메일 사용 환경을 제공하는 이메일 격리 솔루션이다. 가상환경에서 이메일을 실행하고 안전한 형식으로 변환해 이메일 내용을 제공함으로써, 수신자가 안심하고 이메일 커뮤니케이션을 할 수 있도록 돕는다. 아울러 악성코드 차단, 최신 보안 동향 대응, 사용자 편의성과 효율성 증대, 종합보안관리 등을 제공한다. 실덱스 메일은 문서 무해화(CDR) 기술을 적용해 이메일 본문과 첨부파일을 무해화하고 콘텐츠만 재구성해 제공한다. 공격에 사용될 요소를 원천 제거했기 때문에 위협이 사용자에게 도달하지 못한다. 만일 확실하게 신뢰할 수 있는 사람으로부터 발송된 문서로 위험이 없다고 판단됐고, 업무상 원본 문서가 필요한 경우, 필요한 결제 과정을 거친 후 원본을 다운로드할 수도 있다.
②시스코 ‘Secure Email’
시스코의 ‘Secure Email’은 크게 네 가지 기능을 통해 직원과 조직을 보호하면서 보안을 강화한다. 첫 번째로 첨단 위협 분석 활용이다. 시스코는 위협 인텔리전스 그룹 ‘Talos’를 통해 전 세계에서 발생하는 악성 행위들을 즉각 대응하고 업데이트할 수 있도록 돕는다. 또한 레거시 환경과 더불어 최근 Cloud 기반의 이메일 보안 솔루션도 제공하고 있고, 특히 M365를 사용하는 고객에게는 간단한 연동을 통해 악성 메일을 제거할 수 있도록 도와주고 있다. 단순히 알려진 공격에 대해서만 차단하는 것이 아니라 행동분석 혹은 머신러닝으로 지능화된 피싱으로부터 보호할 수 있고 무심코 클릭하는 직원들이 더 스마트하고 안전하게 일할 수 있도록 사용자에게 모의훈련을 제공하고 있다.
③에스에스앤씨 ‘Perception Point’
사용자의 메일 수신함에 메일이 들어가기 전, 퍼셉션포인트의 7개 탐지 엔진이 동시 가동되어 해당되는 악성 공격 유형을 판단하고 방어한다. 독자적인 HAP(Hardware-Assisted Platform) 기술로 수신한 이메일 내의 각종 첨부파일을 바로 VM에 띄워 그 파일만의 실행 흐름을 스냅샷으로 뜨고 추적 파일을 생성한다. 이 추적 파일은 메모리 이벤트와 함께 탐지 알고리즘에 기록되어 악성 여부를 판단한다. 샌드박싱의 스캔 지연시간, 샌드박스를 우회하는 최근의 공격 등 기존 샌드박싱 기술이 가진 한계점을 완벽하게 보완하는 샌드박스킬러 기술이다. 또한 객체 감지 기술을 활용한 퍼셉션포인트만의 이미지 인식 모델로 0.03초 이미지 스캐닝을 통한 이중 피싱 공격을 탐지하며, 최근 많이 발생하고 있는 QR코드를 통한 피싱 공격인 퀴싱(Quishing) 공격 역시 빠르게 탐지한다.
④이테크시스템 ‘Symantec Messaging Gateway’
Symantec Messaging Gateway(SMG)는 이메일 보안을 강화하는 솔루션으로, 강력한 스팸 필터링, 악성코드 탐지, 이메일 암호화, DMARC/SPF/DKIM 지원 등 핵심 기술을 통합하고 있다. SMG에 적용된 최신 기술 트렌드로는 AI 및 머신러닝 활용, 고급 위협 대응, 클라우드 기반 보안, 사용자 교육 강화, 안전한 모바일 보안 등이 도입되어 있다. 이를 통해 SMG는 동적인 보안 환경에서 사용자에게 안전한 이메일 송수신을 제공한다.
⑤지란지교시큐리티 ‘스팸스나이퍼(Spam Sniper)’
스팸스나이퍼는 스팸·악성코드 메일 및 메일서버 공격을 차단할 뿐 아니라 내부 발송 메일에 대한 모니터링을 통해 기업의 중요 정보유출을 차단하는 국내 대표 이메일 통합 보안 솔루션이다. 스팸스나이퍼는 스팸·BEC·피싱뿐만 아니라 APT를 비롯한 알려지지 않은 위협 대응, 발신 메일 보안까지 하나의 솔루션으로 통합 제공한다. 더불어, 국내 최고 수준의 전문 기술지원 전담 조직이 고객지원 서비스를 제공한다. 유선/원격 고객지원 전담부서를 운영하며 실시간 원격지원뿐만 아니라 장애 발생 시 서비스 다운타임을 최소화하는 신속한 장애처리를 지원하고 있다.
⑥KT ‘Secure 지능형위협메일차단’
KT의 Secure 지능형위협메일차단은 지능화·고도화된 신종 위협 메일로부터 기업 자산을 안전하게 지킬 수 있는 메일 보안 솔루션이다. KT Bigdata 기반의 AI 분석기술을 적용, 지능화·고도화된 신·변종 위협 메일로부터 기업 자산을 안전하게 지킬 수 있으며, 별도 장비구축 없이 이용할 수 있는 구독형이라는 장점도 있다. 구독형 서비스이기 때문에 고객의 니즈에 따라 다양한 서비스 이용이 가능한 것은 물론이다. 트래픽 우회 방식으로 별도의 인프라 구축이 필요 없으며, 국내에 특화된 DB 기반 AI 모델을 적용해 글로벌 밴더사 대비 최대 22% 더 높은 탐지율을 보여준다. 또한 악성파일을 이미지 변환 후 탐지하는 방식으로 기존 샌드박스 대비 변종 악성코드 탐지속도보다 180배 빠르며, 패턴 기반 솔루션의 피싱 URL 탐지 한계를 AI 기술로 극복한 것도 장점이다. 아울러 멀티 샌드박스 기반 동적분석과 종합 판단으로 정탐률도 행상시켰다.
