발신지 정보·DNS 레코드 분석 기술 접목…멀티 도메인 운영 환경에 최적
[데이터넷]
거래처 담당자, 파트너사 임원, 신뢰할 수 있는 공공기관 등으로 위장한 피싱 메일이 APT 공격에 사용되고 있다. 메일은 가장 기본적인 커뮤니케이션 수단으로, 업무와 관련된 내용이나 신뢰할 수 있는 사람·기관으로부터 발송된 것으로 쉽게 사용자를 감염시킬 수 있다. 이에 스팸메일 차단, 보안 메일 시스템, 첨부파일·악성링크 차단 시스템 등이 사용되고 있지만, 공격자는 보안 시스템을 지능적으로 우회하기 때문에 악성메일을 차단할 수 없다.
인증된 사용자 간 메일 수·발신 할 수 있도록 하는 메일보안 국제표준 기술 SPF, DKIM, DMARC의 의무 적용도 추진중이지만, 이는 수·발신인 모두에 이 표준 기반 기술이 적용돼 있어야 해 사용 편의성을 저해할 수 있다.
정상 메일 계정서 발송된 메일만 수신
이 문제를 해결하는 방법으로 리얼시큐는 발신 메일의 수신 및 메일 발신지 정보, DNS 레코드 분석 기술을 접목시켜 정상적인 메일만 허용하는 화이트리스트 기반 메일 보안 솔루션 ‘리얼메일’을 제안한다.
이 솔루션은 제로 트러스트 개념을 적용해 확실한 정상 메일만 수신토록 한다. 등록된 발신 메일서버와 해당 메일 서버에 등록된 메일 계정을 통해 발신됐는지 여부를 실시간으로 확인해 정상적인 메일 계정으로부터 발신되는 메일만 수신한다. 발신자 확인 기술은 수신된 메일의 발신자가 실제 해당 도메인, 메일서버, 계정에서 메일을 발신했는지 여부를 확인한다.
이 기술이 가동되는 엔진은 네트워크와 수신메일 서버 사이에 위치해 메일의 발신자를 확인하고, 사칭여부를 판단한다. 이 과정에서 메일 시스템의 발신 메일에 대한 유실을 막기 위해 개발된 SMTP 응답 코드, 메일의 헤더, DNS 정보를 종합적으로 확인해 정상적인 도메인과 계정으로부터 발신된 메일만을 수신한다.
기존 메일 차단 솔루션은 메일 수신 후 패턴을 분석하거나 필터링에 의존해 메일 서버의 과부하를 야기 한다. 또한 발신자를 사칭하거나 위·변조한 메일에 대해서 헤더의 정보만을 분석해 메일의 정상 여부를 판단하기 어렵다.
리얼메일은 발신지의 형태를 알 수 없는 메일을 검사하는 것 보다 발신지가 정확히 확인되는 메일을 수신한다는 의도로 접근한다. 정상적인 메일을 발신 및 수신하기 위해 DNS에 도메 인 정보를 등록하게 되는데 등록된 DNS의 정보로 발신정보를 정확히 확인해 검증 후 메일을 수신한다.
리얼메일은 특술인 SMTP 응답 코드 값 확인 및 DNS 정보(A, MX, TXT, PTR record)를 활용한 사칭메일 검증 방법론을 도입해 수신 측 적용만으로 메일 발신자의 사칭 여부를 판별한다.
쉬운 관리환경 제공
시스템은 운용하는 기관이나 부서에 따라 보안 규정이 다를 수 있고 이메일 보안 위협에 대한 대처 방법에 차이가 있을 수 있다. 따라서 전체 수신메일, 차단된 메일(유형별로 메일폭탄, 바이러스, 스팸, 사칭 계정, 위·변조 도메인)과 같은 메일 정책 등을 계측해 사용자가 직접 커스터마이징해 사용자가 보안위협 대처 방안을 자유롭게 설정할 수 있다.
또한 다중 사용자들이 안전하게 공유할 수 있게 자원 사용량을 최적화해 분배 할당한다. 언제든 원할 때 리포트를 생성 해 출력하는 기능이 탑재돼 메일 통계 현황 확인이 가능하다. .Net Frameworks based C#으로 설계 및 개발돼 다양한 사용자 PC 플랫폼과 환경에 최적화돼 있다. 또한 CPU, 메모리, 저장 용량, 온도 등 컴퓨팅 자원을 실시간으로 모니터링해 온디맨드 셀프서비스, 리소스 풀링을 시각화해 관리 편의성을 높였다.
의심 메일 이미지로 변환해 알려지지 않은 위협 차단
리얼메일은 클라우드 플랫폼 기반 메일보안 시스템으로, 멀티도메인을 보유하고 있는 그룹사 도입 시 효율적인 메일 관리가 가능하다. 안티바이러스, 스팸 패턴 랭킹 필터링 기술이 부가 기능으로 탑재돼 있어 알려진 도메인이나 계정으로 부터 수신될 수 있는 악성 메일을 효과적으로 차단하고, 스팸 가능성(Ranking)과 메일 규칙 준수여부 등 스팸의 패턴 유형을 분석해 차단한다.
또한 발신자 확인 기술을 이용해 구동하는 기능으로 DNS 상에 명확한 발신서버와 계정으로부터 메일이 수신되면 해당 도메인과 IP에 대해서 자동으로 화이트리스트에 추가한다. 이를 통해 이후 진행되는 프로세스를 최소화시켜 관리비용을 최소화한다.
발신자가 확인되지 않았거나 정책에 의해 차단된 메일은 수신자가 개별적으로 확인해 수신할 수 있다. 관리자에 의해 설정된 시간에 맞춰 차단메일 리스트를 확인해 필요 시 수신자가 특정메일을 수신할 수 있고, 이를 통해 메일 유실을 방지할 수 있다. 그리고 차단메일을 재전송할 경우 해당 메일을 이미지로 변환시켜 메일을 수신하게 되는데, 이는 해당 메일에 첨부 돼 있는 링크를 차단해 피싱 또는 랜섬웨어 차단을 보장한다.
