[데이터넷] 디지털 전환 가속화로 금융사에서는 각종 신청·증빙 서류를 팩스로 받지 않고 온라인을 통해 전자문서로 접수하고 있다. 그래서 사이버 공격 방식도 실행 파일이 아니라 비실행(문서) 파일 중심으로 변화하고 있다. 또한 생성형 AI 등장으로 피싱 사이트와 악성 메일, 악성 문서 제작이 자동화되고 있으며 더 정교해진 사회공학 기법 공격이 늘어나고 있다. 더불어 금융기관 사칭 지능형 보안 위협이 급증하고 있다.

웹사이트·이메일 접수 문서 파일 악성코드 탐지·차단

A 증권사는 거래 서비스와 금융 상품 신청 시 신청 서류, 증빙서류 등을 모두 웹사이트 또는 이메일로 접수를 받고 있어 단 1건이라도 악성 파일이 기관 내 인프라에 유입되어 실행된다면 그 파급력은 기관을 넘어 모든 고객에게 미친다.

특히 문서 파일에 숨겨진 악성코드가 내부 인프라에 유입되어도 기존에 설치된 시그니처와 행위 기반 솔루션으로는 탐지가 쉽지 않아 진화하는 지능형 보안 위협까지 정확하게 파악하고 대응하는 보안 솔루션이 필요했다.

이에 A 증권사는 다양한 보안 솔루션을 비교·분석한 후 이메일·망연계 구간에서 알려지지 않은 지능형 보안위협까지 선제 방어하는 시큐레터 이메일 보안 솔루션 ‘MARS SLE’와 파일 보안 솔루션 ‘MARS SLF’를 도입했다.

A 증권사는 ▲HWP, MS 오피스, PDF, HTML, TXT 등 문서파일 ▲BMP, JPG, PNG, GIF 등 이미지 파일 ▲ZIP, 7Z, ARJ, RAR, TGA 등 압축파일 등 비실행 파일에 특화된 시큐레터 MARS의 보안 기술을 높게 평가해 솔루션을 도입했다.

또 안정적인 콘텐츠 무해화(CDR) 기능과 타 보안 솔루션 대비 빠른 진단 속도와 높은 진단율, 용량 한도 없는 파일 검사, 기존 샌드박스 기반 솔루션의 취약점 극복, 악성코드 탐지 후 관리자 알람과 직관적 관리 보고서 제공, 다양한 보안제품과의 유기적 통합 용이 등의 장점도 인정했다.

빠르고 높은 진단율로 신속한 위협 대응

A 증권사 정보보안팀 담당자는 “고객이 신청서류와 증빙 서류를 보낼 때 악성 파일을 의도적으로 제출하는 사례도 있지만, 자신이 작성한 문서가 악성코드에 감염된 줄 모르고 제출하는 경우도 적지 않다”며 “‘MARS SLE·SLF’는 맞춤형 피싱 이메일, 악성 문서 등을 통해 유입되는 신·변종 악성코드에 대한 진단율이 타사 대비 월등히 높을 뿐만 아니라 위협요소를 정확히 제거한다는 점이 인상적이었다”고 말했다.

이어 그는 “기존에 망연계 구간에 설치한 행위 기반 솔루션은 악성코드 진단 시 진단 속도가 느려 업무 지연을 막으려면 사후 처리 방식으로 악성코드 진단 및 차단을 진행할 수밖에 없었는데, 이 경우 사용자가 악성 문서를 받을 수도 있었다”며 “MARS SLE· SLF는 악성코드 진단 시 사전 처리 방식이기 때문에 악성코드가 사내 인프라에 유입되기 전에 진단·차단이 완료될 뿐만 아니라 타사 제품에 비해 진단 속도도 빠르고 실시간에 가까워 지연 없이 안전하게 업무를 처리할 수 있어 만족스러웠다”라고 덧붙였다.

A 증권사의 솔루션 구축을 담당했던 시큐레터 관계자는 “A 증권사는 타 외산 보안 솔루션을 이미 사용하고 있었지만, 문서를 통해 유입되는 악성코드, 국내에서만 사용하는 한글(HWP) 문서로 악성코드 공격이 유입될 경우 탐지가 어려웠고 진단 속도 이슈도 있어서 시큐레터 보안 솔루션을 도입한 사례”라며 “시큐레터는 나날이 고도화되는 사이버 공격 속에서도 고객이 금융정보보호 강화를 위해 최적의 보안 체계를 유지할 수 있도록 적극 지원할 것”이라고 말했다.

다양한 고객 환경서 입증된 경쟁력

최근 공공기관도 종이가 아닌 웹·이메일로 민원서류를 받고 있는데, 웹 게시판에 민원인이 업로드한 문서로 인해 공격당할 가능성이 있다.

공공기관 B는 민원 처리를 위해 전 국민을 대상으로 웹사이트 내 게시판에 신청서와 증빙문서 파일을 업로드하게 한다. 민원인이 게시판에 문서를 업로드하면 WAS가 이 파일을 기관 내 업무 처리시스템에 저장해 업무 담당자가 확인한다. 백신, 샌드박스를 우회하는 문서 악성코드가 숨어있다면 기관 전체가 영향을 받을 수 있다.

B 기관은 이 문제를 해결하기 위해 시큐레터 MARS SLF를 도입했다. B 기관은 이 솔루션이 백신·샌드박스를 우회하는 비실행 파일에 특화된 악성코드 차단 기능과 용량 제한 없는 파일 검사 기능, 문서중앙화 서버 저장 전 악성코드 탐지·차단 등의 기능이 뛰어난 것으로 평가했다.

많은 공공기관이 업무 효율화를 위해 스마트오피스를 운영하고 있는데, 보안이 상대적으로 약한 스마트오피스 환경을 노리는 공격이 발생할 가능성이 있다. 국가 중요자원을 관리하는 E 기관은 최적의 비대면 근무 환경을 구축하고자 스마트 오피스 인프라 사업을 추진했다.

신규 전산시스템을 구축해 문서중앙화 솔루션과 함께 고도화된 APT 공격을 방어할 수 있는 보안 솔루션 도입을 고려했고 다양한 보안 솔루션을 비교·분석한 결과 시큐레터의 보안 솔루션을 선택했다.

E 기관은 시큐레터 보안 솔루션이 모든 문서파일은 물론이고 이미지 파일, 압축파일까지 분석할 수 있으며, 다른 보안 솔루션보다 빠른 진단속도와 높은 진단율을 보장하기 때문에 업무 영향 없이 악성문서를 효과적으로 차단할 수 있다고 평가했다.

E 공공기관 정보보안팀 담당자는 “문서가 중앙 서버에 저장되기 전에 알려진 공격뿐만 아니라 알려지지 않은 고도화된 공격까지 방어해주는 보안 솔루션을 찾다 보니 시큐레터의 보안 솔루션이 최적이었다”며 “샌드박스 기반 보안 솔루션의 경우 여러 행태의 환경에서 공격 행위를 분석하기 때문에 많은 진단시간을 소요해 업무 시간이 오래 걸리는 반면, 시큐레터의 보안 솔루션은 어셈블리 레벨에서 보안위협을 판별하기 때문에 타 보안 솔루션에 비해 진단 속도가 빨라 업무 효율이 높았다”고 설명했다.

데이터넷 다른기사 보기