기관·기업의 보안담당자에게 물어본 이메일 보안 솔루션 인식조사 결과
현장에서는 이메일 보안 솔루션 통합과 운영 효율성 원한다
앞서 이메일 보안 위협의 등장부터 최근 공격 사례, 이에 대응하는 이메일 보안 솔루션들의 기술력과 대표 제품에 대해 알아봤다. 그렇다면 실제 이메일 보안 솔루션을 사용하는 고객들의 생각은 어떨까? <보안뉴스>는 2023년 12월 14일부터 20일까지 일주일 동안 약 10만명의 보안관계자에게 ‘이메일 보안 솔루션 인식 및 선호도 설문조사’를 진행했다. 설문조사에는 공공(19.4%)과 민간분야(80.6%) 보안관계자 1,550명이 응답했다.
▲기관·기업의 보안 담당자에게 물어본 이메일 보안 솔루션 설문조사 결과[자료=보안뉴스]]
설문 응답자의 41.3%가 이메일 보안 솔루션 사용안해
이번 설문에 참여한 공공과 민간분야 보안관계자들은 이메일 보안 솔루션 사용 여부에 대해 58.7%가 사용하고 있다를, 41.3%가 사용하지 않는다를 선택했다. 이어 현재 사용하고 있는 이메일 보안 방법에 관해 묻자, 스팸메일 차단 솔루션(45.2%)과 보안 담당자 및 IT 부서에서 메일 시스템 관리(44.5%)를 선택했다. 아울러 악성메일 훈련 및 교육(30.3%)과 이메일 보안 전용 솔루션(25.8%)도 사용한다고 답했다(중복응답).
주목할 것은 24.5%의 설문 참여자가 ‘특별히 관리하지 않음’ 항목을 선택함으로써 앞서 이메일 보안 솔루션을 사용하지 않는다(41.3%)는 것과 같이 상당수의 기업이 이메일 보안 관리를 하지 않는 것으로 확인됐다. 참고로 이메일 보안 솔루션을 사용하지 않는 기관과 기업들은 비용 부담(46.5%)과 인지 부족(20.0%), 훈련 콘텐츠 부족(11.6%)과 운용 불편(11.0%) 효용성 부족(9.7%) 등을 그 이유로 들었다.
그렇다면 이들은 이메일 공격으로부터 자유로웠을까? 이메일 공격으로 피해를 입은적이 있는가에 대한 질문에 62.6%가 ‘없다’고 답했지만 있다고 답한 사람도 35.5%에 달해 공공기관과 민간기업을 대상으로 한 이메일 보안위협이 심각한 상황이라는 것을 알 수 있었다. 이에 어떤 피해를 입었나를 묻자 랜섬웨어 감염(38.7%)과 임직원 개인정보 탈취(21.3%), 전 직원 메일로 스팸메일 발송(12.9%), 주요 데이터 탈취(12.9%), 협박 메일(12.9%) 등의 피해사례를 공유했다.
그럼, 이메일 보안 솔루션을 사용하고 있는 기관과 기업은 어떤 종류의 솔루션을 사용하고 있을까? 설문에 응답한 사람들은 스팸차단(47.1%), 백신(37.4%), 모의훈련(22.6%), DLP(21.3%), APT(17.4%), 안티 랜섬웨어(16.8%), DRM(13.5%), 첨부파일 검사(11.6%), 개인정보 스캐닝(11.0%), 게이트웨이(8.4%), 샌드박스(8.4%), CDR(7.1%), MDM(3.9%), 이미지 스캐닝(3.2%) 등을 사용한다(중복응답)고 답했다.
▲기관·기업의 보안 담당자에게 물어본 이메일 보안 솔루션 설문조사 결과[자료=보안뉴스]
이메일 보안을 강화하기 위해 이메일 보안 솔루션 외에 또 다른 노력을 기울이는 기업도 많았다. 이들은 출처가 불분명한 이메일 미수신(34.8%)을 비롯해 악성메일 훈련 및 교육(28.4%), 첨부파일 및 링크 실행 지양(18.7%), 통합접근제어 솔루션(5.2%), 실시간 모니터링 강화(4.5%), 인증 솔루션(2.0%), 보안 인력 및 예산 강화(1.3%) 등 많은 노력을 기울이고 있다.
마지막으로 현재 사용 중인 이메일 보안 솔루션의 불편한 점에 대해 묻자(중복응답), 악성 이메일 탐지율이 떨어진다(27.6%)는 답변이 가장 많았고, 이어 스팸·APT 차단·수발신 메일 보안 등 개별 솔루션 도입 운영 및 비용 부담(24.8%)이라는 답변이 뒤를 이었다. 같은 맥락의 관리 포인트 증가 및 복잡한 운영(17.8%)과 성능과 호환성 문제로 불편함(15.4%)을 선택한 사람까지 생각하면 많은 기관과 기업의 보안 담당자들이 통합과 운영 효율성의 문제를 지적했단 것을 알 수 있다.
