진화하는 이메일 위협, 발신자 검증으로 선제 차단
[데이터넷] 신뢰를 이용하는 사회공학 공격은 비 기술적 수단을 이용해 금전과 기밀정보를 탈취한다. 믿을 수 있는 발신자, 또는 위협적인 요소가 없이 정상적인 업무 메일로 위장하는 사칭메일은 기본 보안 기술로 막지 못한다.
그 대표적인 사례가 비즈니스 이메일 침해(BEC)로, 공격자는 기존에 소통하던 계정과 유사하거나 친근한 계정으로 위조한다. 사칭메일 발송자는 모든 방법을 동원해 대상자의 정보를 수집하고 수집된 정보를 이용해 피해자가 속을 수밖에 없는 내용으로 이메일 커뮤니케이션을 진행한다. 그리고 막대한 금액을 탈취하거나 사용자의 중요 정보를 빼낸다.
지능형 사칭메일, 보안 솔루션으로 차단 못해
기업·기관에서 사용하는 이메일 보안 솔루션은 패턴분석, 행위분석, 필터링, 자연어 분석(NLP) 기술이 적용돼 있어 악성링크, 첨부파일과 같은 위협적인 요소를 포함하고 있는 악성메일을 차단하지만 사용자를 교묘하게 속이는 BEC는 차단하지 못한다.
대부분의 메일보안 솔루션은 메일본문의 내용이나 첨부파일을 검사하는데, 사칭메일은 메일보안 솔루션이 검사하는 첨부파일이 없고, 메일 본문 내용과 제목이 정상적인 업무와 관련있는 것이기 때문에 악성메일로 탐지되지 않는다.
사칭메일 피해를 방지하기 위해 사용자 교육을 강화하고 있지만, 사용자는 대부분 자신의 경험과 지식, 직관에 의지해 주관적으로 악성 이메일을 판단하기 때문에 친숙한 제목과 내용의 메일, 자주 소통하던 사람이나 신뢰할 수 있는 조직으로부터 발송된 메일은 일단 신뢰한다. 그 메일이 해커와 조직 내부를 연결시킬 것이라고는 생각하지 못한다.
SMTP 프로토콜 분석 기반 발신자 검증 기술
사칭메일 공격에 대응하기 위해 제로 트러스트 보안모델을 적용, 수신하는 모든 이메일의 신뢰를 검증하는 기술이 제안된다. 이는 메일 출처, 발신자가 진짜 신뢰할 수 있는지를 먼저 확인한 후 확실하게 믿을 수 있는 발신자와 서버로부터 발송된 메일만 수신하도록 한다.
리얼시큐의 ‘리얼메일’은 수신된 이메일을 역으로 추적해 정상적으로 등록된 DNS와 서버, 계정에서 발송된 메일인지 검증하는 ‘발신자 검증’ 기술을 독자 개발해 제공하고 있다. 발신자 검증 기술은 메일을 수신했을 때, 발신 도메인에 대한 DNS 정보를 확인하고, 실제 메일 발신서버의 상태를 확인하기 위해 자동화된 독자적인 고유 알고리즘을 통해 연관성 분석을 진행한다. 그리고 메일 발신서버의 연결과 특허기술인 SMTP 응답코드를 수신한 결과에 대해서 메일 서버를 분류한다. 실시간으로 변경될 수 있는 메일 서버의 상태를 감지할 수 있으며, 발신전용, 광고, 스팸, 악성, 사칭 메일에 대해 유연한 차단이 가능하다.
대부분의 엔터프라이즈는 임직원 수가 많고 다수의 인원에 대한 관리 포인트가 많다. 정상적인 메일이 차단되는 오탐을 피하기 위해 이메일 보안 정책을 느슨하게 하려는 경향이 있다. 또 블랙리스트 기반 악성메일 차단 기술은 악성 리스트를 계속 업데이트 해야 해 관리가 까다로웠다. 그래서 대부분의 메일 보안정책은 메일 본문의 내용, 링크, 이미지, 첨부파일에 이상이 없다고 판단되면 모든 메일을 수신자에게 전달하도록 정책을 구성한다.
리얼메일의 발신자 검증 기술은 메일 허용-차단 정책을 세분화하는데 초점을 맞췄기 때문에 관리 포인트를 늘리지 않으면서 신뢰할 수 있는 메일만 허용할 수 있게 한다. 구축 후 길지 않은 적응 기간을 거치면 업무 불편을 최소화하면서 금전피해를 유발하는 악성 메일을 효과적으로 차단할 수 있다.
이메일 발신자 검증으로 보안 수준 제고
국내에서는 정보보안 기본지침으로 해킹메일 차단시스템의 구축과 해킹메일 신고를 강조하고 있다. 세계적으로는 SPF/DKIM/DMARC 기술을 권고해 악성메일에 대응하고 있다. 최근 악성메일 모의 훈련으로 직원들의 이메일 보안인식을 제고해 피해 사례는 줄어들고 있지만 지능적인 위협 메일은 끊임없이 유포되고 있어 이메일 보안 시장은 중요성이 나날이 높아지고 있고 실제 시장도 성장하고 있다.
시장조사기관 스태티스타에 의하면 2022년 전 세계 보안 이메일 게이트웨이(SEG) 시장 규모는 약 43억 달러(약 5조6962억 원)에 이르며, 2025년에는 70억 달러(약 9조2743억 원) 이상으로 성장할 것으로 예상된다.
이메일이 사이버 공격의 일반적인 진입점 역할을 하기 때문에 기업의 중요한 관심사다. 기업이 사이버 보안 요구 사항을 해결할 때 가장 먼저 고려하는 서비스 또는 솔루션이 이메일 보안으로, 이 솔루션 수요는 꾸준히 증가할 것으로 예상된다. 지속적으로 새로운 탐지·대응 기술이 등장하면서 영역을 확대하고 있다.
한편 세계적인 경기 불확실성 시대를 맞아 경제성장 둔화가 우려되어 기술 투자에 대한 예산을 줄이려는 움직임도 있다. 하지만 보안 투자가 줄어들면 취약점이 늘어나며 공격자들은 이를 악용해 더 많은 수익을 얻게 되고 그에 따라 기업기관은 심각한 타격을 받게 된다. 그래서 경제위기에도 보안 시장은 향후 몇 년 동안 지속적으로 성장할 것으로 기대된다. 공공·금융·기업의 클라우드 전환으로 보안위협이 더 복잡해지고 있기 때문에 사이버 보안 시장 성장과 함께 메일 보안시장도 성장 가속을 늦추지 않을 것으로 전망한다.
<박우영 리얼시큐 연구소장>
