웹·이메일 보안⑤ DNS 보안·RASP·이메일 보안
상태바
웹·이메일 보안⑤ DNS 보안·RASP·이메일 보안
  • 김선애 기자
  • 승인 2020.10.14 09:39
  • 댓글 0
이 기사를 공유합니다

DNS 보안 솔루션으로 안전한 인터넷·클라우드 연결 제공
운영중 애플리케이션 보호 기술로 서비스 영향 없이 보호
이메일 보호 위한 제로 트러스트 접근법 ‘주목’

[데이터넷] 인터넷은 DNS를 통해 연결된다. 웹사이트 접속을 위한 내비게이터 역할을 하는 DNS는 쉽게 공격할 수 있으며 공격으로 인한 피해가 매우 커 공격자들이 선호하는 공격 목표가 된다. DNS 디도스 공격으로 웹사이트를 중단시킬 수 있으며, DNS를 통해 C&C 통신을 해 방화벽을 우회할 수 있고, DNS를 통해 개인정보를 유출시킬 수도 있다.

반면 DNS는 보안 강화에 사용할 수도 있다. DNS는 모든 연결의 시작점으로, 다양한 기기 정보와 웹사 이트 접속 정보 등에 대한 인텔리전스를 축적하고 있다. 유해 사이트 DB를 DNS와 연동하면 사용자의 위험한 웹 활동을 막을 수 있으며, C&C 의심 사이트 접속을 요청하는 디바이스에 대한 정보를 제공해 감염된 디바이스를 격리하도록 도와줄 수 있다. 이러한 정보를 SIEM·SOAR 등과 연동해 보안 강화 효과를 높일 수도 있다.

인포블록스는 ‘DNS 방화벽’으로 DNS 타깃 공격을 막으며, ‘쓰렛 인사이트’를 통해 DNS 트래픽을 실시간 모니터링하고 제로데이 공격 방어, DNS 이용 데이터 유출 공격을 막는다. 더불어 DNS를 엣지로 활용해 SD-WAN·SASE 플랫폼으로 확장할 수 있도록 지원한다. 인터넷에 연결된 기기와 네트워크 가시성을 제공하며 지점·지사 보안 정책 배포와 관리를 지원한다.

토종 웹 보안 전문기업 코아맥스테크놀로지는 DNS 보안, 파밍 방어 솔루션 등으로 이뤄진 ‘크로첵(Crocheck)’ 제품군으로 웹을 통한 다양한 위협에 대응한다. ‘크로첵 SDNS’로 DNS와 관련된 다양한 보안 문제를 해결하고, ‘크로첵 EPM’으로 연결된 기기의 IP 주소를 관리한다. ‘크로첵 UDSS’는 통합 도메 인 보안 솔루션으로, 파밍·피싱 방지, 유해사이트 차단 등을 통해 개인정보·중요정보를 보호한다.

API 설계 오류 악용 공격 대응해야

클라우드는 애플리케이션으로 개발돼 API로 연결된다. 클라우드가 확산되면 API도 증가한다. 아카마이 조사에 따르면 금융사 대상 계정 공격의 75%가 API를 노린 것이었으며, 지난 2년간 금융업계 겨냥 사이버 API 공격은 5억여건에 이르는 것으로 나타난다.

가트너는 2022년까지 API가 가장 빈번한 공격 대상이 될 것이며, 엔터프라이즈 애플리케이션 데이터 침해의 주요 원인이 될 것이라고 내다 본 바 있다. API 공격이 심각해지면서 지난해 OWASP는 API 보안위협 톱 10을 발표하기도 했다.

API 공격은 API 접근 계정을 탈취하거나 API에 내재된 보안 취약점을 이용한다. 또한 API 설계상의 논리적 오류를 이용하는 공격도 상당한 비중을 차지한다. API 보안 취약점·계정 탈취 공격은 웹방화벽이나 API 게이트웨이를 통해 어느 정도 완화할 수 있지만, 논리적 문제로 인한 공격은 이 기술로 막을 수 없다.

엔시큐어가 국내에 공급하는 임비전테크놀로지는 API 보안 취약점은 물론 설계오류로 인한 보안 위협에도 대응한다. 이 제품은 자연어 분석 기술을 이용해 의미 있는 이상징후를 탐지하고 오탐을 최소화한다. 모든 API 프로토콜을 지원하며, 현장에서 입증된 API 위협 방지 플랫폼을 제공한다.

