이메일이 사이버 공격을 유포시키는 매체로 악용되면서, 메일 보안에도 다단계 방어 전략과 글로벌 위협 인텔리전스를 이용한 신변종 공격 차단 전략이 필요하다는 의견이 폭넓게 수용되고 있다. 이메일 보안에 필요한 기술과 다단계 방어전략을 살펴본다.<편집자>
지능형 악성메일, 전문 클라우드 서비스로 차단
악성메일을 이용하는 공격은 표적 맞춤형으로 정교하게 진행되며, 보안 시스템을 우회하기 때문에 정확하게 탐지하기가 어렵다. 특히 지능형 표적 공격에 시달리는 기업의 경우, 여러 보안 제품을 단계별로 쌓고 막아도 지능적으로 침투하는 공격을 완벽하게 차단할 수 없다.
이 때문에 국내 기업/기관들도 클라우드 기반의 이메일 서비스에 호의적인 태도를 보이고 있다. 아직까지는 기업의 중요 데이터를 외부로 보낼 수 없다는 인식이 강해 클라우드 이용에 소극적인 편이지만, 악성메일로 인해 랜섬웨어, 스캠, APT 공격 위험을 겪은 기업, 혹은 공격받을 가능성이 높은 기업은 보안 전문 기관이 SLA를 보장하는 클라우드 메일 서비스에 관심을 보이고 있다.
시만텍 ‘이메일 시큐리티 닷 클라우드’가 대표적인 서비스로, 국내 게임사, 엔터프라이즈 등에 서비스를 제공하면서 시장 확장에 속도를 내고 있다.
안랩은 이메일을 이용한 랜섬웨어를 막을 수 있는 전용 서비스를 출시하고 클라우드 보안 시장의 문을 열었다. 안랩의 ‘이메일 랜섬웨어 보안 서비스’는 클라우드에서 첨부파일의 악성여부를 확인하고, 이메일 본문 내 URL을 점검하며, 스팸메일을 차단하는 등의 보안 서비스를 제공한다.
이 서비스는 메일 서버로 전달되기 전 클라우드에서 메일을 검사하며, 스팸, 바이러스, 발신자, 본문URL을 검사한다. 첨부파일은 가상환경에서 검사하고 동적 분석을 통한 이상 유무를 점검하며, 악성메일로 탐지되면 메일을 차단하고 관리자 혹은 사용자에게 알린다. 정상으로 판정된 메일만 메일서버로 전달해 안전한 메일만 수신할 수 있게 한다.
스팸차단·APT 방어 연계해 탐지 정확도 높여
이메일 공격은 알려지지 않은 악성문서와 악성URL 뿐만 아니라 잘 알려진 악성코드, 스팸, 바이러스 메일, 피싱·파밍 등의 공격도 사용된다. 따라서 기존의 스팸메일 차단 시스템과 새로운 APT 방어 시스템을 함께 운영하는 것이 효과적인다.
국내 스팸메일 솔루션의 대표주자인 지란지교시큐리티 ‘스팸스나이퍼’와 SK인포섹의 관제 역량이 통합된 ‘이에이피티 인사이트(eAPT insight)’가 그 이상을 실현하고 있다. 이에이피티 인사이트는 SK인포섹의 관제 서비스 기반 악성메일 전문 탐지·차단 기술과 CERT를 통해 수집하는 위협 인텔리전스를 스팸차단 솔루션과 연동시켜 알려진 공격과 새로운 공격을 차단한다.
지란지교시큐리티의 스팸스나이퍼는 국내 최다 메일DB와 필터링 기술을 보유하고 있으며, DLP 기능을 탑재해 중요정보의 불법적인 유출을 방지한다. 국내외 APT 전문 벤더들과 협력해 스피어피싱에 공동대응한다. 하반기에는 이메일 APT 대응 솔루션을 출시하고 시장을 공략할 계획이다.
천명재 지란지교시큐리티 이사는 “스팸스나이퍼는 국내 이메일 보안 솔루션 시장에서 가장 많은 고객을 확보하고 있기 때문에 APT 방어 솔루션 기업들이 공동으로 시장을 개척하기를 원한다. 양사 고객의 메일보안 수준을 한차원 높일 수 있는 제품을 소개해 고객들이 악성메일 공격에서 비즈니스를 보호할 수 있게 한다”며 “대기업 그룹사 등에서 APT 방어 솔루션과 스팸스나이퍼를 사용해 악성메일을 차단하는 효과를 보고 있으며, 랜섬웨어 공격을 미리 차단하는 등의 효과를 경험하기도 했다”고 말했다.
다우기술은 자체개발한 스팸차단 기술과 악성메일 차단 기술을 적용한 통합메일 보안 솔루션 ‘테라스메일 시큐리티’를 공급하고 있으며, 메일을 통해 수신되는 피싱, 스팸, 바이러스, 랜섬웨어, APT를 사전에 차단하는 ‘다우오피스 시큐리티’를 곧 출시할 예정이다. 다우오피스 시큐리티는 위협을 발견하면 즉시 격리해 감염이 확산되지 않도록 한다.
