[데이터넷] 이메일은 공격자들이 가장 많이 사용하는 공격수단이다. 거의 대부분의 업무가 이메일을 이용해 커뮤니케이션 하기 때문에 타깃 사용자를 속이기 쉽다. 악성코드 없이 메일만으로 대규모 자금 탈취에 성공한 사례도 부지기수다. 이메일 기반 위협은 대응하기가 매우 복잡하고 까다롭다. 그럴수록 제로 트러스트 원칙의 보안이 필요하다. 이메일 기반 위협 트렌드와 대응을 위해 필수적인 기술과 솔루션을 소개한다.<편집자>

이메일 위협은 복합적이기 때문에 단일 기술로 막지 못한다. 신뢰할 수 있는 사람이나 조직으로 위장하는 사칭메일을 차단하는 기술, 정상적인 업무 메일로 위장한 스피어피싱 차단 기술, 심리를 이용하는 스캠·피싱 식별 기술, 첨부파일과 URL을 검사해 악성 여부를 판단, 무해화하거나 격리·차단하는 기술, 모든 보안 솔루션을 우회해 침투한 공격자를 빠르게 식별해 조치하는 기술이 필요하다.

가트너 ‘이메일 보안을 위한 시장 가이드’ 보고서에서는 이메일 보안 솔루션 유형으로 보안 이메일 게이트웨이(SEG), 통합 클라우드 이메일 보안(ICES), 이메일 데이터 보호(EDP)를 들었다.

SEG는 가장 일반적인 메일 보안 솔루션으로, URL 검사, 백신·샌드박스 통합, 스팸 방지, BEC 차단, 개인정보·민감정보 유출 방지, 메일 암호화, 대용량 메시지 전송 등의 기능을 제공한다. API 기반 통합으로 확장된 보안 탐지·대응 솔루션의 일원이 될 수 있다.

그런데 전통적인 SEG는 최신 지능형 위협 대응에 한계가 있다. 오탐이 많고, 성능이 느리며, 관리 포인트가 많다. 예를들어 계정탈취 피싱 메일은 메시지 헤더에 아무 표시가 없기 때문에 SEG에서는 합법적인 메일로 본다. 보안 분석을 우회하는 HTML 스머글링이나 암호화된 악성문서는 SEG로 찾아내기 어렵다.

클라우드 기반 탐지로 빠르고 정확하게 위협 대응

그래서 클라우드 기반 이메일 보안 기능을 이용해 빠르고 정확하게 이메일 위협에 대응할 수 있는 ICES가 주목받고 있다. 가트너는 ICES가 SEG를 보완하는 요소로 구축되었지만, 클라우드 기반 대응의 이점이 입증되면서 점차 ICES가 SEG를 대체하고 있다고 설명했다.

ICES는 클라우드에서 여러 분석 기술을 사용해 이메일에 숨은 위협을 찾아낼 수 있으며, 컨텍스트 기반 사용자 행위 분석을 통해 계정탈취 공격도 차단할 수 있다. API를 이용해 메일 서비스와 연동될 수 있으며, 다른 보안 솔루션과의 연계도 쉬워 XDR 확장이 가능하다. 보안인식 교육 플랫폼을 강화할 수 있으며, 메일 분류와 자동화된 정책 적용 등의 고급 기능 추가도 용이하다.

ICES는 AI를 사용해 통신패턴과 대화 내용의 이상징후를 탐지해 BEC를 효과적으로 차단하고 있으며, 컴퓨터 비전 기술을 이용해 의심스러운 URL을 끝까지 추적해 차단하고, 계정탈취 시도를 억제한다.

ICES는 클라우드 이메일 서비스를 이용하는 환경이 늘어나면서 더욱 도입 속도가 빨라지고 있다. 가트너는 조직의 70%가 클라우드 이메일 솔루션을 사용하고 있으며, 이 서비스 기업들이 메일보안 기능을 제공하고 있지만, 정교한 공격 대응에 한계가 있기 때문에 ICES가 필요하다고 설명했다.

