웹과 이메일이 APT 공격의 주요 통로로 자리잡고 있다. 악성 이메일 공격은 메일을 열어보기만해도 악성코드에 감염되도록 진화했으며, 웹사이트 방문자를 감염시키는 공격은 일회성 URL을 악성코드 유포지로 사용해 추적시스템을 무력화한다. 이러한 공격을 막기위해 게이트웨이 기반 보안 솔루션이 주목을 받고 있다. 더불어 웹방화벽, 시큐어코딩, 악성코드 탐지 기술 등 APT 공격 방어를 위한 다양한 기술이 다시 부상한다. 웹·이메일을 이용한 공격을 방어하는 다양한 기술을 살펴본다.<편집자>
APT 공격 단계별 맞춤형 대응
글로벌 시장에서는 웹과 이메일을 통한 보안위협을 탐지하기 위한 다양한 기술과 솔루션이 경쟁적으로 출시되면서 시장이 활성화되고 있다.
웹 기반 보안 기술을 제공해 온 웹센스는 자사 제품군을 APT 방어 솔루션 포트폴리오로 재정비하면서 ATP 전략을 적극 드라이브한다. APT 공격이 일어나는 단계에 따라 취약점 탐지·제거, SWG를 통한 웹 위협 탐지, 샌드박스를 이용한 위협 침투 탐지, 내부정보 유출방지(DLP), 보안 인텔리전스 쓰렛시커(ThreatSeeker)를 통한 전 세계 보안위협 탐지 등을 제공한다.
인텔시큐리티는 맥아피 보안제품군을 APT 라이프사이클에 맞춤형으로 대응할 수 있도록 ATP 전략을 소개한다. 인텔시큐리티의 다계층 보안 전략은 맥아피 안티바이러스로 악성코드와 악성링크를 분석해 차단한 후 지능형위협방어(ATD) 시스템과 실시간 URL 에뮬레이션으로 알려지지 않은 URL 및 의심파일을 분석한다. 글로벌 보안위협 분석 인프라(GTI)를 통해 실시간 전 세계 보안 인텔리전스를 구축하고, 맥아피 SIEM을 연동해 내부에서 발생하는 위협정보를 수집·분석해 은밀하게 이동하는 공격을 탐지한다.
스피어피싱을 방지하기 위해 클릭방지(ClickProtect) 기능을 제공하는데, 위험파일로 의심되는 경우 파일을 강제로 열지 못하게 하며, 보안정보이벤트관리 시스템과 연동해 내부 네트워크에서 발생하는 의심스러운 행위를 연계분석, 위협정보 정확도를 높이면서 DLP 기능을 내장해 중요정보의 유출을 방지한다.
이메일 보안을 위해 호스트 메일박스(Security for Hosted Mailboxes)를 제공하는데, 60일 동안 이메일을 저장할 수 있는 메일 서비스로, 세분화된 DLP와 암호화 제어를 통해 정보의 기밀을 유지하면서 클라우드의 이점을 활용할 수 있도록 한다.
클라우드 기반 메일보안 서비스 ‘주목’
스피어피싱 기술이 진화하면서 메일보안 솔루션도 진화하고 있다. 블랙리스트/화이트리스트를 기반으로 공격자 정보를 확인·차단하는 것 뿐 아니라 첨부파일과 링크를 철저하게 분석해 위협요소가 첨부돼 있는지 분석하고 메일서버에 도달하기 전에 유해 메일을 차단한다. 이를 통해 위험한 메일과 불필요한 메일을 걸러내 메일서버 용량을 효율적으로 사용할 수 있는 기반을 마련하기도 한다.
시만텍은 클라우드를 기반으로 이메일 보안을 서비스하는 ‘시만텍 이메일 시큐리티 닷 클라우드(Symantec Email Security.Cloud)’를 소개한다. 기업의 이메일을 시만텍 클라우드를 통해 서비스하는 방식으로, 기업이 별도의 이메일 서버를 구축해 사용할 수도 있고 이메일 클라우드 서비스만으로 사용할 수도 있다.
이 서비스는 시만텍의 글로벌 인텔리전스 네트워크(GIN)에 구축된 보안 인텔리전스를 이용해 진화하는 보안위협을 실시간으로 차단한다. GIN에는 전 세계 수백만대의 데스크톱, 서버, 네트워크로부터 데이터를 수집함은 물론 방대한 양의 이메일을 분석하고, 이메일 뿐만 아니라 새로운 보안 위협까지 감시하며, 효과적이고 정확한 보호 서비스를 제공한다.
전세계 3만2000개 기업이 이메일 시큐리티 닷 클라우드를 사용하고 있으며, 하루 70억개의 메시지를 처리한다. 월간 800만개의 멀웨어 중 스켑틱(Skeptic) 기술을 이용해 22만개의 멀웨어를 탐지하고, 하루 3000만개의 프로브(Probe) 메시지를 분석하고, 시만텍 글로벌 인텔리전스 네트워크와 보안정보를 공유하고 있다.
