악성 메일·첨부파일·웹 탐지·차단 솔루션 도입해야
[데이터넷] 이메일을 악용하는 이 공격은 대화에 참여하는 사람들 간 미리 형성된 신뢰를 악용한다는 특징이 있다. 수신하는 메일마다 발신자에게 일일이 메일 발신 여부를 직접 확인하지 못하기 때문에 공격자는 이메일을 초기 침투 수단으로 가장 많이 사용하게 된다.
또한 지하시장에서 이메일 공격을 위한 자동화된 툴 킷을 판매하고 있어 공격이 더 쉬워진다. 공격자들은 AI를 이용해 메일에서 사용자의 업무 특성, 커뮤니케이션 대상, 업무에서 자주 사용하는 용어나 문서양식 등을 파악하고 자동으로 공격메일을 작성한다. 공격자의 개입을 최소화하고 자동화된 프로세스로 공격을 진 행하기 때문에 더 적은 실수로, 더 많은 피해자에게 메 일을 보내게 된다.
이러한 공격을 막기 위해 사용자는 메일 발신자 주소와 도메인을 꼼꼼하게 확인하고, 자금을 송금하기 전, 이전에 송금하던 정상 계좌가 아닐 때 반드시 전화로 확인해야 한다. 첨부파일을 열어볼 때 미리보기 기능을 사용해 악성코드가 PC에서 활성화되지 않도록 하며, 외부 URL을 클릭할 때에는 주소가 정상적인지, 연결 시 인증서가 제대로 사용되고 있는지 등을 확인한다. 또한 자신의 이메일 주소나 SNS 계정 정보를 공격 자가 악용하지 않도록 계정정보 노출을 삼가하는 등 계정관리에 각별히 주의를 기울인다.
개인의 노력만으로 악성메일을 차단할 수 없다. 보안 솔루션을 이용해 메일 본문이나 첨부파일에 악의적인 요소가 있는지 확인하고, 외부 링크나 첨부파 일을 격리된 안전한 공간에서 열어보도록 하며, 첨부 문서의 액티브 콘텐츠를 제거하고 안전한 문서로 재조합하는 등의 기술이 필요하다.
메일보안 표준인 SPF, DKIM, DMARC을 이용해 사전에 인증된 발신자와 수신자 간 메일만 처리하면 사칭메일 차단에 도임이 된다. 그러나 이 기술은 발신-수신측에 모두 적용돼 있어야 하기 때문에 범용적인 확산에는 한계가 있다.
리얼시큐의 사칭메일 관리 시스템인 ‘리얼메일’은 SPF, DKIM, DMARC 없이 위조된 계정이나 도메인에서 발송되는 메일을 차단한다. 리얼메일은 DNS에 등록된 발신 메일서버와 해당 메일 서버에 등록된 메일 계정을 통해서 발신됐는지 여부를 실시간으로 확인해 정상적인 메일 계정으로부터 발신되는 메일만을 수신, 안 전하고 깨끗한 메일링 서비스를 제공한다.
무해화로 공격 원천 차단
이메일 본문과 첨부파일에 공격에 사용될 수 있는 액티브 콘텐츠를 미리 제거하는 무해화 기술은 악성 메일에 대한 제로 트러스트 전략으로 채택될 수 있다. 소프트캠프는 문서의 액티브 콘텐츠를 제거하고 깨끗한 원본 메일로 재조합하는 콘텐츠 무해화(CDR) 솔루션 ‘실덱스’와 웹 격리 기술을 이용해 악성메일을 근본적으로 차단한다.
문서보안 전문성을 기반으로 한 실덱스는 다양한 문서 환경을 지원해 업무에 지장 없이 사용 할 수 있도록 하며, 웹 격리 기술은 이메일 본문이나 첨부파일에 삽입된 외부 웹 링크를 안전한 격리 환경에서 열어보도록 해 알려진/알려지지 않은 위협을 원천 차단할 수 있게 한다.
지란지교시큐리티는 악성메일 차단 솔루션 ‘스팸스나이퍼’에 CDR 엔진을 연동시켜 악성메일 피해를 제거한다. ‘스팸스나이퍼’는 스팸 차단 기술과 써드파티 샌드박스 솔루션을 연동해 이메일을 이용한 APT 공격을 방어한다. 메일 본문을 지능적으로 분석해 BEC, 스캠 등 사기범죄에 이용되는 문구나 내용을 파악하고 선제대응한다. CDR 솔루션 ‘새니톡스’를 연동해 문서를 무해 화해 안전한 문서만 열람할 수 있게 한다. 지란지교시큐리티는 ‘클라우드 새니톡스 EP’를 출시하면서 엔드포인트 보안을 한층 강화했다.
더불어 지란지교시큐리티는 자회사 에스에스알의 악성메일 모의훈련 서비스 ‘머드픽스’를 인수해 서비스 사업도 제공하고 있다. 악성메일이 급증하면서 지나해 하반기 머드픽스 도입 문의와 판매량이 상반기 대비 3배 증가하는 성과를 거뒀다.
머드픽스는 최신 유행하는 공격 유형을 반영한 다양한 템플릿의 이메일을 임직원 대상으로 배포, 반복적인 점검 훈련과 보안 교육을 통해 피해사고를 사전에 예방한다. 최신 이메일 위협에 대한 최다 패턴 수집 및 분석 데이터를 적용해 신종 패턴의 이메일 위협에 신속하게 대응할 수 있다. 구축형 혹은 SaaS형으로 제공해 모든 규모의 기업·기관이 목적에 맞게 사용할 수 있다.
머드픽스 훈련을 지속한 한 기업은 초기 훈련 시 임 직원 80%가 악성메일을 열람, 36%가 감염됐다. 이 후 지속적인 교육과 캠페인을 진행한 후 2차 훈련 시 18%, 3차 훈련 시 6%로 감소하는 결과를 보였다.
윤두식 지란지교시큐리티 대표는 “사용자가 최신 악성 이메일을 반복적으로 경험해 피싱 메일을 통한 APT·랜섬웨어 감염을 방지할 수 있다는 것이 확인됐 다. 정상 문서로 위장해 침투한 공격은 사용자가 쉽게 열람할 수밖에 없기 때문에 실제와 유사한 최신 피싱 템플릿을 통해 반복적인 훈련을 지속하는 것이 필수” 라며 “이를 통해 사용자의 보안 인식을 강화하고 보안 수칙 준수가 습관화돼야 한다”고 말했다.
한편 지란지교시큐리티는 올해 상반기 클라우드 매니지드 보안 운영센터(MSOC)를 출시하고 서비스 시 장에 본격 진출한다. 소규모 사업자를 대상으로 하는 이 서비스는 비용을 크게 낮추고 관리 편의성을 높여 보안에 취약한 소규모 기업도 사이버 복원력을 높일 수 있도록 할 계획이다.