제로트러스트 관점 이메일 보안 체계 정비 시급
한편, 보안전문가들은 이메일 보안에 대한 사용자들의 인식 변화가 시급하다고 입을 모았다. 매년 사이버 위협은 증가하고 있고, 그 공격의 통로로 이메일이 사용되고 있다는 것이 현실인 지금, 더욱 이메일 보안을 강화하기 위해 노력해야 한다는 것이다. 실제로 2021년 한 해 동안 1억개 이상의 이메일 멀웨어 샘플이 탐지됐다는 결과도 이를 뒷받침한다. 보다 좋은 솔루션을 사용하는 것도 필요하지만, 보안 담당자는 물론 경영진까지 이메일 보안, 나아가 보안 자체를 ‘필요한 것’이 아닌 ‘해야 하는 것’으로 인식을 전환해야 한다는 것이 보안 전문가들의 생각이다. 아울러 현재 보안분야를 관통하고 있는 ‘제로트러스트’를 기억하고, 안전한 것은 없다는 대전제 하에 이메일 보안 체계를 점검하고 정비하는 것이 시급하다는 사실을 기억해야 할 것이다.
INTERVIEW. 한국인터넷진흥원 임채태 침해대응단 단장
악성메일은 발신자 속이기부터...메일 인증기술 보급 시급하다
▲한국인터넷진흥원 임채태 침해대응단 단장[사진=한국인터넷진흥원]
한국인터넷진흥원(원장 이원태, 이하 KISA)은 기업과 개인 등 민간분야의 보안을 지원하는 기관으로, 특히 침해대응단을 중심으로 민간분야의 보안위협 분석 및 지원을 하고 있다. 침해대응단은 KISA 5본부 중 사이버침해대응본부에 소속되어 있으며, 국내 웹사이트와 주요 서비스 등에 대하여 해킹 등 이상징후를 1년 365일 24시간 모니터링하고 인터넷상에서 발생하는 사이버공격 등 위협정보를 선제적으로 탐지하여 신속하게 차단·조치하는 등 대응 역할을 수행한다.
특히, 이러한 일련의 탐지·모니터링 과정 중에 수집된 다양한 위협정보들은 사이버위협정보공유시스템(C-TAS)을 통해 공유·전파해, 다수의 기관 및 기업에서 사이버 보안 활동에 활용될 수 있도록 하고, 대량으로 수집된 위협정보를 빅데이터화해 산·학·연에서 보안기술 연구 및 보안제품 개발 등에 활용될 수 있도록 제공하는 등 환류 활동도 추진하고 있다.
이에 보안뉴스에서는 임채태 침해대응단 단장에게 최근 민간분에서 발생한 이메일 보안 위협현황과 대응방안에 대해 짚어보는 시간을 마련했다.
Q. 기업, 기관에서 발생하는 주요 이메일 보안 위협은 어떤 게 있나?
이메일은 누구나 쉽게 메시지나 파일 등을 전송할 수 있는 보편적인 도구로서 기업이나 기관에서 업무 전반에 거쳐 이메일을 사용하고 있다고 해도 과언이 아닐 것이다. 그로 인해 이메일이라는 채널은 보안 위협이 쉽고 자유롭게 드나들 수 있는 통로가 되고 있으며, 기업으로 유입되는 주요 이메일 보안위협은 기업의 자산 탈취를 목적으로 한 스피어피싱 공격과, 업무망 침투를 통한 다양한 공격을 목적으로 하는 악성코드 감염형 공격으로 크게 구분할 수 있다.
먼저 스피어피싱과 같은 사회공학적 기법으로 사용되는 이메일 위협은 기존 거래처 등을 사칭해 금전적 취득을 목적으로 관리자의 계정정보 등 민감정보 등을 빼내는 형태 또는 세금계산서 위조를 통한 거래대금 가로채기 형태가 있다.
악성코드 감염형 공격에는 전자 거래서, 입사지원서 등 기업이 상시로 수신하는 문서 유형에 악성코드를 삽입해 기업 전산망에 침투하고, 정보시스템으로부터 정보자산을 탈취해 가거나 유출해 금전을 요구하는 형태와 암호화를 통한 업무 마비를 일으켜 협박하는 랜섬웨어 유형이 이에 해당한다.
Q. 민간분야에서 발생하는 보안위협은 어떤 것들이 있으며, 그중 메일을 통해 벌어지는 사건들은 얼마나 되나?
침해대응단에서는 기업들의 정보시스템 대상으로 침해사고가 발생한 경우, 신고와 접수를 받고 있다. 신고 내용을 보면, 스피어피싱 메일을 통해 악성코드에 감염된 사실을 기업이 직접 인지하고 신고한 경우도 있으며, 기술지원을 위해 피해 원인 조사 시 메일을 통해 악성코드에 감염되어 피해가 발생한 경우도 있다.
KISA는 이러한 민간분야에서의 침해사고를 줄이기 위해 사이버 위기대응 모의훈련을 하고 있다. 특히 2022년 훈련결과를 보면, 참여한 281개 사 임직원을 대상으로 내부 보안담당자나 거래업체에서 발송한 것처럼 위장한 해킹 메일을 발송해 메일 열람과 첨부파일 클릭을 통한 악성코드 감염을 유도하는 방식으로 진행했는데, 해킹 메일 열람률은 27.3%, 악성코드 감염률은 9.9% 결과를 보였다. 이는 해당 훈련에 자발적으로 참여해 상대적으로 보안 의식이 높은 기업 및 직원들도 교묘해진 이메일 보안위협에 당할 수 있다는 사례를 간접적으로 보여주고 있다.
