사칭 사이트 찾아 차단하는 서비스도 등장
[데이터넷] 악성메일도 결국은 APT인 만큼, APT 방어 전략의 일환으로 접근하는 것이 효과적이다. 그러나 너무 많은 포인트 솔루션은 오히려 보안홀을 늘리는 결과를 낳기 때문에 통합 플랫폼을 통한 체계적인 보호 가 필요하다.
VM웨어는 보안 기능을 플랫폼에 녹인 ‘내재적 보안 전략’으로 피싱을 포함한 진화한 공격을 방어한다. 확장 된 위협 탐지 및 대응(XDR)을 구현하는 VM웨어의 보안 포트폴리오는 ▲EPP·EDR, 워크로드 보안 솔루션 ‘카본블랙’ ▲엔드포인트 환경과 액세스를 통제하는 통합 엔드포인트 관리(UEM) ‘워크스페이스 원’ ▲도커·쿠버네티스 보호와 관리 ‘탄주’ ▲IDS/IPS 기능을 탑재한 서비스 방화벽 ‘NSX’ 등을 통합해 엔드포인트부터 네트워크, 클라우드 인프라에 이르기까지 모든 영역에 걸친 강력한 보안을 제공한다.
에이전트·에이전트리스 방식으로 설치되는 카본블랙은 엔드포인트와 클라우드 워크로드, 컨테이너 상 위협 행위와 취약점을 탐지·차단 및 대응한다. 위협 인텔리전스를 통해 신·변종 위협에도 즉각 대응할 수 있 으며, 위협 헌팅을 통해 모든 위협행위를 가시화할 수 있다.
홍세진 VM웨어코리아 상무는 “VM웨어는 내재적 보안 전략을 통해 운영 효율성을 높이고 복잡성을 제거 하면서 더 강력한 보안을 제공한다”며 “VM웨어는 플 랫폼에 빌트인 된 보안 기술로 자동화된 보안 운영을 용이하게 한다”고 설명했다.
위협 인텔리전스로 악성메일 선제방어
악성메일 공격은 타깃 맞춤형으로 진행되지만, 한 기관의 한 담당자만을 노리고 공격하는 경우는 거의 없다. 같은 산업계나 같은 직무를 맡은 사람들을 대상으로 공격이 진행되며, 단기간 동안만 발생하는 캠페인 도 있지만 몇 개월, 몇 년까지 이어지는 캠페인도 있다. 따라서 현재 진행 중인 공격 유형과 패턴, 특징을 미리 알면 공격 방어에 도움이 될 수 있다. 위협 인텔리전스(TI)가 이러한 요구를 충족하는 솔루션이다.
TI는 전국 혹은 전 세계에서 수집한 위협정보를 분석해 공격 유형과 패턴, 공격그룹별 형태를 분석해 고객에게 제공하는 서비스다. 써드파티 위협 정보와 고객사에 축적된 위협정보를 함께 분석해 해당 고객이 반드시 점검해 야하는 위협 정보를 제공해주기도 한다.
TI 전문기업 레코디드퓨처는 이에 더해 실제 발생한 위협 수준을 정밀하게 파악한 위협 수치를 제공해 대응 우선순위를 정하는데 도움을 준다. 다른 TI나 IOC, 취약점 공유 기관보다 정확한 위협 정보를 제공해 실질 적인 위협 대응 효과를 가져올 수 있게 한다. 자체 축적한 TI와 써드파티 인텔리전스, 고객사 인텔리전스를 자유롭게 연동할 수 있다.
TI는 국내 보안 기업들도 다양한 서비스 모델을 제안하면서 제공하고 있다. 국내 고객들은 우리나라 기 업·기관을 타깃으로 한 위협에 대한 전문 인텔리전스를 제공한다는 점을 강점으로 든다. 너무 많은 정보가 쏟아지는 TI보다 정확하게 우리 기업·기관을 대상으로 하는 실제 위협에만 대응할 수 있도록 해 보안대응을 효과적으로 수행할 수 있도록 한다.