클라우드 기반 보안으로 99.95% 위협 차단

가트너 보고서에서는 이메일 보안과 클라우드 이메일 플랫폼, 협업 플랫폼의 통합을 강조하고 있다. 원격·하이브리드 업무 환경에서 커뮤니케이션이 이메일, 링크드인, 팀즈, 슬랙 등 다양한 플랫폼으로 확장되고 있기 때문이다. 여러 플랫폼을 노리는 위협에 대응하기 위해서는 통합 위협 탐지와 대응 기술이 필요하며, ICES와 같은 클라우드 기반 이메일 방어 기술이 유용하게 사용될 것이라는 설명이다.

ICES 대표 벤더로 에스에스앤씨가 국내에 공급하는 퍼셉션포인트가 있다. 퍼세션포인트는 웹, 이메일, 클라우드, 협업 플랫폼 등 공격 채널을 통한 위협을 탐지·대응하는 클라우드 기반 서비스로, 99.95%의 탐지율을 기록하고 있다.

퍼셉션포인트의 대표 제품인 ‘고급 이메일 보안(Advanced Email Security)’은 HAP, 리커시브 언패커, BEC 차단, 스팸 필터, 정적 분석, 위협 인텔리전스, 피싱 방어 등의 7개 엔진을 동시에 가동시켜 평균 15초 내에 위협을 식별하고 적절하게 대응한다. 머신러닝을 사용해 어휘·컨텍스트 데이터를 분석, BEC·스캠 등 페이로드 없는 공격도 식별한다.

퍼셉션포인트의 핵심 엔진인 HAP는 모든 유형의 파일에 대해 정상적인 행태를 학습한 후, 새로 유입되는 파일의 가상 메모리 변경사항을 기록해 표준 파일과 비교해 이상 행위를 식별한다. CPU 레벨에서 엑스레이 코드를 작성해 파일의 논리적 버그와 실행 흐름에서 이상징후를 감시하며, 런타임 중 회피기법과 이상행위를 찾아내 멀웨어 릴리즈 혹은 실행 첫 단계에서 공격을 감지, 차단한다. 위협이 활동하기 전에 제어해 공격으로부터 비즈니스를 보호한다.

리커시브 언패커 엔진은 콘텐츠를 작은 단위로 쪼개 숨겨진 악성 공격을 식별하며, 모든 URL과 파일의 액티브 콘텐츠는 압축을 풀고 끝까지 추적한다. 재귀분석 기술로 모든 구성요소의 안전성을 검증해 제로데이·엔데이 공격까지 차단할 수 있다.

매니지드 서비스로 고급 위협까지 대응

퍼셉션포인트는 지난해 말 우리나라 주요 기관 종사자에게 유포된 국회의원 사칭 메일을 신속하게 탐지해 관련 업계에 경고함으로써 피해 발생을 예방했다. 글로벌 시장에서는 업계 최고 점유율을 가진 보안 솔루션과 이메일 보안 솔루션을 잇달아 윈백하면서 존재감을 높이고 있다.

퍼셉션포인트는 클라우드를 통한 매니지드 서비스를 제공해 보안 전문가가 충분하지 않은 조직도 위협을 빠르게 식별해 대응할 수 있으며, 새롭게 발견된 위협도 신속하게 전 세계 고객에게 대응법을 지원해 신종 공격 위협에 대한 방어가 가능 하다. 퍼셉션포인트의 무료 사고대응 서비스는 SOC 리소스를 75% 절약시키며, 모든 사건을 모니터링, 분석, 보고할 수 있어 알려지지 않은 위협에도 효과적으로 대응할 수 있게 한다.

한편 퍼셉션포인트는 2023년 전세계 대상 글로비 어워드(Globee Awards)에서 ‘사이버시큐리티 골드 위너’ 4회 연속 선정, 2022년 테크 어센션 어워드 ‘최고 이메일 보안 솔루션’ 선정, SE랩 2년 연속 종합 1위에 오르면서 최고의 기술력을 인정받았다.

