발신자 검증해 신뢰된 메일만 수신…타사 메일보안 시스템 연계해 안전한 업무 지원
[데이터넷] “기업 이메일 침해(BEC)는 피해가 발생한 후에야 공격당한 사실을 알게 된다. 따라서 최선을 다해 공격행위를 사전에 인지하고 차단해야 한다.”
손지훈 리얼시큐 과장은 9일 열린 ‘제 22회 차세대 보안 비전’의 ‘기업 이메일 침해(BEC) 공격과 이메일 보안 기술 동향’ 세션에서 이 같이 강조한 후 “BEC가 사회공학기법을 이용한 사칭메일을 이용해 진행되기 때문에 사칭메일을 정확하게 식별하고 차단하는 기술이 필요하다”고 밝혔다.
사칭메일은 정상적인 이메일 발신자로 위장해 정상 업무 내용의 이메일 커뮤니케이션을 진행하는 척하면서 공격하는 것을 말한다. BEC가 대표적인 사칭메일 공격인데, 거래처 자금 담당자로 위장해 거래대금을 탈취하거나 거래처 혹은 조직 내 다른 부서원인 것처럼 꾸며 임원의 개인정보를 알아내고, 중요 정보를 입수한다.
FBI “BEC, 2024년 25억달러 규모 수익 얻을 것”
정상 내용으로 위장한 악성메일로 인한 사이버 위협이 점점 높아지고 있다. 전체 공격의 90%가 이메일을 사용하며, 랜섬웨어의 91%가 이메일을 통해 유포된다. 기업·기관의 악성메일 평균 클릭률은 무려 25%, 조직의 66%는 한 번 이상 피싱 공격 피해를 입었다.
악성메일 차단을 위해 메일의 악성링크나 악성 첨부파일을 분석, 차단하는 기술, 첨부된 악성문서의 무해화 기술, 격리 기술을 이용해 삽입된 링크를 안전하게 열어보는 기술 등이 사용된다. 이 기술은 악성코드나 정교한 침투 기술 없이 사용자를 속이는 BEC를 탐지하지 못한다.
사칭메일 차단을 위해 악성메일 모의훈련을 실시하지만, 업무 관련 내용으로 위조된 메일은 사용자가 아무리 주의한다 해도 막을 수 없다. SPF, DKIM, DMARC 등 이메일 인증 기술이 도움이 되는데, 수·발신 모두에 도입돼 있어야 해 확장력은 떨어진다. 기존 메일 보안 기술을 우회하는 BEC는 가장 위험한 공격 방법으로 꼽히며, FBI는 BEC 공격자가 2024년 25억달러(약 3조3000억원) 규모의 수익을 얻을 것이며, 피해자당 평균 손실액도 높아질 것이라고 내다봤다.
AI/ML을 이용해 BEC에서 자주 사용되는 문장이나 패턴, 요구사항, 특징을 찾아내며, 이메일 내 이상징후를 식별할 수 있는 기술도 있다. 그러나 AI/ML의 효과를 보려면 대량의 학습 데이터와 고급 분석 서버가 필요해 막대한 보안 예산이 소요된다. 또 공격자는 AI/ML이 탐지하는 패턴을 빠르게 습득해 이를 우회하기 때문에 AI/ML의 탐지 알고리즘이 자주 변경돼야 한다는 문제도 있다.
BEC는 이메일 계정 침해(EAC)를 위한 선제공격의 성격도 있다. EAC는 정상 사용자의 이메일 계정을 탈취해 정상 발신자의 메일로 위장해 접근하기 때문에 메일보안 솔루션으로는 차단할 수 없다. EAC는 BEC 외에도 악성코드 감염, AI를 활용한 무차별 대입, 쉬운 암호 탈취 등의 방법으로도 성공시킬 수 있다.
사칭메일 효과적으로 식별해 공격 가능성 차단
이메일은 현대 업무의 기본 커뮤니케이션 수단이기 때문에 너무 복잡한 보안 기술을 적용해 업무의 흐름을 방해새서도 안된다. 그래서 가장 위험한 이메일 공격이면서 악성메일 공격의 시작인 사칭메일을 효과적으로 식별하는 기술이 필요하다.
리얼시큐의 ‘리얼메일’은 메일보안에 제로 트러스트 원칙을 적용해 사칭메일을 정확하게 식별하고 조치한다. 리얼메일은 SMTP 응답코드를 분석해 사설메일 서버에서 발송됐는지 확인해 차단한다. 대부분의 공격 메일이 사설메일 서버에서 발송되기 때문이다. 또 DNS 서버와 메일 서버 분석으로 존재하지 않는 도메인에서 수신된 메일도 차단해 피싱, 스팸, 스피어피싱 등의 공격메일을 효과적으로 차단한다.
손지훈 과장은 “리얼메일은 모든 조직의 이메일 보안 제품에 추가해 메일 보안 수준을 획기적으로 높일 수 있다. 리얼메일은 도메인 검증, 사설메일서버 차단, 출처 불분명 메일 차단, 메일서버 분석, 수신계정 검증 등으로 사칭메일을 수신하지 않도록 해 제로 트러스트 메일 보안을 구현할 수 있게 한다”고 설명했다.
손 과장은 “이메일 위협은 계속 증가하고 있으며, 중요한 정보를 보호하기 위해서는 BEC로부터 방어하는 것이 중요하다. AI/ML 기술 기반 메일 보안 기술과 함께 리얼메일을 사용하고 사용자 교육과 모의훈련을 실시해 개인과 조직을 위협하는 공격을 차단할 수 있다”며 “리얼시큐는 앞으로도 지속적으로 BEC, EAC 등 변화된 메일 공격에 대응하는 기술을 고도화하고 발전시켜 고객을 보호할 것”이라고 말했다.