이스트시큐리티의 ‘쓰렛인사이드(Threat Inside)’는 위협분석 전문조직 시큐리티대응센터(ESRC)의 정보와 전국 최다 사용자를 확보하고 있는 백신 ‘알약’의 위협정보를 수집해 분석한다. 딥러닝 기술을 바탕으로 악성코드 분석정보와 검증된 위협 인텔리전스(데이터 피드, 침해지표, 인텔리전스 리포트 등)를 제공한다. ESRC는 지능화된 피싱 공격에 대비하여 최신 이메일 을 수집 및 탐지하는 시스템을 구축, 현재 24시간 모니 터링을 진행하여 위협적인 피싱 공격을 빠르게 파악하 고 있다.
쓰렛인사이드는 이스트시큐리티의 모든 엔드포인트 제품군과 연결되며, 알약 EDR은 쓰렛인사이드는 분석 정보와 연동되어 엔드포인트 전 영역의 탐지와 분석, 대응까지 확장된 보안 가시성과 가장 진보된 방식의 위협 대응 체계를 제공한다.
쓰렛인사이드를 사용하는 한 기업은 의심 메일을 수신하면 쓰렛 인사이드에 분석을 요청하고, AI, 동적·정 적분석, 네트워크 위협 분석, 평판분석 등 다차원 분석 으로 악성코드 정보를 확인한다. ESRC가 제공하는 상 세 공격 추적 및 연관 위협 정보를 집약한 인텔리전스 리포트를 통해 해당 파일이 단순 악성코드 위협인지, 아니면 기업 전체를 위협하는 APT 공격의 일부인지 판 별한다. 이러한 인텔리전스를 기업 전반 보안 시스템에 반영해 향후 유사 위협에도 선제적으로 대응할 수 있게 됐다.
브랜드 신뢰 지키기 위한 사칭 사이트 방어 솔루션
피싱 메일 피해를 입지 않도록 주의하는 것 만큼 중요한 것이 자신의 조직이 공격에 악용당하지 않도록 하는 것이다. 지난해 초 코로나19가 전 세계에 빠르게 확산되면서 극심한 혼란을 일으켰을 때, 세계보건기구(WHO), UN 등 국제기구를 사칭한 피싱사이트와 피싱메일이 창궐하면서 피해를 더욱 키우기도 했다.
피싱 사이트는 지능적인 봇을 이용해 제작되기 때문에 정상 사이트와 매우 비슷하며, SSL 인증서까지 갖추고 있어 신뢰할 수 있는 사이트로 보이게 한다. 공격자들은 정교하게 제작된 가짜 사이트를 이용해 개인정보를 훔치거나 가짜 뉴스를 유포하며, 각종 금융사기를 벌인다. 신뢰할 수 있는 정부기관과 금융기관, 이커머스 등이 주로 사칭 대상이다.
자신의 조직을 사칭한 공격으로 고객이 피해를 입었다면 자신의 조직의 신뢰에도 큰 영향을 미치기 때문에 사칭 사이트를 차단하는 기술도 필요하다.
글로벌 시장에서 활동해 온 인텔리전스 전문기업 그룹IB가 이 시장에서 매우 앞선 경쟁력을 보이고 있다. 올해 초 한국지사를 설립하고 서현석 전 다크트레이스코리아 지사장을 영입하면서 시장 공략에 나선 그룹IB는 글로벌 시장에서 쌓아온 경쟁력을 앞세워 영업에 나선다.
그룹IB는 최근 UN산하 IT 전문기관 유엔국제컴퓨터센터(UNICC)에 해당 서비스를 공급하면서 공신력을 입증했다고 설명한다. UNICC는 WHO 등을 사칭한 공격을 추적하고 차단하기 위해 그룹IB의 디지털 리스크 보호(DRP) 서비스를 이용하고 있다. DRP는 WHO 및 여러 UN 기관고 협력해 사기·위조 도메인을 찾아 삭제하면서 인터넷 이용자들의 피해를 줄이고 있다.
