무역회사 회계담당자에게 거래처의 계좌정보가 바뀌었다며 무역대금을 바뀐 계좌로 보내라는 메일을 보내 대금을 가로채는 사기가 성행하고 있다. 범죄자들은 해당 기업이 사용하는 메일 포맷과 담당자 메일계정, 문서양식 등을 똑같이 만들어 메일을 보내기 때문에 회계 담당자는 의심없이 범죄자의 계좌로 돈을 보내게 된다.
이처럼 업무와 관련있는 메일을 보내 악성파일을 다운로드 시키거나 돈을 가로채는 등의 범죄가 성행하고 있다. 이메일 악성첨부파일을 통해 타깃 사용자 단말에 악성코드를 설치하는 스피어피싱은 신뢰할 수 있는 기관, 거래처, 커뮤니티 등을 위장하고 있으며, 메일 본문의 내용이나 첨부파일 양식 등이 정상적인 것으로 보이기 때문에 사용자가 위험성을 판단할 수 없다.
“악성첨부파일 여는 순간 공격 시작”
최근 발간되는 사이버 보안위협 분석 보고서를 살펴보면 대체로 스팸메일의 양은 줄었지만, 공격이 성공했을 때 피해는 이전에 비교할 수 없을 만큼 커진 것으로 나타난다. 이는 공격자들이 불특정다수를 대상으로 무차별적으로 스팸메일을 보내는 것이 아니라 타깃 사용자 맞춤형 공격을 설계해 공격 효과를 높이기 위한 것이다. 이러한 방식으로 타깃 기업은 피해를 당했다는 사실조차 인지하지 못한다.
남현우 이글루시큐리티 인터넷보안연구소 소장은 “과거의 이메일 공격은 스팸 메일, 알려진 악성 코드가 포함된 형태로 귀찮기는 했지만 큰 위협이 되지는 않았다. 오늘날의 공격은 특정 정보를 유출시키거나 회사 시스템을 무력화하는 등 명확한 목표에 따라 공격 대상에 대한 장기간의 사전 조사를 수행하고 표적의 의심을 피할 수 있게 사회공학적 기법까지 동원하는 등 한층 교묘해지고 복잡하게 진행된다”고 설명했다.
정상 프로세스 가장한 공격, 탐지 어려워
이메일을 이용한 APT 공격은 ▲침투 ▲탐색 ▲수집 ▲유출의 단계를 거치며, 메일 수신자가 이메일에 첨부된 악성 파일을 열거나 악성 URL을 클릭하도록 유도하는 ‘침투’ 단계에서 공격 성공 여부가 거의 결정된다. 특히 소프트웨어의 취약점을 이용하는 제로데이 공격이 침투 단계에서 빈번히 발생하고 있으며, 이러한 공격은 백신 솔루션을 막을 수 없다.
이를 막기 위해 보안 솔루션 기업들은 이메일이나 웹을 통해 유입되는 의심파일을 샌드박스에서 분석하고 행동기반·평판기반 분석기술을 사용하며, 이전에 발생한 공격과 비교해 위험정도를 파악하는 등의 기술을 적용한다.
그러나 이러한 방어기법은 모두 쉽게 우회가 가능하다. 샌드박스는 가상환경을 인지하는 악성코드에 의해 무력화되며, 신뢰할 수 있는 문서나 애플리케이션에 숨어있는 공격은 평판기반 기술로 막는데 한계가 있다.
악성 이메일을 탐지하는 지점도 문제가 된다. 사용자 PC에서 메일을 열어볼 때 악성여부를 탐지한다면 오탐·과탐으로 사용자 편의성이 떨어질 수 있으며, 미탐으로 보안위협이 높아질 수 있다.
고필주 지란지교시큐리티 이사는 “현재 공격의 중요한 창구는 거의 이메일을 통해 이뤄지고 있으며, APT 공격도 대부분 이메일을 통해 진행된다. 이메일을 통한 보안위협은 게이트웨이에서 탐지·차단해야 하며, 백신·방화벽에서는 탐지하면 이미 늦은 시점”이라고 강조했다.
메일서버 도달하기 전 악성메일 차단
지능화되는 이메일 공격을 방어하기 위해서는 메일서버에 도달하기 전 위협요소를 찾아 차단하는 것이 가장 안전하다. 시만텍의 ‘이메일 시큐리티 닷 클라우드’는 클라우드로 제공되는 이메일 보안 서비스로, 수발신 메일을 검사해 보안위협요소가 포함돼 있는지 살펴본다. 사이버 공격은 수신메일의 첨부파일을 통해 유입되므로, 수신되는 메일을 모두 살펴보고 의심스러운 요소는 다시 검사해본다.
여기에는 스켑틱 분석기술이 적용돼 정적/동적 코드분석을 통해 악성코드를 찾아낸다. 클라우드에서 분석이 이뤄지기 때문에 빠르고 정확하며 기업의 메일서버 성능에 영향을 미치지 않는다. 스팸과 악성메일을 걸러내기 때문에 메일서버 용량을 효율적으로 사용할 수 있으며, 관리자의 업무를 크게 줄일 수 있다.
시스코의 이메일 보안 솔루션 ‘ESA(Email Security Appliance)’는 발신자 평판정보를 기반으로 위험도를 점수화하는 기술을 탑재했다. 전 세계에서 실시간으로 업데이트되는 발송자 기반 평판 스코어를 기반으로 악의적인 스팸메일 보낸 발신자는 디비를 통해 메일을 차단한다.
또한 이메일이나 첨부파일의 링크가 안전한지 확인하고 위험한 링크는 클릭하지 않도록 아웃브레이크 필터를 적용하며, 다단계 내장 바이러스·스팸을 차단하는 안티X 엔진을 탑재했으며, 알려지지 않은 악성코드를 탐지하는 AMP와 연동해 첨부파일의 알려진/알려지지 않은 악성코드를 차단할 수 있다.
