지능형 이메일 공격 차단 기술 필수…웹·API 보호 위한 WAAP 필요
[데이터넷] 제로 트러스트가 새로운 보안 모델로 주목받으면서, 특정한 기술이나 솔루션이 제로 트러스트라고 호도하는 경우가 있다. 제로 트러스트는 보안전략을 수립할 때 참고할 원칙이라고 보는게 타당하며, 여러 보안 기술을 이 원칙에 따라 배치하고 통합해 보안 전반을 개선하는 것이 중요하다. 제로 트러스트 이행을 위해 필요한 기술을 살펴본다.<편집자>
선제차단 기술로 위협 수준 낮춰야
오랜 보안 기술인 ‘선제차단’은 완벽하다고 할 수 없지만 필수 기술인 것은 변함없다. 알려진 공격을 미리 막고, 알려지지 않은 공격은 빠르게 분석·제어 해 공격이 확산되는 것을 방지해야 한다.
엔드포인트의 EPP, EDR, 네트워크의 방화벽, IPS, 웹 보안을 위한 웹방화벽과 SWG, WAAP, 디도스 방어, DNS 보안, 이메일 위협을 선제적으로 탐지하는 이메일 보안, 전 세계 위협정보를 수집해 알려주는 사이버 위협 인텔리전스(CTI) 등이 선제차단을 위해 필요한 기술이다.
EPP와 EDR은 두말할 필요 없는 기본 보안 기술이다. 엔드포인트 보안 기업들은 이 기술을 결합하고 CTI를 연계해 엔드포인트를 위협하는 공격을 선제적로 차단한다. 이스트시큐리티는 알약, 알약 EDR, 쓰렛 인사이드를 연동해 위협을 빠르게 식별 하고 분석해 차단한다. 이스트시큐리티는 보안위협 분석 전문조직 ESRC를 운영하면서 국내 환경에 특화된 위협과 보안 공격에 빠르게 대응할 수 있게 한다. 탐지된 위협은 쓰렛 인사이드에 축적하며 알약과 알약 EDR에 업그레이드하고 유관기관 정보 공유와 리포트 제공으로 국내 기업·기관이 신종 위협의 영향을 받지 않도록 한다.
안랩은 엔드포인트 보안 전문성과 관제 서비스를 결합한 EPP와 EDR을 제공한다. 안랩 EDR은 MDR 서비스를 기본으로 통합하고 있어 EDR 운영을 한층 수월하게 한다. 행위기반 엔진을 이용해 의심행동에 대한 다각적인 분석 결과를 제공하며, 시스템, 파일, 프로세스별 상세정보를 바탕으로 체계적인 탐지와 분석이 가능하다.
공격 악용되는 이메일 지능적으로 차단해야
많은 공격이 이메일을 통해 유입되기 때문에 이메일 보안이 그 어느 때보다 중요한 상황이다. 정상 메일로 위장한 이메일과 악성문서와 악성파일은 사용자가 아무리 주의한다 해도 완벽하게 차단할 수 없다. 에스에스앤씨가 국내에 공급하는 퍼셉션포인트는 7개의 분석 엔진을 동시에 가동시켜 이메일, URL, 파일을 통해 유입되는 공격을 완벽에 가깝게 차단할 수 있다.
퍼셉션포인트는 하드웨어 지원 플랫폼(HAP)과 재귀 언패커 기술로 지능적인 우회 공격을 막는다. 문서와 파일을 작은 단위로 쪼개 분석해 정상 파일과 분석하면서 악성 여부를 탐지해 오탐 없이 정확하게 탐지 할 수 있다. 30초 이내에 분석 완료, 위협 판단, 대응까지 이뤄지기 때문에 공격이 진행되기 전에 차단 할 수 있다.
문서의 악성코드를 분석하는 기술은 시큐레터의 리버스 엔지니어링 기술이 탁월하다. 시큐레터는 비실행형 파일 악성코드를 탐지한다. 이메일, 파일, 망연계 등 다양한 사용 환경에 적용해 악성코드 유입을 차단하며, 자체 개발한 CDR을 연동해 액티브 콘텐츠를 제거하고 원본문서와 동일하게 제공한다.
정상 사용자로 사칭하는 메일을 차단하는 솔루션도 있다. 리얼시큐의 ‘리얼메일’은 SMTP 인증코드를 분석해 발신자를 검증하는 기술을 제공한다. 이를 통해 스팸, 스피어피싱 메일을 거를 수 있으며, 거래대금을 탈취하는 비즈니스 이메일 침해(BEC) 공격도 원천 차단할 수 있다.
클라우드 환경이 확산되면서 API를 이용한 공격도 대응해야 할 필요성이 높아지고 있다. API 보호를 위해 API 게이트웨이에 보안 기능을 추가하고 있지만 API 게이트웨이는 보안 솔루션이 아니며, 속도 저하와 오탐을 우려해 강력한 통제를 적용하는데 한계가 있다. 또 API 자체의 취약점이나 설계상 오류로 인한 위협을 차단하지 못한다.
그래서 API 보안 전문 솔루션이 국내에도 공급되고 있으며, 웹방화벽과 통합된 WAAP가 인기를 끌고 있다. 임퍼바, 아카마이, 라드웨어, F5 등 웹 보안 전문 기업들이 경쟁적으로 WAAP를 공급하며, 국내 웹 보 안 기업 파이오링크도 WAAP를 출시하고 시장을 공략한다. 파이오링크 ‘웹프론트 K’는 API 보호를 위한 양방향 TLS(mTLS), 행위기반 탐지 기술을 이용한 봇 관리 등 WAAP의 필수 기능이 통합돼 있다.
