<p> <strong><em>최근 지능형지속위협(APT)의 대표적인 표적 공격 기법으로 이메일에 악성코드를 심은 파일을 첨부해 발송하는 ‘스피어 피싱’이 기승을 부리고 있다. 이처럼 이메일이 APT 공격의 주요 통로가 되면서 이에 능동적으로 대응할 수 있는 이메일 보안 솔루션에 대한 수요도 빠르게 증가하는 추세다. 진화를 거듭하고 있는 이메일 보안 솔루션의 현황을 중심으로 날로 고도화되는 사이버 위협으로부터 중요한 정보자산을 보호할 수 있는 방안을 제시하고자 한다. <편집자주></em></strong></p><p><div class="imgframe sm-image-c" style="width: 580px;"><strong><em><img title="(사진= theemailadmin.com) " class="sm-image-c" src="https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fit.co.kr%2Fdata%2Fphotos%2F20150834%2Fart_1440148744.jpg" xtype="photo"></em></strong><div class="imgcaption2"><p style="background: rgb(51, 51, 51); margin: 0px; padding: 5px; text-align: left; color: rgb(255, 255, 255); line-height: 1.4em; font-size: 12px;">▲(사진= theemailadmin.com)</p></div></div><p> </p><p> </p><p><strong>이메일 여는 순간 공격 개시, ‘스피어 피싱’ 주의보</strong></p><p>[미디어잇 노동균] 스피어 피싱(Spear Phishing)은 기존 피싱에서 한 단계 진화한 형태다. 피싱이 불특정 다수에게 무작위로 뿌려지는 스팸메일이라면, 스피어 피싱은 특정 단체나 기관, 또는 개인을 타깃으로 각각에 최적화된 맞춤형 방식으로 배포된다. 어렵게 외부에서 침입을 시도하는 것보다 내부에서 스스로 문을 열도록 하기 위함이다. 주로 중요한 정보를 취급하는 대상을 타깃으로 삼기 때문에 그만큼 원하는 고급 정보를 빼낼 가능성도 높아진다.</p><p>최근 보안 업계의 사이버 위협 보고서는 공통적으로 해커들의 표적 공격용 메일 발송 건수는 줄어들었지만, 지능형 표적 공격 지속 시간은 늘어난 것으로 집계하고 있다. 이는 해커들이 비교적 적은 노력으로 표적 공격에 성공했음을 의미한다. 뿐만 아니라 공격 성공 시 발생하는 피해의 규모도 기존과 비교할 수 없을 만큼 커지는 추세다. 장기간의 사전 조사를 기반으로 침투에서 탐색, 수집, 유출의 단계를 거치는 APT 공격의 특성상 피해 기업은 침해 사실을 인지조차 못하고 있는 경우도 적지 않다.</p><p>기업 담당자들이 악성코드를 첨부한 이메일에 쉽게 노출되는 또 하나의 이유는 첨부파일이 실행파일 형태에서 벗어나 비실행파일 형태로 전달된다는 점이다. 대표적인 비실행파일로는 문서 파일이 손꼽힌다. 최근 감염 사례 중 문서파일을 가장한 실행파일로 특정 기업의 주주들에게 이메일로 배포된 예가 대표적이다. 지난해 말 한국수력원자력 내부문건 유출에 사용된 악성코드도 문서 열람 프로그램의 취약점을 이용한 공격이었다.</p><p>첨부파일 뿐 아니라 이메일 본문에 악성 링크를 포함하고 있는 경우도 클릭 한 번에 사용자 PC를 위험에 빠뜨리게 할 수 있다. 여기에는 타깃 집단이 자주 사용하는 웹 사이트를 감염시키는 워터링 홀(Watering Hole) 및 웹 사이트 방문 시 자동으로 악성코드가 다운로드되는 드라이브 바이 다운로드(Drive By Dowload) 기법이 함께 사용된다.</p><p>이 모든 공격 실행에 앞서 사회공학적 기법을 바탕으로 타깃이 되는 직원이 이메일을 열어볼 확률을 높이는 과정이 선행된다. 초기 스피어피싱이 시스템 접근 권한을 갖고 있는 주요 임원을 공격 대상으로 삼았다면, 이제는 상대적으로 보안 수준이 낮은 하위 직급 직원이나 외부 이메일 유입이 많은 업무을 담당하는 직원을 타깃으로 하기도 한다. 또한, 보안 수준이 높은 대기업을 직접 타깃으로 하기보다 관련 계열사를 공격한 후 이를 우회로로 삼아 대기업으로 침투를 감행하는 경우도 성행한다.</p><p> </p><p><strong>탐지에서 사후 대응까지…이메일 보안 솔루션의 진화</strong></p><p>이메일은 여전히 기업 내부에서 가장 중요한 커뮤니케이션 수단 중 하나다. 이는 네트워크의 통로가 되는 주요 지점을 막는 기존의 경계 중심 보안 시스템으로는 스피어 피싱에 적극 대응하기 쉽지 않음을 의미한다. 기존의 이메일 보안 솔루션이 안티스팸 및 안티바이러스 기능에 중점을 뒀다면, 최근에는 알려지지 않은 위협에 대해서도 사전에 인지하고 조치할 수 있도록 진화하고 있다.</p><p>차세대 이메일 보안 솔루션은 이메일 악성코드 차단과 스팸 탐지, 가동 시간 면에서 99~100%에 가까운 서비스 수준 협약(SLA)을 제공함으로써 신뢰성을 높인 서비스로 주목받고 있다. 특히 이메일 유입 시 본문 및 첨부파일에 포함된 URL을 추적해 악성 콘텐츠의 유무를 실시간으로 탐지하고 차단하는 기술도 핵심 기능 중 하나다.</p><p>또한, 이미 알려진 보안 위협은 물론, 알려지지 않은 악성코드나 소프트웨어 취약점이 밝혀지기 전에 이뤄지는 제로데이 공격 등을 막아내는 역량도 관건이다. 이를 위해 취약점 분석 엔진과 행위기반 엔진을 함께 적용해 통상적인 공격에서부터 교묘하게 변조된 형태의 공격을 알아차리도록 하는 솔루션이 등장했다. 빅데이터와 머신러닝 기술을 응용해 행위기반 엔진 스스로 악성행위 패턴을 고도화하는 기법이 접목되기도 한다.</p><p>의심 가는 이메일을 무조건 차단하는 것을 넘어 이메일 본문과 첨부파일을 모두 방역 처리한 후 안전한 콘텐츠로만 재구성해 유입시키는 기능도 최근 이메일 보안 솔루션에서 찾아볼 수 있는 특징이다. 가상화 환경에서 이메일을 열어본 후 악성코드 유무를 판단하는 샌드박스 방식의 경우 이를 회피하는 악성코드까지 등장함에 따라 초점을 악성행위 분석이 아닌, 콘텐츠 필터링에 두는 새로운 관점도 등장했다.</p><p>국내는 물론 전 세계적인 보안 위협 동향을 바탕으로 통합 가시성을 확보할 수 있도록 해주는 보안 인텔리전스 업데이트도 빼놓을 수 없다. 아울러 관리 차원에서는 유입된 이메일 공격과 오탐 여부를 분석함으로써 각 기업에 최적화된 이메일 보안 체계를 구축할 수 있도록 해주는 보안 서비스도 중요한 경쟁력으로 손꼽힌다. 발생 가능한 피해를 미리 예측하고, 피해 발생 시 재발을 방지할 수 있는 내부 보안 정책 수립의 중요성은 이미 업계에서 끊임없이 강조하고 있는 바다.</p>
<!-- -->
