[데이터넷] 학술회의 준비 중인 A씨는 아래와 같은 내용의 메일을 받았다.
‘학술회의 발표 자료입니다. 용량이 커서 다운로드 링크로 보내드립니다.’
A씨는 의심 없이 다운로드 링크를 클릭했으나 아무 자료도 받지 못했다.
메일 발신자에게 해당 자료가 다운로드 되지 않는다고 회신을 보냈는데, 메일 발신자는 학술회의 발표자가 아니고, 발표자의 이메일 주소와 아주 유사한 다른 계정이었다. A씨가 링크를 클릭한 순간 A씨의 PC는 악성링크 다운로드 사이트로 리다이렉트 돼 악성코드에 감염됐다.
A씨의 사례처럼 업무와 관련된 이메일로 위장한 공격이 성행하고 있다. 현재 공격의 99%는 웹과 이메일을 통해 진행된다. 메일 본문에 URL을 클릭하도록 유도하거나 첨부파일을 열거나 매크로를 실행시키면 악성웹사이트로 자동 연결되는 등의 방식을 사용한다.
멘로시큐리티(이하 멘로)의 스콧 푸셀리어(Scott Fuselier) 최고매출책임자(CRO)는 “보안이 매우 잘 갖춰진 대기업도 이메일과 웹을 통한 공격에 속수무책으로 당한다. 한국의 환경도 크게 다르지 않을 것이라고 본다”며 “제로 트러스트 기반 웹·이메일 보안 정책이 필요하다”고 말했다.
스콧 푸셀리어는 멘로고객인 아메리칸 익스프레스의 사례를 들어 설명을 이어갔다.
180일 동안 아메리칸 익스프레스 임직원은 1089건의 피싱 메일 링크를 클릭했으며, 8541개의 악의적인 웹사이트에 방문했다. 이메일에 포함된 링크에 위험성이 없는 것으로 분석됐으나 나중에 악의적인 링크와 연결돼 악성 행위가 발생한 것으로 나타났다.
푸셀리어 CRO는 “현재 기업과 기관은 많은 보안 솔루션을 통해 공격을 감지하고 차단하고 있으나, 모든 악의적인 행위를 막을 수 없다. 현재 보안 기술로는 악의적인 행위와 정상적인 접근을 구분하는 것은 어려운 일”이라며 “멘로시큐리티의 ‘격리’ 기술이 이와 같은 문제의 해결책을 제시한다”고 말했다.
웹·이메일 무해화로 제로 트러스트 모델 완성
격리(Isolation) 기술은 사용자와 웹·이메일 사이에 ‘에어갭’을 두고 의심스러운 행위를 제거하고 안전한 서비스로 접근할 수 있도록 도와준다. 예를 들어 사용자가 웹 사이트 접속을 시도할 때 멘로시큐리티의 에어갭을 통과하면 악의적인 액티브 콘텐츠를 제거하고 안전한 웹 콘텐츠에만 접근할 수 있도록 한다.
최근 제로 트러스트 모델을 적용한 웹·이메일 보안 정책으로 격리 기술이 관심을 받고 있다. 악성 웹과 이메일을 이용한 공격은 기존 보안 시스템으로 탐지하기 어렵기 때문이다.
공격자는 웹사이트 취약점을 이용해 악성코드나 악성링크를 숨긴 후 스피어피싱으로 타깃 사용자를 감염된 웹사이트로 유도한다. 감염당한 웹사이트는 유해 사이트로 분류된 사이트 뿐 아니라 정상 사이트를 이용하기도 한다. 신뢰할 수 있는 사이트라 해도 외부 광고의 취약점을 이용해 감염시킬 수 있다. 혹은 처음 만든 웹페이지를 통해 감염시키기도 하는데, 이러한 사이트는 유해사이트 DB에 등록돼 있지 않기 때문에 유해사이트 차단 기술로 막을 수 없다.
격리 기술은 모든 웹 접속에 개입해 무해화 된 웹으로만 접근하도록 해 이와 같은 우회 공격을 막을 수 있다. 이메일의 URL 링크나 악성문서를 이용한다 해도 무해화 한 콘텐츠만 사용자가 볼 수 있도록 해 안전하다. 사용자가 이메일 첨부파일을 열어본다면 액티브 콘텐츠가 활동할 수 없는 HTML5 형태로 보여준다. 사용자가 문서 형태로 내려 받아야 한다면 액티브 콘텐츠를 제거한 후 안전한 PDF로 제공해주며, 만일의 경우 원본 문서가 반드시 필요한 경우라면 악성코드가 있는지 여부를 검사한 후 원본 문서 다운로드를 허용할 수 있도록 한다.
