[데이터넷] 이메일은 공격자들이 가장 많이 사용하는 공격수단이다. 거의 대부분의 업무가 이메일을 이용해 커뮤니케이션 하기 때문에 타깃 사용자를 속이기 쉽다. 악성코드 없이 메일만으로 대규모 자금 탈취에 성공한 사례도 부지기수다. 이메일 기반 위협은 대응하기가 매우 복잡하고 까다롭다. 그럴수록 제로 트러스트 원칙의 보안이 필요하다. 이메일 기반 위협 트렌드와 대응을 위해 필수적인 기술과 솔루션을 소개한다.<편집자>

진화하는 이메일 기반 공격에 대응하기 위해 다양한 이메일 보안 솔루션이 사용되고 있다. 스팸메일 차단 솔루션과 백신·샌드박스를 이용해 잘 알려진 공격은 대부분 선제적으로 차단한다. 보다 진보한 보안 분석 엔진을 탑재한 이메일 게이트웨이(SEG)도 인기를 끌고 있다. SEG는 인/아웃바운드 메일을 내용과 첨부파일, 첨부된 외부 링크를 검사해 악성여부를 파악하는 고급 분석 기능을 제공한다.

그러나 기존의 이메일 보안 솔루션은 탐지 기법도 잘 알려져있기 때문에 우회하기 쉽다. 스팸메일 차단 솔루션과 백신은 알려진 위협을 선제적으로 차단하기 때문에 알려지지 않은 패턴과 공격도구를 이용하면 탐지하지 못한다. 샌드박스는 의심스러운 파일이 다운로드 됐을 때 가상환경에서 이를 실행시켜 공격 행위가 일어나는지 확인하는 방식이므로, 샌드박스 분석 시점에만 아무런 활동도 하지 않으면 쉽게 지나갈 수 있다.

악의적인 이메일 공격으로 인한 피해를 예방하기 위해 필요한 보안 솔루션을 갖추는 것도 중요하지만, 사용자들도 평소에 신뢰할 수 있는 메일만을 열어보는 습관을 갖는 것도 필요하다. 출처가 불분명한 메일 열람에 주의하고, 신뢰할 수 없는 실행파일은 클릭하지 말고, 문서의 매크로는 꼭 필요한 경우가 아니면 활성화하지 않는 것이 좋다. BEC 등의 공격에 자신의 이메일이 이용되지 않도록 강력한 암호 설정과 다단계 인증 조치를 취한다.

마이크로소프트가 오피스 프로그램에서 매크로 실행을 제한하는 기능을 기본값으로 해 출시한 후 악성문서 공격이 상당 수준으로 줄었다는 통계가 있다. 여기에 사용자 교육까지 강화돼 의심스러운 문서의 매크로 사용을 금지하면 공격당할 가능성을 크게 낮출 수 있다.

관계기관과 기업은 사용자의 보안인식이 자리잡도록 지속적인 캠페인을 벌이고 있다. 신뢰할 수 있는 메일 발신자라도, 메일 주소가 정상적인지 반드시 확인하며, 수상하다고 의심될 때 해당 기관의 공식 웹사이트를 통해 문의해야 한다.

이메일의 URL을 직접 클릭하는 것 보다 직접 검색해 찾아가는 것이 좋다. 긴급한 거래대금 송금 계좌 변경과 같이 평소와 다른 의심스러운 요청을 할 때는 반드시 공식 경로를 통해 담당자를 확인하고 직접 통화해 확인한다. 자신의 전화가 해킹당했을 수 있으니 다른 사람의 전화를 이용하거나 유선 전화를 사용하는 것이 권장된다.

리버스 엔지니어링으로 비실행형 악성코드 탐지

안전한 이메일 커뮤니케이션 습관을 갖는 것은 메일 기반 공격에 대응할 수 있는 매우 좋은 방법이지만, 신뢰할 수 있는 발신자로 위장한 정교한 공격을 막지는 못한다. 공격자들은 실제 사이트와 완전히 똑같이 제작된 피싱 사이트로 피해자를 유인해 감염시킨 후 이 피해자의 메일 계정을 이용해 공격메일을 보낸다. 신뢰할 수 있는 발신자가, 업무 관련 내용으로 메일을 보냈다면 의심할 사람은 많지 않다.

정교해지는 이메일 위협에 대응하기 위해 사람들의 보안 점검 습관도 중요하지만, 지능형 위협까지 탐지할 수 있는 고도화된 보안 기술을 갖추는 것도 중요하다.