Q. 기업들이 조심해야 할 이메일 보안위협은 어떤 것이 있나?
많은 기관과 기업들이 이러한 이메일 위협에 대해 인지하고 대내외 사이버위협 대응 모의훈련에 참여하는 등 이메일 훈련을 하고 있다. 이러한 이메일 훈련을 통해 실제로 악성 메일로 인한 침해사고 발생률을 낮추는 데 큰 영향을 주고 있는 것은 사실이다.
다만, 기업 규모가 상대적으로 작고 독립적인 메일서버를 두고 운영하는 경우에 교묘해지고 지능화되는 스피어피싱 형태나, 메일 보안 체계를 우회하는 악성코드 공격에 취약해질 수밖에 없다.
Q. 그렇다면 기업들은 어떻게 보안을 강화해야 할까?
시장에 나와 있는 이메일 보안위협 솔루션은 기존에 탐지되었던, 알려진 스피어피싱 형태, 악성코드를 탐지하는 데에는 충분히 그 기능을 발휘하고 있다고 생각한다. 즉, 발견된 악성 이메일 유형에 대해서는 재발 방지 및 피해확산 최소화 역할을 충분히 하고 있다.
다만, 공격자들이 이를 우회하기 위해 특징을 숨기는 형태로 진화하고 있어, 이메일 보안 솔루션들이 정적인 탐지·차단 형태에서 행위분석 기반 탐지·차단 형태로 더욱 고도화할 필요가
있다고 생각하며, 최근 그러한 솔루션이 등장하여 점차 확산되고 있는 것으로 알고 있다.
Q. 최근 사회공학적 기법으로 피해를 본 기업이나 기관이 늘고 있다. 이에 대응할 방법은 어떤 것이 있을까?
공격자는 악의적 목적을 지닌 메일을 피해자에게 발송할 때 자신의 신분을 속이게 되므로 적합한 메일서버를 통해 발송되었는지를 검증하는 메일 인증기술의 확대·보급이 가장 중요할 것이다. 규모가 있는 기업과 기관에서는 대부분 적용되어 있으나, 여전히 많은 기업이 부인방지 기술(SPF 등)을 적용하고 있지 않아, 수신기관에서 신분을 속인 메일을 일차적으로 차단하지 않는 경우가 있는 것이 여전히 문제라고 본다.
개인 사용자 측면에서는 혹시나 모를 스피어피싱 메일, 악성코드 내포 해킹 메일 등에 대비해 의심메일 및 첨부파일 열람에 주의를 기울이는 게 가장 중요하다고 할 수 있다. 때문에 꼭 필요한 메일은 번거롭더라도 메일 본문에 있는 링크를 클릭하지 않고 검색엔진을 통해 직접 사이트에 접속하여 URL을 확인해 본다든지, 첨부파일을 안티바이러스 백신을 통해 점검한 후에 실행할 수 있도록 해야 할 것이다.
Q. 그렇다면 KISA는 이메일 보안 위협 예방을 위해 어떤 노력을 기울이고 있나?
이메일 보안위협을 선제적으로 탐지·대응하기 위해 실제 공격자가 사용한 악성 첨부파일의 상세 분석으로 특징을 추출해 메일 보안솔루션의 성능이 향상될 수 있도록 공유·전파하고 있다.
Q. 이메일 보안 위협 예방을 위한 침해대응단의 계획은?
이메일 보안위협은 궁극적으로 기업·기관의 정보시스템을 해킹하고 정보자산의 유출·훼손, 서비스의 장애·마비 등 심각한 피해를 일으키기 위한 해킹공격의 진입점으로 보고 있어, 단순히 악성 이메일 유입에 대한 대응에 국한하지 않고 메일을 통한 정보시스템 침투, 악성코드 감염, 이를 통해 달성하려는 목적 등을 사전에 탐지하고 효과적인 대응방안을 마련하려고 한다.
해킹공격은 과거와 달리 이메일 외 공급망 공격, 제품 취약점 등 다양한 공격표면을 통해 시도되는 등 더 전문적이고 지능화되고 있어 다채널로부터 공격 위협을 선제 탐지하고 이러한 탐지정보를 연관 분석해 공격자의 의도와 전략을 사전에 파악해 대응하는 체계로 전환할 예정이다.
=========================================================================
[이메일 보안 대표 솔루션 집중분석-1]
이메일 내 모든 콘텐츠, 심층 분석하여 독자적인 지능형 위협 대응 기술
최신 공격도 99.95% 차단, 고급 이메일 보안 솔루션 퍼셉션포인트
최근 유명 브랜드를 비롯해 협회 및 공공기관, 국회의원, 기자, 심지어 개인이 주고받던 지인의 메일 주소를 사칭한 BEC 공격이 자주 발생하고 있다. 공격자는 이메일을 통해 피해자를 속여 기업정보를 노출하거나, 시스템 접근 경로 노출, 돈을 탈취해 피해를 입힌다. 하지만 이러한 BEC 공격은 사이버 표적 공격이라 개인의 주의만으로는 탐지가 어렵다. 이러한 점에 주목한 에스에스앤씨 한은혜 대표는 독자적인 지능형 위협 대응 기술을 통해 99.95% 공격을 탐지·차단 솔루션 퍼셉션포인트를 출시해 본격적으로 국내 시장 진출에 나섰다.
