[데이터넷] 이메일은 공격자들이 가장 많이 사용하는 공격수단이다. 거의 대부분의 업무가 이메일을 이용해 커뮤니케이션 하기 때문에 타깃 사용자를 속이기 쉽다. 악성코드 없이 메일만으로 대규모 자금 탈취에 성공한 사례도 부지기수다. 이메일 기반 위협은 대응하기가 매우 복잡하고 까다롭다. 그럴수록 제로 트러스트 원칙의 보안이 필요하다. 이메일 기반 위협 트렌드와 대응을 위해 필수적인 기술과 솔루션을 소개한다.<편집자>

지능적으로 보안 시스템 우회하는 공격

공격자들이 최초 침투를 위해 가장 많이 사용하는 기법이 스피어피싱이다. 업무와 관련된 내용으로 작성된 이메일에 악성 실행파일, 악성 URL을 삽입해 피해자를 감염시킨다. 실행파일 형태의 악성파일을 메일에 직접 첨부하면 대부분의 메일 시스템이 차단한다. 그래서 공격자는 문서와 같은 비실행파일에 악성코드를 삽입한다. 또 메일 본문에 악성링크를 삽입하지 않고, 업무 협조를 위한 자료라고 속이면서 외부 링크로 연결시켜 감염되게 한다.

예를 들어 공격자가 컨퍼런스의 발표자료 다운로드 링크 안내 메일을 보내면서 구글 드라이브, 원드라이브 등의 파일 저장소 링크를 본문에 삽입해 보내는 식이다. 피해자가 실제로 이 컨퍼런스에 참가했으며, 발표자료를 메일로 보낸다는 안내를 받았다면 의심없이 자료를 다운로드 받기 위해 이 링크를 클릭한다.

링크 자체가 악성링크일 때, 사용자가 클릭 시 감염될 수 있는데, 메일 본문의 링크를 분석해 악성링크는 삭제하는 기능을 탑재한 이메일 보안 솔루션이라면 차단할 수 있다. 그런데 공격자는 이를 우회하기 위해 실제 컨퍼런스 발표자료인 것처럼 꾸민 자료를 공유한다. 피해자가 다운로드 받으면 샌드박스나 백신이 이 자료의 악성코드를 분석하는데, 이 때는 악성코드가 활동하지 않는다. 사용자가 문서를 열고 매크로를 실행시키거나 특정 부분 이상 읽었을 때 악성코드가 활동해 샌드박스와 백신 분석을 우회한다.

대응이 매우 어려운 공격 중 하나로 HTML 스머글링(HTML Smuggling)이 있다. 메일이나 첨부문서의 외부 링크에 연결된 웹페이지에 방문했을 때, 아주 작은 단위로 쪼개진 악성 파일이 사용자 기기에 다운로드 된다. 이 파일들은 사용자 기기에 숨어있다가 적당한 시기에 합쳐져 악성 행위를 시작한다.

이 파일들은 웹 페이지에 잘게 쪼개진 스크립트로 삽입돼 있기 때문에 웹페이지의 악성 여부를 확인하는 보안 웹 게이트웨이(SWG)로 확인되지 않는다. 아주 작은 단위로 쪼개져 내려오기 때문에 샌드박스가 분석할 수 있는 파일이 없으며, 다운로드 시점에 어떤 행동을 하지 않기 때문에 행위분석 기술로 분석해 차단할 수 없다.

CDR·RBI로 백신·샌드박스 우회 공격 차단

한미 사이버 안보 합동 권고문에서는 백신·샌드박스 우회공격을 피하는 문서기반 공격을 차단하기 위해 외부 문서는 뷰어를 통해 열람하도록 권고하고 있다. 그러나 이는 현실적인 대안이 되지 못한다. 업무 문서는 대부분 편집을 위해 공유되기 때문에 뷰어로 공유됐다 해도 편집을 위해 원본을 요청할 수밖에 없다. 또 HMTL 스머글링과 같은 웹 기반 공격은 이 방법으로 막지 못한다.

지능적인 악성문서와 악성파일 대응을 위해 콘텐츠 무해화(CDR)와 원격 브라우저 격리(RBI) 기술이 제안된다. CDR은 문서에서 공격에 사용될 수 있는 액티브 콘텐츠를 제거하고 깨끗하고 안전한 새 문서로 재조립하는 기술이다.

RBI는 사용자의 웹브라우저를 사용자 기기로부터 격리된 가상환경에서 실행하는 기술로, 웹에 숨은 악성코드가 사용자를 감염시키지 못하게 한다. 격리된 브라우저는 해당 세션이 끝나면 삭제되기 때문에 악성코드가 활동하지 못하며, HTML 스머글링과 같은 지능형 위협도 제어할 수 있다.