시큐레터는 비실행형 파일을 자동화된 리버스 엔지니어링 기법으로 분석해 빠르게 악성 여부를 진단하는 ‘MARS’ 플랫폼에서 이메일과 파일 기반 위협을 차단한다. MARS는 파일을 실행시키지 않고 악성 여부를 진단하며, 디버깅 진단시 가상 메모리에 로딩되는 순간 분석해 현재 APT 방어 솔루션 중 가장 빠른 진단속도를 제공한다.

MARS는 한국정보통신기술협회(TTA)에서 실시한 악성코드 분석 확인·검증시험에서 평균 진단 속도 12초를 기록했으며, 한국인터넷진흥원의 APT 진단율 평가에서 정확도 100%를 기록해 높은 진단율을 입증 받았다.

공공·금융 등 다양한 고객서 성공사례 입증

MARS에 탑재된 시큐레터 제품은 이메일, 망연계·망분리 환경, 문서중앙화, 웹 공용 게시판 등을 위한 APT 방어 솔루션으로 공급되고 있으며, BNK부산은행, 한국투자증권, KB증권, IBK투자증권 등 금융기관과 국민연금공단, 국민건강보험공단, 한국전력기술, 제주도청, 문화체육관광부 산하 10개 기관 등 공공기관과 현대오일뱅크, 삼성전자판매 등의 기업에서 활용하고 있다.

MARS에는 이메일에 첨부된 비실행형 악성코드 탐지 솔루션 ‘MARS SLE’와 구독형 이메일 보안 솔루션 ‘MARS SLES’, 망분리, 문서중앙화, 웹 게시판 등을 통해 파일을 공유하는 환경을 위한 보안 솔루션 ‘MARS SLF’가 제공된다.

또 독자개발한 CDR 기술과 위협 분석 기술을 결합한 ‘MARS SLCDR’도 지원된다. 문서 무해화 후 제거되지 못한 악성코드를 리버스 엔지니어링으로 분석해 완벽하게 무결성이 검증된 문서만 제공함으로써 보안을 우회하는 공격까지 차단한다.

한편 시큐레터는 8월 코스닥 상장을 위한 절차를 진행하고 있다.

임차성 시큐레터 대표는 “사이버 정보 위협은 갈수록 고도화∙지능화되고 있으며 특히 문서, 이미지 등의 비실행 파일을 통한 ‘알려지지 않은 보안 위협’은 기존 보안 솔루션으로 대처가 어려워 이에 대한 위험성이 커지고 있다”며 ”시큐레터는 리버스 엔지니어링 기술 기반의 정보보안 솔루션으로 기술적인 경쟁우위를 획득했으며, 상장 이후 수요가 꾸준히 증가하고 있는 글로벌 정보보안 시장의 선도 기업으로 도약할 것”이라고 밝혔다.

제로 트러스트 원칙으로 이메일 기반 위협 대응해야

이메일 위협 유형은 매우 다양하고 복잡하며, 사람의 심리를 교묘하게 악용하기 때문에 방어가 쉽지 않다. 퍼셉션포인트에 따르면 이메일과 웹을 이용한 공격의 성공률이 99%이며, 90%의 기업은 보안경고를 무시해 피해를 입는다.

따라서 고급 탐지 기능을 갖춘 이메일 보안 솔루션과 EDR, NDR, XDR, 격리 등의 기술도 함께 사용해 진화하는 공격에 대응할 수 있어야 한다. 사용자 보안 인식 교육, 취약점 패치와 최신 업데이트 유지, 강력한 적응형 인증과 권한제어가 함께 사용되어야 한다. 완벽한 이메일 기반 위협 대응 체계를 갖췄다 해도 직원의 실수, 제거되지 않은 취약점, 파트너의 보안 위반 등으로 인해 공격당할 가능성을 제거하지 못하기 때문이다.

가장 안전한 이메일 보안 전략은 ‘제로 트러스트’다. 수·발신되는 모든 이메일의 위험성을 검증하고 지속적으로 모니터링 해 안전한 이메일 커뮤니케이션이 이뤄지도록 해야 한다. 첨부파일과 외부 링크에 대해 끝까지 분석하고 추적하며, 혹시 모를 위협에 대비해 무해화·격리 조치를 하며, 위협 인텔리전스를 이용해 새로운 위협 트렌드를 파악하고 대응해야 한다.

조직적인 위협 그룹에 의한 공격으로 의심될 때에는 관계 기관에 신고해 해당 공격과 유사한 공격이 일어났는지 파악하고 추가 공격을 막을 수 있도록 도움을 받는 것도 중요하다.