▲에스에스앤씨 퍼셉션포인트[자료=에스에스앤씨]
어떤 공격유형도 막아내는 7개의 탐지 레이어
퍼셉션포인트는 기존 샌드박스, CDR, Anti-Spam 등의 기술을 대체하는 차세대 위협탐지 플랫폼이다. 지능형 지속 공격, 피싱, 악성 프로그램, BEC 공격을 빠르게 탐지하는 게 특징이다. 탐지 엔진은 스팸 필터, 리커시브 언팩커, 지능형 위협 인텔리전스, BEC & ATO(계정탈취공격), Anti-Phishing, HAPTM의 7개 탐지 레이어로 구성되어 있으며, 사용자가 이메일을 수신하면 7개의 탐지 엔진이 동시에 가동된다. 그중 악성 유형 엔진에서 탐지된 보안 위협은 상세한 내용의 리포트로 전달된다. 탐지된 데이터는 2시간 안에 전 세계 탐지 엔진에 업데이트되며, 업데이트된 데이터는 지속적으로 축적되고 최적화된 환경으로 개선돼 강력한 보안 인텔리전스를 구축한다. 특히, 퍼셉션포인트만의 독자적인 특허 기술인 HAPTM은 샌드박스를 우회하는 최신 악성코드의 공격을 빠르게 탐지한다. 콘텐츠 내 압축파일 속 비밀번호로 보호된 첨부파일 스캔, 이미지 검사, 암호화된 트래픽 해독 등 기존 샌드박스의 한계점을 탈피한 독보적인 기술로 탐지 효과를 나타내고 있다.
기업의 보안 관련 대응 리소스를 75% 단축할 수 있는 대체 솔루션
에스에스앤씨는 퍼셉션포인트를 통해 기업에서 이메일 보안에 투입되는 대응 리소스를 75% 단축할 수 있다고 강조했다. 사이버보안 전문가가 퍼셉션포인트 자체 SOC 센터 내에 24시간 365일 상주해 고급 자동 학습 알고리즘을 기반으로 과탐 및 오탐지 인스턴스에 대한 알림과 분석, 지속적인 모니터링을 통해 대응하고 있다. 또한, 홈페이지 문의 및 핫라인 채팅을 통해 한국어로 상시 대응이 가능하다. 기업에서 고민하고 있는 보안 관련 대응 리소스 절감에 대한 방안 뿐만 아니라 이메일을 통한 최신 악성 공격에도 빠르게 대응할 수 있도록 서비스를 제공하고 있다.
[이메일 보안 대표 솔루션 집중분석-2]
메일 위협 탐지, DLP와의 연동 통해 개인정보 & 기밀정보 유출 위협 차단!
보이지 않는 위협 차단, 이메일 보안 솔루션 Symantec Messaging Gateway
Symantec Messaging Gateway는 포괄적이고 효과적인 이메일 보안 솔루션으로, 신속한 위협 대응을 위한 최신 기술을 채택하고 있다. 강력한 데이터 손실 방지(DLP) 기능을 통해 개인정보와 기밀 정보의 유출을 방지하며, 통합된 보안 솔루션으로 다양한 보안 요소를 효율적으로 관리할 수 있다.
또한, 클라우드 호환성이 뛰어나 기업의 IT 환경이 클라우드로 전환하더라도 안전하게 이메일 통신을 지원할 수 있다. 기업에서는 사용자 정책 설정의 유연성을 통해 각종 보안 요구에 맞춘 적용이 가능하다.
최적화된 성능은 대규모 기업 환경에서도 안정적인 운영을 보장하며, 직관적이고 사용자 친화적인 인터페이스를 통해 사용자가 보안 정책을 이해하고 쉽게 준수할 수 있도록 지원한다. 이를 통해 Symantec Messaging Gateway는 기업의 이메일 커뮤니케이션을 종합적으로 보호하면서도 다음과 같이 사용자에게 최상의 경험을 제공한다.
▲이메일을 통한 외부 위협과 스팸 및 대량메일 차단을 위한 다단계 보호[자료=시만텍]
최신 위협 탐지
첫째, 최신 위협 탐지다. Symantec Messaging Gateway는 실시간으로 업데이트되는 위협 인텔리전스를 활용하여 여러 가지 보안 위협에 대응한다. 이는 신속한 대응과 정확한 탐지를 가능케 하며, 기업은 항상 최신 보안 기술을 활용하여 고급 위협으로부터 안전을 유지할 수 있다. 다양한 탐지 기술을 통해 악성코드, 스팸, 피싱 시도 등을 신속하게 식별하여 차단할 수 있다.
DLP와의 연동을 통한 정보유출 방지
둘째, DLP와의 연동을 통해 정보유출을 방지할 수 있다. Symantec Messaging Gateway는 DLP(데이터 손실 방지)와 연동해 이메일 트래픽을 실시간으로 감시하고, 정책에 따라 개인정보나 기밀 데이터와 관련된 민감한 데이터의 무단 이메일 전송을 방지 및 차단한다. 이를 통해 민감 정보 유출을 사전에 방지하고 규정 준수에 대한 신뢰를 증진 시킨다.
유연한 정책 설정
셋째, 유연한 정책 설정이다. 사용자가 기업의 특정 보안 요구에 맞게 정책을 유연하게 설정하고 관리할 수 있도록 하며, 사용자는 DLP 정책, 스팸 필터링 규칙, 악성코드 검사 방법 등을 조절해 기업의 특정 보안 요건에 맞게 솔루션을 최적화할 수 있다.
