웹과 이메일이 APT 공격의 주요 통로로 자리잡고 있다. 악성 이메일 공격은 메일을 열어보기만해도 악성코드에 감염되도록 진화했으며, 웹사이트 방문자를 감염시키는 공격은 일회성 URL을 악성코드 유포지로 사용해 추적시스템을 무력화한다. 이러한 공격을 막기 위해 게이트웨이 기반 보안 솔루션이 주목을 받고 있다. 더불어 웹방화벽, 시큐어코딩, 악성코드 탐지 기술 등 APT 공격 방어를 위한 다양한 기술이 다시 부상한다. 웹·이메일을 이용한 공격을 방어하는 다양한 기술을 살펴본다.<편집자>
가격·커스터마이징 유연해진 외산 솔루션
전통적인 네트워크 보안 기술 기업도 웹과 이메일을 통한 보안기술을 적용하는데 적극적으로 나서고 있다. 특히 포티넷은 웹방화벽 ‘포티웹’과 이메일 보안 솔루션 ‘포티메일’을 통해 웹·이메일 보안 시장을 드라이브한다.
그동안 포티넷은 포티웹과 포티메일을 국내에 적극적으로 소개하지 않았다. 가격경쟁과 커스터마이징 요구, 그리고 웹방화벽에 대한 국내CC 인증 요구 등 컴플라이언스 요건 때문에 국내 시장 진입이 제한적이었기 때문이다. 그러나 웹·이메일 보안이 뜨거운 감자로 떠오르면서 다시 이 시장을 공략할 전략을 짜고 있는 것이다.
포티메일은 인라인 혹은 미러링 방식으로 구성될 수 있으며, 포티메일을 메일서버로도 사용할 수 있어 비용을 크게 줄일 수 있다. 이메일 첨부파일이나 악성URL을 검사하기 위해 포티샌드박스와 연동하며, 포티가드에서 제공하는 보안 인텔리전스를 연동해 실시간 보안위협을 차단한다. 포티메일은 차세대 방화벽 ‘포티게이트’와 연동해 게이트웨이 보안을 강화할 수 있다. 오는 3분기에는 포티메일과 포티웹을 연동시킨 신제품을 출시할 예정이다.
구자만 포티넷코리아 이사는 “포티메일은 국내 대표적인 방산업체에 공급돼 APT 방어 효과를 입증하고 있다. 이 회사는 기존 스팸 솔루션만으로 지능화되는 APT 공격을 차단할 수 없다고 판단하고 포티메일을 도입해 안정적으로 운영하고 있다”고 말했다.
구 이사는 이메일을 열어보기만 해도 감염되는 신종 공격을 차단하는데 포티메일이 효과를 발휘할 수 있다고 강조했다. 이메일을 수신했을 때 포티메일에서 메일 본문과 첨부파일을 모두 분석해 안전한 메일만 메일서버로 보낸다. 콘텐츠 프로세서 CP8을 이용해 SSL, POP3S 등 암호화 통신도 와이어 스피드로 분석할 수 있다.
SWG 기능은 포티게이트를 통해 제공되며, 블랙리스트/화이트리스트 기반 기술을 적용할 수 있으며, 조직·권한에 따라 다른 접속정책을 제공할 수 있다.
HP는 올해 초 이메일 보안 전문 솔루션 시큐어메일 솔루션 기업 ‘볼티지’를 인수하고, 볼티지 기술을 적용한 ‘티핑포인트 ATA 이메일’을 출시했다. 이 제품은 이메일을 암호화해 권한있는 사용자만 열어볼 수 있도록 하는 방법으로 이메일을 보호한다.
HP는 APT 방어 솔루션 ‘티핑포인트 ATA’ 제품군을 통해 이메일 위험요소를 차단하며, 트렌드마이크로와 커스텀 샌드박스를 통해 첨부파일 악성코드를 분석한다. 더불어 SIEM 솔루션 ‘아크사이트’를 이용해 내부 네트워크에서 진행되는 보안위협을 차단할 수 있다.
시스코는 콘텐츠 보안 솔루션 WSA(Web Security Appliance)로 웹을 통한 보안위협을 차단하고, ESA(Email Security Appliance)로 이메일에 대한 다단계 대응 정책을 제공한다. 두 제품 모두 DLP 기능이 내장돼 있어 불법적인 내부정보 유출을 막는다.
WSA는 평판 기반 데이터베이스를 이용해 내부 사용자들이 접속하는 사이트를 관리할 수 있으며, 지능적인 콘텐츠 분석으로 웹사이트에 숨어있는 알려지지 않은 위험을 제어할 수 있다. ESA는 발신자 기반 평판 스코어 기반 데이터베이스로 스팸메일 발송자와 공격자를 걸러낸다. 더불어 안티X 엔진을 통해 바이러스와 스팸메일을 걸러낸다.
시스코는 멀웨어 탐지 기술 AMP를 이용해 알려지지 않은 위협요소를 차단하는데, AMP는 악성코드를 분석할 뿐 아니라 회귀분석 기술을 이용해 최초 침투 지점을 찾아내 원천방어할 수 있도록 한다. 더불어 시스코는 탈로스 시큐리티 인젠리전스 그룹을 통해 글로벌 보안위협을 탐지·차단한다. 탈로스팀은 수십억 개의 웹 요청 및 이메일과 수백만 개의 악성코드 샘플 및 네트워크 침입을 포함해 데이터를 분석한다.