RBI는 물리적 망분리·VDI의 20~50% 수준의 저렴한 비용으로 망분리 효과를 낼 수 있는 기술로 주목되고 있다. 업무망을 운영하는 상태에서 인터넷망에 격리 기술을 적용하면 인터넷의 위협이 내부망으로 유입되지 않아 안전하다. 외부 인터넷의 자료를 내부망으로 전송해야 한다면, CDR 기술을 이용해 무해화 한 후 보낼 수 있어 알려지지 않은 위협으로부터 내부망을 보호할 수 있다.

제로 트러스트 보안 원칙으로 지능형 위협 방어

소프트캠프는 제로 트러스트 기반 위협 방어 솔루션 ‘실덱스(Shieldex)’ 제품군을 통해 CDR과 RBI 기술을 제공, 이메일과 웹을 통한 지능형 공격을 무력화한다. 실덱스는 CDR 원천기술로 개발된 무해화 솔루션으로, 가트너의 ‘5가지 주요 보안 패턴 보고서’에서 콘텐츠 변환 패턴의 CDR 분야 솔루션으로 소개한 완성도 높은 제품이다.

20년 이상 문서보안 전문성을 다져온 소프트캠프의 핵심기술을 기반으로 설계된 실덱스는 모든 종류의 문서 구조를 정확하게 파악하고 있기 때문에 빠르게 문서를 문해화 한 후 원본과 동일하게 재조립해 제공한다. 이로써 CDR로 인한 업무 불편을 해소하면서 안전한 문서 업무가 가능하도록 한다.

또한 실행파일 변환 프로세스후 가상격리 환경에서 실행, 정기 모니터링하고 PC 핵심 영역에 대한 액세스를 차단해 의심스러운 실행파일을 원천 차단하지 않고 업무에 이용하도록 하면서 피해를 예방할 수 있다.

실덱스 제품군은 설치형 애플리케이션인 ‘실덱스 파일 온라인’, 망연계 환경 등에서 외부 인터넷 파일을 내부 업무망으로 안전하게 반입시키는 ‘실덱스 파일’, 이메일 속 본문이나 첨부파일, URL 등을 통해 들어오는 콘텐츠를 무해화하는 ‘실덱스 메일’, 그리고 RBI 기술인 ‘실덱스 리모트 브라우저’로 구성된다.

실덱스 메일은 이메일 본문과 첨부파일, 이미지까지 무해화하며, 외부 문서를 래핑하고 격리된 뷰어를 통해 안전하게 열람할 수 있게 하고 다운로드가 필요할 때 무해화 처리한다. M365의 익스체인지 온라인, 구글 지메일 등 다양한 메일서비스와 연동된다. 또 타이포스쿼팅을 감지해 사칭메일도 차단한다.

실덱스 리모트 브라우저는 모든 인터넷 콘텐츠를 격리된 환경에서 보여줘 확인되지 않은 위협이 사용자 기기에 영향을 미치는 것을 원천 차단한다. 4K 영상 시청, 화상회의도 원활하게 지원하며, 보안이 취약한 사이트에 접속할 때 사용자의 행위를 제한해 키 입력 차단, 복사·붙여넣기 차단, 업·다운로드 차단 등의 정책을 설정할 수 있다. 격리된 웹에서 파일을 다운로드 해야 한다면 무해화 처리한다. 실덱스 리모트 브라우저는 H 금융기관, S 제조사에 도입돼 피싱 사기, 악성 웹기반 공격, 지적재산 탈취 등의 공격을 방어하고 있다.

소프트캠프는 실덱스 제품군과 함께 제로 트러스트 원칙의 원격접속 보안 솔루션 ‘실드게이트(SHIELDGate)’를 사용하면 한층 더 높은 보안 수준을 달성할 수 있다고 강조한다. 조건부 접근 정책과 지속적인 검증·모니터링으로 권한 있는 사용자만 권한내 업무 접속을 허용하고 있다. 이 솔루션과 CDR, RBI를 접목시키면 외부 알려지지 않은 웹 기반 공격과 정상 문서로 위장한 악성문서 공격도 차단할 수 있다.

배환국 소프트캠프 대표는 “소프트캠프는 DRM을 필두로 문서보안 시장을 개척해 온 전문기업으로, 최근 변하는 클라우드 환경에 맞는 보안 기술을 지속적으로 개발해왔다. 그 결과 제로 트러스트 이행을 위한 다양한 기술을 제공할 수 있게 됐다”며 “소프트캠프는 고객이 더 편리하고 안전하게 업무 할 수 있도록 변하는 환경에 맞는 보안기술을 최적의 시기에 공급할 수 있도록 지속적으로 노력하고 있다”고 말했다.