보호해야 할 핵심 자산은 ‘데이터’

공격자가 이메일 위협을 통해 얻고자 하는 목표는 ‘정보’이다. 타깃 사용자 기기를 감염시켜 기밀정보를 탈취하고, 계정정보를 알아내 더 중요한 정보에 접근할 수 있는 권한을 획득한다. 그래서 메일보안 솔루션은 중요정보 유출 방지 기능을 탑재하고 있거나 연동할 수 있어야 한다. 그 솔루션이 이메일 데이터 보호(EDP)다.

가트너는 비즈니스 복잡성이 높아지면 파트너, 혹은 고객과 이메일로 중요 정보를 공유하는 일이 늘어나고, EDP에 대한 관심이 증가한다고 설명했다. 일례로 이메일 데이터는 암호화해 전송하는데, 이 때 데이터 암호화 키를 어떻게 보낼것인지, 사용자 인증은 어떻게 해야 할 것인지 등의 문제가 있다.

이메일은 실수에 의한 데이터 유출 사고가 가장 많이 일어나기 때문에 AI/ML을 이용해 중요정보의 무단 유출을 방지하거나 사용자에게 경고해 한번 더 확인하는 등의 추가 보안 기술을 적용하는 것도 필요하다.

사람중심 보안으로 데이터 보호

에스에스앤씨가 국내에 공급하는 포스포인트 DLP는 지능적이거나 우발적인 데이터 유출 사고를 방지할 수 있는 탁월한 솔루션으로 꼽힌다. 포스포인트는 사람 중심 보안 기술로 사람들이 실수나 고의로 일으키는 보안 사고에 대한 근본적인 해법을 제시한다.

포스포인트 DLP는강력한 탐지 엔진으로 기업 전반의 중요 데이터 사용 행위를 모니터링하고, 정형·비정형 데이터의 핑거프린팅으로 정밀 탐지한다. OCR을 이용한 이미지 파일 내 콘텐츠 탐지와 SaaS 앱의 이동·저장·사용 중 데이터를 보호한다. 단일 콘솔에서 네트워크, 엔드포인트, 스토리지, 클라우드 등 모든 채널에 대한 데이터 가시성과 통제를 확보할 수 있다.

포스포인트 DLP는 ‘드립 DLP’ 기능을 제공, 오랜 기간동안 소량 데이터를 유출할 때에도 탐지하며, 보안 분석 기능을 이용해 매일 발생하는 인시던트에 대한 리스크 점수를 부여해 높은 위협에 먼저 대응할 수 있게 한다. 1700개 이상 다양한 정책 템플릿을 제공해 지역별·산업별 규제까지 쉽게 준수할 수 있게 한다.

최근 국내에서도 맥OS 사용자들이 늘어나면서 DLP에 맥OS 지원 기능을 요구하는 고객이 늘어나고 있다. 국내 DLP는 맥OS 지원이 어렵거나 윈도우와 같은 수준의 데이터 보호를 제공하지 못한다. 포스포인트 DLP는 윈도우와 맥OS이 데이터를 거의 동일한 수준으로 보호하고 있어 다양한 OS를 노리는 위협으로부터 기업의 주요 자산을 보호한다.

포스포인트 DLP는 국내 주요 그룹사와 대형 제조사, 공공기관 등에 공급됐으며, 전 세계 4만개 이상 고객을 보유하고 있다. 홍콩·마카오·대만 등 우리나라와 유사한 DLP 시장 구도를 가진 국가에서 시장 점유율 1위를 기록하고 있다.

한편 포스포인트 DLP는 시장조사기업 포레스터리서치의 ‘2023년 포레스터 웨이브: 데이터 보안 플랫폼’ 리더, 2023년 ‘가트너 피어 인사이트 고객이 선택한 DLP 솔루션’에서 5점 만점 중 평점 4.5점을 기록하면서 기술력과 높은 고객 만족도를 입증했다. 지난해에는 ‘SC어워드 2022 베스트 DLP’ 선정, ‘가트너 DLP 솔루션 대표 공급기업’에 올랐다.