클라우드 호환성
넷째, 클라우드 호환성이다. Symantec Messaging Gateway는 온프라미스 환경 및 클라우드 환경에서도 최적의 상태로 작동하여 기업의 하이브리드 환경에서도 유연하게 대처할 수 있도록 지원한다. 이를 통해 기업의 클라우드로의 전환을 보다 안전하게 수행할 수 있도록 지원한다. 클라우드 호환성은 확정성을 높이고 유연성을 강화해, 기업의 인프라 구조가 변하더라도 지속적인 보안을 제공한다.
최적화된 성능
다섯째, 최적화된 성능이다. Symantec Messaging Gateway는 뛰어난 성능 최적화를 제공해 대규모 기업은 대용량의 이메일 트래픽을 효과적으로 처리가 가능하다. 안정적이고 효율적인 작동은 기업의 업무 효율성을 유지하면서도 안전한 이메일 통신을 보장한다. 고성능 하드웨어 및 최신 보안 기술을 통해 신속한 탐지 및 차단할 수 있다.
사용자 편의성
마지막으로 사용자 편의성이다. 직관적이고 사용자 친화적인 인터페이스를 제공하여 사용자가 손쉽게 보안 정책을 이해하고, 준수하는 데 큰 도움을 준다. 사용자 교육과 지원에 필요한 리소스를 최소화하며, 사용자가 보안 정책을 적극적으로 준수할 수 있도록 도와준다.
[이메일 보안 대표 솔루션 집중분석-3]
지능형 이메일 위협에 대응하는 이메일 제로트러스트 전략 제시
지란지교시큐리티, 이메일 통합 보안 솔루션 ‘스팸스나이퍼’
성공적인 사이버 공격의 91%는 이메일에서부터 시작된다. 이메일 보안이 다시금 화두가 되는 이유다. 지능화된 보안 위협에 대응하기 위해서는 공격의 시작점인 이메일 보안 대응력 강화가 기업의 최우선 보안 과제다. 국내 이메일 보안 대표 기업인 지란지교시큐리티 스팸스나이퍼는 자체 개발한 필터링 기술과 CDR을 결합한 이메일 제로트러스트 전략을 제시한다.
▲지란지교시큐리티 이메일 통합 보안 솔루션 스팸스나이퍼6 주요 특징[자료=지란지교시큐리티]
외부 이메일 공격 차단에서 발신 이메일 보안까지, 강력한 통합 보안 실현
스팸스나이퍼(SpamSniper)는 스팸, 악성코드 메일 및 메일 서버 공격 등 외부 위협 차단뿐만 아니라 발송 메일에 대한 모니터링을 통해 기업의 중요 정보 유출을 차단하는 이메일 통합 보안을 제공한다.
자체 개발한 메일 유사도 필터링 엔진을 탑재해 해시값을 통한 유사도 분석으로 실시간 변형되는 신종 악성 이메일 공격을 차단한다. 3단계 안전도 검사를 거쳐 메일 위험도를 종합적으로 분석, 잠재 위협에 대한 정보를 제공한다. 또한 발신 이메일에 대한 DLP 기능도 제공한다. 외부로 발송되는 메일에 대해 내부 승인 절차를 부여하고 주요 이메일 및 첨부파일은 암호화해 이메일을 통한 기업정보 유출을 방지한다.
스팸스나이퍼는 내부로 유입되는 이메일의 수신자, 발신자, 첨부파일, 링크 등 모든 요소를 검증하고, 안전한 메일만 유입시키는 제로트러스트 관점에서의 강력한 이메일 보안을 구현한다. 주요 기능으로는 △듀얼 백신 △이메일 유사도 필터링 △국내 이메일 보안 표준 인증(SPF, DKIM, DMARK 등) 적용 △수·발신자 인증 △이메일 안전도 검사 △첨부파일 콘텐츠 무해화(CDR) 등이 있다. 또한 직관적인 UI와 클라우드 릴레이 제공으로 사용자 편의성을 한층 높였다. 이메일 흐름에 대한 데이터 정보를 시각화한 대시보드를 제공한다. M365, Google Workspace 등 클라우드 이메일 서비스 연동을 지원해 별도의 API 설정 없이도 클라우드 환경에서 안전하고 편리한 이메일 보안 환경을 제공한다.
메일 수신·발신·저장·훈련까지 전방위적 메일 보안 라인업 보유
지란지교시큐리티는 전방위적으로 이메일 보안 라인업을 보유하고 있다. 풀 라인업을 바탕으로 기업의 보안 요구사항에 맞춰 최적화된 이메일 보안 서비스를 제공한다. 스팸스나이퍼를 주축으로 발신 메일에 대한 강력한 필터링과 승인·결재 프로세스를 제공하는 이메일 DLP 메일스크린, 이메일의 저장, 백업, 복구와 지능형 검색으로 이메일 관리의 효율성을 높여주는 이메일 아카이빙 제이볼트 플러스, 지속적인 모의훈련과 교육으로 임직원의 보안인식을 향상시키는 악성 이메일 모의훈련 머드픽스가 있다. 이와 더불어 KT AI와 결합한 클라우드 이메일 통합 보안 서비스 클라우드 메일게이트까지 갖추고 있다.