격리+SWG 통해 웹 보안 강화
가트너는 격리 기술과 웹 게이트웨이(SWG)를 함께 사용하면 더 강력한 보안 환경을 제공할 수 있다고 설명하고 있다. SWG를 통해 안전한 웹 접속을 지원하며, 접근하려는 웹에서 악성 콘텐츠를 제거해 무해화된 안전한 웹을 이용할 수 있도록 하는 방식이다. 멘로시큐리티는 웹·이메일 격리 기술 ‘MSIP’와 ‘차세대 SWG’를 제공해 가트너가 제안하는 웹 보안 전략을 완성할 수 있다.
이 기술이 최근 관심을 받으면서 경쟁사들도 속속 시장 공략을 강화하고 있다. 격리 기술을 보유한 전문 기업 파이어글래스를 인수한 시만텍, 앱슐레이트를 인수한 지스케일러가 대표적이며, 이들도 격리 기술과 SWG를 함께 사용해 보안을 강화할 수 있다고 강조한다.
푸셀리어 CRO는 “경쟁사들도 수준 높은 기술을 제공하지만, 멘로시큐리티의 기술 수준에 미치지 못한다. 멘로시큐리티는 클라우드 네이티브 아키텍처로, 클라우드를 통해 유연하고 강력한 격리 기술을 제공하며, 고객이 원하면 구축형 장비로도 공급할 수 있다. 매우 빠른 렌더링 기술로 사용자 경험을 최적화 하며, 강력한 멀웨어 탐지 기술을 통해 제로데이 공격도 차단할 수 있다”며 “다른 보안 솔루션을 이용하지 않고도 지능적인 공격을 제거해 복잡한 보안 레이어를 줄이고, 보안 투자를 효율화 할 수 있다”고 말했다.
한국 최적화된 격리·SWG 기술 제공
멘로시큐리티는 올해 초 김성래 전 파이어아이코리아 영업총괄 본부장을 지사장으로 선임하면서 한국 지사를 설립했으며, 한국 리전을 만들고 6월 정식 서비스를 시작, HWP 한글 문서와 한글 파일 지원 기능을 제공하면서 국내 환경에 최적화된 격리 기술을 제공하고 있다.
9월 3일 한국지사 런칭 세미나를 개최하면서 본격적인 영업에 나섰으며, 국내 20여개 파트너와 솔루션 공급 체계를 만들고 국내 보안 및 IT 기술 기업들과 다각적으로 협력하면서 시장 지배력을 강화하고 있다. 특히 콘텐츠 무해화(CDR) 솔루션과 협력을 통해 제로 트러스트 모델 기반 보안 기술을 완성해나가고 있다.
김성래 멘로코리아 지사장은 “멘로는 지사 설립 이전에 이미 한국의 특수한 문화와 언어에 최적화된 솔루션 제공 준비를 마쳤다. 한글 문서와 파일을 완벽하게 지원하는 곳은 멘로 뿐”이라며 “금융, 엔터프라이즈, 게임, 이커머스, SMB 등 다양한 산업군의 20여개 고객이 이미 개념검증을 진행하면서 솔루션 도입을 검토하고 있다. 한국에서 빠른 성장을 통해 격리 기술 시장의 강자임을 입증할 것”이라고 말했다.
격리 기술에 아주 많은 관심을 보이는 곳이 금융기관이다. 금융권은 가장 많은 공격을 받는 산업군으로, 망분리를 통해 인터넷을 통해 공격이 유입되지 않도록 차단하고 있다. 그러나 망분리 환경은 망연계를 통해 외부와 연결되는 지점이 있어 이 구간을 노리는 공격이 집중 발생하고 있다. 격리 기술은 인터넷 망 구간에 적용돼 인터넷망을 통해 내부망으로 침투하는 공격을 막을 수 있다.
김성래 지사장은 “금융기관에서도 격리 기술에 매우 많은 관심을 보이고 있으며, 내년에는 본격적인 솔루션 도입이 이뤄질 것이라고 기대한다. 이 뿐 아니라 제조, 이커머스, 게임 등 다양한 분야에서 솔루션 도입을 검토하고 있어 상당한 성장을 이뤄낼 수 있을 것이라고 자신한다”고 말했
