[데이터넷] 사이버 킬체인의 첫 번째 감염 단계에서 가장 많이 사용하는 기법은 이메일을 이용하는 스피어피싱이나 웹사이트 취약점을 이용하는 워터링홀(드라이브 바이 다운로드)이다. 둘 다 사회공학 기법을 이용해 사용자의 신뢰를 얻는 방법으로 공격을 진행한다.
이메일을 이용한다면 업무와 관련된 메일이나 타깃 사용자의 관심을 끌 수 있는 정상적인 내용으로 위장한다. 웹사이트를 이용하는 경우는, 목표 사용자 그룹이 자주 방문하는 웹사이트의 취약점을 이용해 악성링크를 숨겨 사이트 방문자는 자신도 모르게 악성링크로 연결된 사이트에 연결돼 자동으로 악성코드에 감염된다. 신뢰할 수 있는 정상 사이트를 이용해 공격한다면 해당 사이트에 연결된 광고배너나 외부 콘텐츠를 이용한다. 광고 배너의 플래시 취약점을 이용해 방문자를 감염시키는 멀버타이징 공격이 사용된다.
악성문서를 이용하는 공격은 업무와 연관된 내용의 이메일에 첨부파일로 보내거나, 웹사이트나 외부 클라우드 서비스를 통해 문서를 다운받도록 하면서 감염시킨다. 문서를 열어보는 즉시, 혹은 문서를 열어 어느 정도 위치까지 읽었을 때 감염되도록 한다. 문서에 외부 링크를 숨겨 감염시키기도 하는데, 사용자가 직접 링크를 클릭하거나 URL로 삽입된 외부 이미지, 동영상 등을 통해 감염시킨다.
상기 사례에서 자주 발견되는 특징은 외부 웹 링크를 이용해 공격이 진행된다는 사실이다. 악성링크를 이용하면 샌드박스나 CDR 등의 보안 솔루션을 우회할 수 있다. 웹 링크를 클릭하거나 사용자가 리다이렉트 됐을 때, 아무런 행위가 일어나지 않도록 한다. 초기 연결 시 보안 솔루션이 이를 분석해 악의적인 행위가 일어나는지 확인하고 대응할 때, 아무런 이상행위도 발생하지 않으면 위험하지 않은 링크로 판단하고 조치하지 않는다. 보안 분석이 끝난 후 악성링크를 통해 공격이 진행되면 쉽게 보안 솔루션을 우회할 수 있다.
멘로시큐리티가 자사 고객인 아메리칸 익스프레스 임직원을 대상으로 보안 훈련을 시행한 결과, 이 같은 공격의 위험성을 잘 보여준다. 180일간 시행한 테스트에서 임직원은 1089건의 피싱 메일 링크를 클릭했으며, 8541개의 악의적인 웹사이트에 방문했다. 이메일에 포함된 링크에 위험성이 없는 것으로 분석됐으나 나중에 악의적인 링크와 연결돼 악성 행위가 발생한 것으로 나타났다.
스콧 푸셀리어(Scott Fuselier) 멘로시큐리티 최고매출책임자(CRO)는 “현재 기업과 기관은 많은 보안 솔루션을 통해 공격을 감지하고 차단하고 있으나, 모든 악의적인 행위를 막을 수 없다. 현재 보안 기술로는 악의적인 행위와 정상적인 접근을 구분하는 것은 어려운 일”이라고 지적했다.
‘에어갭’으로 네트워크 보호하는 격리 기술
악성 웹사이트를 통해 진행되는 공격에 대응하기 위해 ‘인터넷 격리(Internet Isolation)’ 기술이 최근 부상하고 있다. 특히 이 기술은 클라우드 애플리케이션 채택이 가속화되고 모바일 인력이 증가하는 환경에서 필수적인 보안 기술로 주목되고 있다. 클라우드와 모바일 애플리케이션은 웹 브라우저를 통해 중요 업무로 연결된다. 웹 기반 업무가 늘어나면서 웹 기반 공격 노출면이 확대됐으며, 이에 대한 대응책이 시급한 시점이다.
인터넷 격리는 모든 웹 콘텐츠가 위험하다고 가정하고, 사용자가 외부 인터넷에 연결할 때 해당 웹사이트의 콘텐츠에 직접 연결하지 않도록 한다. 외부 콘텐츠는 가상화 기술을 이용해 격리시킨 후 렌더링 기술을 이용해 안전성이 확인된 콘텐츠만 재조합해 제공한다. 렌더링된 웹사이트는 일반 HTML 소스가 아닌 독창적으로 개발된 인터넷 소스로 보여줘 악성코드가 활동하지 못하도록 한다.
공격자와 엔터프라이즈 네트워크 사이에 ‘에어갭’을 두어 공격자가 목표 시스템에 도달하지 못하도록 하는 일종의 ‘해자’를 만들고 내부 네트워크에 대한 제로 트러스트 인터넷을 구현할 수 있다.