[이메일 보안 대표 솔루션 집중분석-4]
경계 사라진 업무 환경에서도 안전하게 이메일 보안 제로 트러스트로 구현
소프트캠프, SHIELDEX Mail & SHIELD Mail로 선제적인 이메일 보안 환경 제시
랜섬웨어, APT, 피싱 사이트 등 대다수의 보안 위협은 이메일로부터 시작된다. 메일을 열람하거나, 메일 내 첨부파일을 실행, 메일 내 URL을 클릭하는 순간 더이상 나와 내 동료는 안전하지 않다. 수신되는 메일 환경을 신뢰할 수 없다면, 발신되는 메일은 안전할까? 소프트캠프의 이메일 보안의 제로 트러스트 구현은 이런 고민에서 시작했다.
▲소프트캠프 SHIELDEX Mail & SHIELD Mail[자료=소프트캠프]
수신되는 이메일 보안의 제로 트러스트 구현 방법 SHIELDEX Mail
SHIELDEXMail(실덱스 메일)은 메일로 유입되는 악성 콘텐츠를 격리 및 차단하는 제로 트러스트 보안 메일 서비스다. 메일을 구성하는 본문과 첨부된 이미지, URL, 첨부파일까지 모든 구성 요소를 검사하고 무해화(CDR, Content Disarm & Reconstruction) 한다. 그 어떤 위협도 메일을 통해 반입되지 않고, 메일의 모든 것을 안전하게 사용할 수 있다. On-Premise 메일 서버 뿐만 아니라 Microsoft 365의 Outlook, Google의 Gmail 등 SaaS로 제공되는 메일 서비스와 연동해 SHIELDEXMail을 통해 제로 트러스트 보안을 실현할 수 있다.
발신되는 이메일 보안의 제로 트러스트 구현 방법 SHIELD Mail
SHIELD Mail(실드메일)은 외부로 발송되는 메일의 첨부파일을 제로 트러스트 조건부 적응적 정책(ZTCAP, Zero Trust Conditonal Adaptive Policy) 정책에 따라 수신자(같은 회사 도메인 등)에 맞게 자동 변환(암호화 유지, 해제 등)해 발송하는 문서보안 오케스트레이션 서비스다. 사내에서 대외로 발송되는 첨부문서가 포함된 메일에 대해 제로 트러스트 보안이 적용된다.
[이메일 보안 대표 솔루션 집중분석-5]
KT Bigdata기반 AI탐지모델에 SPAM, APT솔루션까지 통합한 구독형 SaaS 솔루션
AI탐지모델을 접목한 Cloud형 메일보안 서비스, “지능형위협메일차단”
최근 이메일 해킹 공격은 AI/RPA 기술로 지능화되고, 공격 빈도도 급격히 증가해 기존 시그니처 기반 보안 솔루션만으로 대응이 불가한 상황이다. 특히 보안 인프라 도입 및 운영인력이 부족한 중소기업과, 공공기관, 학술기관 등 국가 주요시설 대상으로도 공격이 확대되고 있어 관련 부처에서는 해당 기관에 이메일 보안 강화 등 대응 마련을 요구하고 있다.
▲KT 지능형위협메일차단[자료=KT]
대부분 기업은 메일보안 강화의 필요를 체감하고 있으나, 도입을 망설이는 몇 가지 이유가 있다.
1. 단일 솔루션을 도입하는 경우, 탐지속도(지연시간), 탐지율, 정탐율이 만족스럽지 않다.
2. 기업 규모가 작은 경우 구축한 솔루션을 운영, 관리하는데 어려움이 많다.
3. 기존 메일보안 솔루션은 온프레미스형으로 제공되어, 초기 투자비용이 크게 발생한다.
KT 지능형위협메일차단 솔루션은 AI기술과 기존 솔루션이 접목된 Cloud 통합 이메일보안 서비스로 기존 메일보안 솔루션이 가지고 있는 한계를 해결한다.
AI탐지모델 적용으로 검사 시간 단축 및 탐지율 향상 KT AI메일보안플랫폼에서 악성메일 탐지 시, 실행파일을 비트맵이미지화(약 1초 소요) 하고 이를 기존 학습된 악성파일과의 유사도를 측정하는 방식을 사용한다. 이 때문에 악성 행위를 기다릴 필요 없어, 기존 동적분석 대비 최대 180배까지 탐지속도 향상이 가능하다. 특히, AI탐지모델은 국내 특화 DB가 적용되어 글로벌 B사 솔루션 대비 최대 22% 높은 탐지율을 보이고 있다.
SaaS형태로 솔루션제공과 운영까지 통합 제공
지능형위협메일차단은 SPAM, AI탐지모델, APT솔루션이 SaaS형태로 한 번에 제공되어 탐지성능 유지를 위한 별도의 운영 관리가 필요 없다. KT AI플랫폼은 보안전문가의 지속적인 AI모델 관리 및 학습을 통해 정확도 97%이상의 탐지율을 유지하고 있다. 약 13만 건의 악성/정상 파일을 48시간동안 20회 학습하여 스무 개의 모델을 생성하고, 그 중 가장 높은 정탐율을 나타내는 모델을 선택·적용해 최상의 탐지율을 유지한다. 또한 SPAM솔루션의 경우 24h/365d 전문 고객센터 운영으로 기업 메일 관리자는 언제든 원격으로 기술지원을 받을 수 있다.
50user구간 단위 구독형 서비스 제공
지능형위협메일차단은 최소 50user부터 가입 가능한 월 구독형 Cloud 서비스로 제공되어, 동일 성능의 구축형 TCO 대비 최대 75%까지 비용 절감이 가능하다. 서비스 해지에 대한 위약금이 없어, 메일계정 확장/축소 시에도 유연한 요금 대응이 가능하다.