운영중 애플리케이션 보호 기술 주목

임퍼바는 웹방화벽과 런타임 애플리케이션 자가 방어(RASP) 솔루션을 이용해 API 위협까지 막을 수 있다고 소개한다. 개발자 실수 등으로 공격자가 API 권한을 획득해 데이터 유출과 원격 공격 명령을 삽입할 때, RASP가 이를 실시간으로 탐지하고 대응할 수 있다.

RASP는 운영 중 애플리케이션과 클라우드에서 일어나는 이상행위를 탐지해 대응하는 솔루션으로, API 보안뿐 아니라 발견하지 못했던 취약점이나 해킹·공격 등을 막을 수 있다.

RASP는 클라우드 사용이 늘어나면서 차츰 관심을 받고 있다. 소프트웨어 개발·테스트 과정에서 SAST·DAST 도구를 이용해 취약점을 해결하는 것은 데브옵스의 단계로 포함돼 사용되고 있지만, 배포 완료 후 운영 중인 애플리케이션에서 발생하는 취약점을 해결할 프로세스는 데브옵스에 아직 포함되지 않고 있다.

웹방화벽으로 이 문제를 일부 해결할 수 있지만, 애플리케이션 내부에서 일어나는 이상행위, 이스트-웨스트 트래픽 제어, 애플리케이션 소스의 취약점 진단 등은 웹방화벽 탐지 영역이 아니다.

임퍼바는 RASP를 이용해 이 문제를 해결할 수 있다고 설명한다. 애플리케이션 내부에서 일어나는 논리적 흐름을 모니터링해 비정상적인 로그인 시도, 데이터 유출, 권한 상승 등의 이상행위를 찾아 대응하며, 취약점을 발견하면 개발자에게 교정 방법을 전달한다. 임퍼바의 RASP는 이 같은 역할을 충실히 이행하면서 가볍고 빠르게 동작해 운영 중인 애플리케이션에 영향을 주지 않고 보호할 수 있다.

▲임퍼바 RASP 프로세스
▲임퍼바 RASP 프로세스

제로 트러스트 관점 이메일 보안 제공

공격자는 접근이 쉬운 이메일을 이용해 초기 침투를 시도한다. 정상 업무 프로세스로 위장하기 때문에 이 같은 공격 시도를 인지하기 어려우며, 패턴을 파악해 선제대응하는 것도 어렵다.

트렌드마이크로가 발견한 공격의 39.9%는 이메일 첨부파일, 37.4%는 메일 링크를 통해 진행된다. 업무 메일로 위장해 거래 대금 등을 탈취하는 비즈니스 이메일 침해(BEC) 피해 규모가 높아지고 있으며, 지난해 하반기보다 올해 상반기 18% 늘어났다. 트렌드마이크로는 재택근무 직원들이 사회공학 기법에 쉽게 노출되기 때문에 BEC와 같은 이메일 기반 공격에 취약하다고 분석했다.

소프트캠프는 이 같은 악성메일 공격을 원천 차단할 수 있는 원격 브라우저 격리(RBI) 기술과 콘텐츠 무해화(CDR) 기술을 결합해 이메일에 대한 제로 트러스트 보안을 구현한다. 소프트캠프의 CDR 솔루션 ‘실덱스’를 이용해 메일의 첨부파일은 악성 여부와 상관없이 공격에 이용될 수 있는 자바스크립트, 매크로 등을 제거한 후 원본과 동일한 깨끗한 문제로 재구성해 제공한다. 메일 본문에 외부 링크가 있다면 RBI 기술을 이용해 격리된 가상환경에서 렌더링해 보여줌으로써 위협이 활동하지 못하도록 제어한다.

배환국 소프트캠프 대표는 “소프트캠프는 공격에 사용되는 악성문서와 외부 URL에 대한 무해화를 통해 제로 트러스트 관점의 이메일 보안을 제공한다”며 “글로벌 RBI 솔루션은 도입 비용이 높다는 문제가 있다. 소프트캠프는 공격에 주로 이용되는 이메일 위협에 최적화된 대응을 제공해 비용 부담 없이, 사용과 관리 편의성을 보장할 수 있다”고 말했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.