메일보안 솔루션은 토종 솔루션이 강력한 점유율을 지키고 있는데, 저렴한 가격과 유연한 커스터마이징을 앞세워 전 산업군에서 사용되고 있다. 메일보안 솔루션은 스팸메일 탐지 솔루션이 주를 이뤘지만, 최근 APT 공격 방어를 위한 기능을 추가하고 있다.
지란지교시큐리티는 파이어아이와 연동한 이메일 보안 솔루션 ‘스팸스나이퍼 APT 에디션’을 출시하면서 APT 대응 기능을 강화했다. 이 제품은 메일서버로 유입되는 스팸메일에 대해 바이러스 메일을 차단하고, 해킹메일 및 스피어피싱 등 알려지지 않은 공격에 대해 APT 모듈을 통한 진단과 차단을 제공한다.
대기업부터 중소기업까지 사용할 수 있도록 어플라이언스와 클라우드 형태로 제공하며, 사용자단에서 1차 필터링 기능을 제공하는 라이트 버전으로 비용부담 없이 사용할 수 있도록 한다.
지란지교시큐리티의 ‘스팸스나이퍼’는 스팸메일 차단 솔루션 시장 1위를 지키고 있는 대표적인 제품으로, 수신 메일을 프록시 서버로 받아 위해 여부를 분석한다. 소포스·사이렌 두개의 백신을 기반으로 하고 있어 악성코드를 효과적으로 차단한다. 변종·암호화 바이러스 메일을 차단하는 ‘바이러스 프리 프로세스 시스템(VPS)’을 제공하며, 저널링(Journal) 기능을 추가해 정상 메일 메시지를 별도로 전송할 수 있다.
다우기술은 ‘테라스메일’에 보안기능을 강화한 제품을 출시하며 메일보안 솔루션 시장을 적극 드라이브한다.
‘테라스메일와처 APT 에디션’은 평소 수신메일 이력 기반 패턴 분석으로 감염이 의심되는 메일을 사전에 검역한 후 사용자에게 경고성 알림 메일을 보내 APT 공격 예방이 가능하다. 검역된 메일에 대한 검역 이유를 제공하여 사용자가 안전한 메일인지 확인한 후 수신 여부를 판단한다.
안전보기 기능을 제공해 검역된 메일의 본문 내 스크립트 실행을 방지함으로써 APT 악성코드 유입을 차단하고, HTML 컨버터를 이용해 악성코드가 삽입돼 있을 것으로 의심되는 첨부파일을 사용자가 실행하지 않고도 확인할 수 있다. 표적형 악성메일은 감염 이후 특별한 증상이 나타나지 않고 보안 소프트웨어로도 사전 탐지가 어렵기 때문에 안전보기 기능이 유효하다.
다우기술은 망분리 환경에서도 메일보안을 강화할 수 있도록 망연계 구간에 적용하는 ‘테라스메일브리지’를 추가로 출시했다. 이 제품은 망 중계 영역에서 메일 본문을 이미지로 변환해 내부망으로 제공하기 때문에 악성 메일의 침해위협 없이 내부망에서 외부망 메일을 안전하게 열람할 수 있다. 더불어 내부 업무망 접속 시엔 사용자 본인인증 과정을 거쳐 안전한 접속환경을 제공하고 외부 인터넷망과 연계시 특정 의심IP대역 설정 및 차단 기능으로 보안성을 더욱 강화했다.
소프트캠프의 APT 이메일 보안 솔루션 ‘실덱스 포 메일(SHIELDEX for Mail)’은 문서 방화벽 기술을 기반으로 이메일에 첨부된 문서를 방역하는 기능을 제공하며, 메일 서버 앞 단에 구성돼 메일 서버를 변경 시키지 않고 릴레이 방식으로 유연하게 연동해 구축할 수 있다.
문서 방화벽 기술은 첨부된 문서가 있는 메일을 대상으로 문서가 ▲제대로 된 문서구조(형태)로 만들어진 것인지를 파악하고 ▲내용 중 안전한 콘텐츠(텍스트, 이미지 등)만 추출해 새로운 파일로 문서를 재구성 하는 방식이다. 만약 콘텐츠 내에 악성코드가 있을 경우 추출 과정에서 원천 차단돼 신규 악성코드나 제로데이(Zero-day) 등에 선제적으로 대응 할 수 있다.
실덱스 포 메일은 자체 개발한 PC 가상화 기술을 적용해 사용자가 PC에서 메일 열람 시 실시간으로 마이크로VM 방식의 샌드박스 환경에서 첨부파일을 열람할 수 있도록 지원한다. 메일로 수신한 첨부파일은 실덱스 트레이스 서버(SHIELDEX Trace Server)에서 실시간으로 감시 및 모니터링 할 수 있으며, 소프트캠프의 문서 DRM을 사용하는 경우에는 문서의 사용 행위도 추적할 수 있다.