격리 기술은 외부 인터넷 연결 뿐 아니라 이메일 연결에도 사용된다. 이메일의 외부 링크 연결을 격리시키며, 첨부파일을 직접 열어보지 못하도록 차단한 후 격리된 환경에서 열어보도록 해 악성요소가 사용자와 네트워크를 감염시키지 못하도록 한다. 해당 파일이 업무에 필요하다면 무해화 한 후 안전한 콘텐츠만 재조합해 안전한 PDF로 구성해 제공한다. 원본 파일이 필요한 경우라면 샌드박스 검사 후 악성요소를 제거하고 원본을 제공하는 방식을 택한다.
인터넷 격리 솔루션, 국내 상륙
인터넷 격리 기술은 웹 보안 게이트웨이(SWG), CDR 기술과 결합해 시너지를 높일 수 있다. 외부 유입 문서를 가상 공간에서 격리해 보여주고, 원본 문서가 필요하면 CDR로 무해화 한 후 전달할 수 있다.
SWG와 연동하면, SWG 정책에 따라 유해사이트 접근이 원천 차단되며, SWG가 분석해 악의적인 콘텐츠가 있는 웹사이트에 접속해야 한다면 격리 기술을 이용해 악성 액티브 콘텐츠를 제거한 안전한 웹 콘텐츠에만 접근할 수 있도록 한다. 격리와 읽기 전용 기술을 이용해 의심스러운 웹사이트에 직접 접근하지 않고 웹 콘텐츠를 안전하게 확인할 수 있다.
인터넷 격리는 비교적 최근 등장한 기술이지만, 높은 성장성을 갖고 있다. 가트너는 기업의 50%가 직원의 웹 브라우징 활동을 적극적으로 격리하기 시작할 것이라고 예측한 바 있다. 이 시장의 주요 플레이어는 멘로시큐리티(Menlo Security)가 대표적이며, 시만텍이 인수한 파이어글라스(FireGlass), 지스케일러가 인수한 앱슐레이트(Appsulate), 에리컴(Ericom), 어센틱에잇(Authentic8) 등이 있다. 브로미엄(Bromium), 아포지(Apozy) 등 클라이언트에서 격리 기술을 제공하는 기업도 있으며, 서비스로 제공되는 원격 브라우저를 통해 격리 기술을 제공하는 웹갭(WEBGAP), 시글루(Cigloo), 라이트포인트시큐리티(Lightpoint Security)도 있다.
이 중 국내에서는 멘로시큐리티와 시만텍이 경쟁을 시작했다. 멘로는 올해 초 한국지사를 설립하고 파이어아이 출신 김성래 지사장을 영입하면서 공격적인 시장 공략에 나섰다. 멘로는 인터넷 격리와 차세대 SWG 솔루션을 공급하는 전문기업으로, 전 세계 엔터프라이즈와 공공·금융·의료 등 다양한 고객을 확보하고 있다.
‘MSIP(Menlo Security Isolation Platform)’은 하루 5억개 이상 웹사이트를 격리시키고, 보안 기능을 우회하는 멀웨어와 피싱으로부터 사용자를 보호한다. 클라우드 SaaS 방식 혹은 구축형으로 공급될 수 있으며, 국내에서도 클라우드 리전을 개설해 클라우드 관련 규제를 만족시킨다.
인터넷망 무해화로 제로 트러스트 구현
MSIP가 경쟁사보다 뛰어난 점은 빠르고 가벼운 렌더링 기술 ‘ACR(Adaptive Clientless Rendering)’ 덕분이다. ACR은 네트워크 전송 속도를 개선해 일반 웹 서칭과 비슷한 속도로 웹사이트를 이용할 수 있도록 한다. 모든 브라우저와 장치, OS등에서 에이전트 설치 없이 인터넷의 모든 콘텐츠를 격리하고 악용 가능한 액티브 콘텐츠를 제거한다.
멘로는 우리나라 금융 기관이 보안을 위해 내부망과 외부망을 분리하는 망분리 ‘에어갭(Air-Gap)’ 규정 준수에도 도움을 줄 수 있다고 해석하고 금융시장을 적극 공략한다. 인터넷망에 MSIP를 적용하면 인터넷을 통해 유입되는 악성 행위를 무해화 할 수 있으며, 웹·이메일 공격을 차단하기 위해 추가 하드웨어나 소프트웨어를 설치하지 않아도 된다.
김성래 멘로코리아 지사장은 “멘로에 투자한 투자자이면서 최대 고객인 JP모건은 멘로의 격리 기술을 통해 웹과 이메일을 통한 공격 대응에 높은 효과를 보고 있다. 이 처럼 전 세계 주요 금융기관과 공공기관이 멘로 격리기술을 이용해 공격면을 최소화하고 제로 트러스트 네트워크를 만들고 있다”고 말했다.
그는 이어 “국내에서는 강력한 망분리 규제를 통해 금융·공공기관이 내부망을 보호하고 있지만, 인터넷 망을 통해 유입된 공격이 망연계 시스템을 통해 내부망으로 침투하는 것을 막지 못한다. 멘로의 격리 기술이 인터넷 망 구간의 웹·이메일 유해 요소를 제거해 인터넷망을 무해화해 공격 노출면을 제거할 수 있다”고 강조했다.