PoC 기간 최대 1개월 제공
KT에서는 희망 고객을 대상으로 최대 1개월까지 무료 PoC 기간을 제공하고 있다. PoC 사례 중, K 연구기관 보안담당자는 PoC 이용기간 동안 악성메일 신고 건이 월 140건에서 4건으로 감소, 랜섬웨어 사고가 월 평균 2건에서 0건으로 감소하는 등 PoC의 시작과 종료가 확연히 체감 될 정도로 유의미한 결과가 있다고 응답했다.
[이메일 보안 대표 솔루션 집중분석-6]
시스코 보안 위협 센터 TALOS의 위협 인텔리전스로 보안 강화
이메일 보안의 시작과 끝이 여기에, 시스코 Secure Email
이메일은 공격자가 쉽게 사용할수 있는 공격 방법이기에, 여전히 No#1 공격 대상이며, 대부분의 보안침해 사고는 Email로 부터 시작되기 때문에, 강력한 이메일 보안이 필요한 시대가 되었다.
▲시스코 Secure Email이 지원하는 보안기능 요약[자료=시스코]
점점 다양하고 정교해지는 이메일 공격과 이에 따라 변화하는 시스코 Secure Email
최근 사이버 공격이 기업 및 개인의 이메일을 통해 점점 더 정교해지고 있다, 이러한 위협에 대응하기 위한 강력한 이메일 보안 솔루션이 필수적인 사항으로 부각되고 있다. 시스코의 Secure Email은 이러한 위협에 대응하기 위해, 지속적으로 최신 기술을 추가해, 다양한 보안 기능들을 탑재하여 안전하고 신뢰할 수 있는 이메일 보안을 제공하고 있다.
시스코 보안 위협 센터인 TALOS를 통해 제공하는 위협 인텔리전스로, 송신자의 평판조회부터, 도메인검사, 메일 송신양과 SPF, DKIM을 조회하여 송신자 검증을 실행하며, 바이러스 검사, 빠른 첨부파일의 실시간 TALOS 조회, 분석되지 않은 첨부파일의 샌드박싱 분석, DLP, 마케팅 메일을 탐지하여 컨트롤 하는 기능, 이메일 본문내의 링크에 대한 위협 조사 및 차단, 또한 글로벌하게 실시간으로 퍼지고 있는 악성 이메일에 대한 긴급차단 기능, 클라우드 이메일 보안까지 이메일 보안을 위한 거의 모든 보안기능을 제공하고 있다.
또한 시스코는 최근 고객들의 이메일 운영 형태의 변화에 따라, 세가지 형태로 솔루션을 제공하는데, 그 형태는 다음과 같다.
1) On-Premise 형태: 직접 고객사에 설치하여 운영하는 방식.
2) 클라우드(SaaS) 형태: Secure Email 을 시스코의 클라우드에서 운영하는 형태, 혹은 O365에 특화된 이메일 보안을 제공하는 형태.
3) 하이브리드: 위 두가지 형태를 동시에 사용한 보안이 필요하거나, On-Premise 형태에서 클라우드형 이메일 보안으로 변경하는 과정의 고객인 경우.
특히 이메일 보안솔루션의 처리량은 고객이 사용중인 이메일의 양과 관계가 있는데, 시스코 Secure Email은 OS사용에는 추가 비용이 발생하지 않는 구조이기 때문에, 동일 사용자를 대상으로 더 많은 이메일에 대한 검사가 필요할때에는 쉽고 빠르게 서버를 늘릴수 있는 구조를 지원하고 있어, 큰 운영에 유연성을 제공하고있어 고객사의 만족도가 높다.
또한 이메일 보안솔루션을 운영하는 경우 꼭 필요한 특수사용자를 위한 사용자별 보안 정책 적용, 정밀한 정책 적용, 스팸차단, 멀웨어탐지 차단, URL 필터링, 까지 강력한 보안 기능이 한 솔루션에서 관리 되기 때문에, 빠르고 쉽게 정책 적용이 가능하다
미래에도 필요한 강력한 이메일 보안 솔루션
강력한 보안기능과 함께, DMARK, Domain Protection, 클라우드 이메일 보안, 피싱, 업무를 가장한 사기 메일등 이메일을 통한 보안 공격들은 변화하고 있고, 그에 대응하는 표준 방식들도 변화하고 있다. 때문에 사용자의 이메일 운영 정책도 변경 되어야 하는데, Cisco Secure Email은 이런 흐름을 빠르게 변화하며 지원하고 있고, 이 때문에 전문 이메일 보안 솔루션인 Cisco Secure Email 이 계속 주목받는 이유이기도 하다. 앞으로는 기존 보안 솔루션의 방식으로는 대응이 불가능한 사기 이메일 차단도 향후에 적극 도입을 검토해야하는데, 수개월전 시스코는 AI 기술을 가진 회사를 인수한바 있으며, 이는 조만간 제품의 기능으로 출시될것으로 예상되고 있다.
마지막으로, 대부분의 사이버 위협의 시작인 이메일을 통한 보안 유지 현황도 보안 관제에서 함께 필수적으로 운영해야 하는데, 시스코 XDR를 통하게 되면, 어떠한 공격이 어떤 사용자에게 메일로 전달되었는지 또한 이 악성메일을 통한 공격이 어떤 경로로 퍼져 나갔는지를 한 번에 빠르게 확인할 수 있게 있어, 보안 운영에 또다른 큰 효율을 가져올 수 있다. 미래에도 안전한 보안 환경을 만들기 위해서는 강력한 이메일 보안이 꼭 필요함을 잊지 말아야겠다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
