고도화된 이메일 공격에 맞서는 3가지 방법

기관 및 기업의 네트워크 내부로 악성코드가 유입되는 경로는 크게 인터넷(웹), 이메일, 엔드포인트 등으로 요약할 수 있다. 그 중에서도 이메일이 중요한 업무 수단으로 자리매김하면서 이메일을 이용한 악성코드 침입 시도가 끊이지 않는다. 특히 최근 랜섬웨어가 스팸 봇넷을 통해 다량으로 유포되면서 기업과 기관에서 상당한 피해가 발생하고 있다. 이메일 기반 공격은 과거에 비해 더욱 정교한 사회공학기법으로 위장하고 있을 뿐만 아니라 특정한 타깃을 노린 스피어 피싱(Spear Phishing) 형태로 진화했다. 첨부 파일 또한 사용자의 의심을 사지 않으면서 보안 솔루션의 탐지를 피하기 위해 실행 파일보다는 문서 형태의 비실행형 또는 압축 파일을 이용하는 추세다.

고도화되는 이메일 기반 공격을 효과적으로 차단하기 위해 AhnLab MDS는 세 가지 방식을 제안한다.

한국인터넷진흥원(KISA)에 따르면, 기업 및 기관을 노리는 표적 공격의 91%가 스피어 피싱 이메일에서 시작된다. 스피어 피싱 이메일의 94%가 파일을 첨부하고 있었으며, 공격 대상의 76%가 기업이나 정부기관인 것으로 나타났다. 

사회적 이슈나 광고, 이벤트 등 호기심을 자극하는 제목의 일반적인 피싱 이메일과 달리 기업과 기관을 겨냥한 스피어 피싱 메일은 업무 관련 문구로 위장한 제목을 이용해 공격 성공률을 높인다. 일례로, 지난 2017년 상반기에는 국내 기업 및 기관을 대상으로 ‘사내 내부지침사항’이라는 내용으로 위장한 이메일을 통해 비너스락커 랜섬웨어가 유포되기도 했다. 사용자의 의심을 피하기 위해 첨부 파일을 클릭하면 메일 제목과 관련 있는 듯한 내용의 문서를 보여주는 등 치밀함을 갖췄다. 사람이 조심하는 것만으로는 이메일 기반의 공격을 피할 수 없다는 의미다. 이에 많은 기업과 기관이 스팸 차단 솔루션을 도입하고 있지만, 그럼에도 불구하고 이메일을 통한 보안 침해 사고가 적지 않다.

한편, 기업 및 기관의 규모와 비즈니스 환경에 따라 이메일 이용 빈도에 현격한 차이가 있다. 또 이메일 관련 인프라 구성과 보안 정책도 다양하기 때문에 조직의 이메일 운영 환경에 적합한 이메일 위협 대응 체계 구축이 필요하다. 지능형 위협 대응 솔루션 AhnLab MDS(이하 MDS)는 다양한 기업 환경에서의 이메일 위협 탐지 및 대응을 위해 세가지 방식을 제공하고 있다.

이메일 위협 차단을 위한 MDS 구축 방안

1. MTA(Mail Transfer Agent) 방식

MDS는 메일 수신자에게 악성 이메일이 전달되지 않도록 사전에 차단하고 격리하는 MTA(Mail Transfer Agent) 방식을 제공한다. 악성 이메일을 사전에 탐지•분석한 후 MDS 내부에 위치한 검역소에 차단하고 격리시키는 것으로, MDS에 MTA 라이선스를 적용하는 것만으로 쉽게 구축 및 운영이 가능하다.

MTA 라이선스가 적용된 MDS는 이메일 게이트웨이 및 스팸 차단 시스템을 통과한 메일에 대해 가상머신 기반의 동적 분석을 수행하여 첨부 파일 및 이메일 본문 내 URL에 대한 추가 검증을 진행한다. 이를 통해 악성으로 판정된 메일은 MDS 장비 내부에 마련된 별도 공간(검역소)에 격리하며, 정상으로 판단된 메일만 메일 서버에 전달한다.

[그림 1] MTA 방식

2. 스팸 차단 시스템 연동 방식

현재 스팸 차단 시스템을 사용하고 있으며 이메일 수신 지연에 대한 민감도가 높은 환경에서도 MDS를 효과적으로 활용할 수 있다. 스팸 차단 시스템과 연동하여 MDS를 추가 분석 시스템으로 이용하는 것으로, 분석 결과에 따라 스팸 차단 시스템을 통해 APT 이메일을 차단하고 대응하는 방식이다. 기존 이메일 인프라 구성 및 이메일 송•수신 프로세스 변경 없이 구축 및 운영할 수 있으며, 시그니처 방식의 스팸 차단 시스템에서 탐지하기 어려운 신종 이메일 공격에 대한 대응이 가능하다는 것이 장점이다.

주로 대기업 및 중앙 정부 기관에서 이메일 보안 강화를 위해 이 방식을 채택하고 있다. 일례로, 전국 300여개의 산하 기관에서 일일 평균 240만 건의 이메일이 송•수신되는 A 기관은 이메일의 안정성 추가 검증을 위해 기존에 사용 중인 스팸 차단 시스템에 MDS를 연동했다. A 기관의 보안 책임자는 “스팸 차단 솔루션에서 정상으로 판명된 메일 중 수십 건 이상이 MDS의 추가 분석을 통해 악성으로 확인되었다”며 “이들 악성 메일이 실제 수신자에게 전달되기 전에 중간에서 차단할 수 있었다”고 전했다.

[그림 2] 스팸 차단 시스템 연동 방식

3. 미러링 및 숨은 참조(BCC) 활용 방식

일부 기업에서는 내부에서 메일 서버를 운영하는 대신 클라우드 기반의 서비스를 이용하거나 상용 메일(웹 메일)을 업무용 메일로 이용하기도 한다. 이런 환경에서는 내부 인프라에 이메일 보안 솔루션을 구축하기 어려운 경우가 많다. 이에 대해 MDS는 내부로 유입되는 모든 메일 관련 트래픽(SMTP/POP3)을 미러링하여 첨부 파일과 이메일 본문 내용을 추출하여 분석하는 방식을 제공하고 있다.​ 

[그림 3] 미러링 및 숨은 참조(BCC) 활용 방식

또 숨은 참조(BCC) 계정을 생성하여 모든 메일의 참조자에 기본으로 적용, MDS 장비로 전달하여 모니터링하는 방식으로 구축할 수 있다. 이 경우, MDS를 통해 이메일 분석은 가능하지만 악성 콘텐츠를 첨부한 메일을 사전에 격리 또는 차단할 수 없다. 그러나 이러한 환경에서도 MDS 전용 에이전트를 통해 제공되는 ‘실행 보류(Execution Holding)’ 기능을 활용하면 능동적인 이메일 위협 대응이 가능하다. 사용자가 이메일에 첨부된 파일을 다운로드하여 실행할 때 전용 에이전트가 MDS의 분석 결과를 바탕으로 파일의 실행을 차단하기 때문에 악성코드 감염 및 피해를 최소화할 수 있다.

MDS의 이메일 위협 대응, 무엇이 다른가

1. 암호화 압축파일 분석

지능형 공격(Advanced Persistent Threat, APT)은 보안 솔루션의 탐지를 피하기 위해 다양한 기법을 이용한다. 최근에는 암호화된 압축 파일을 첨부하는 이메일 기반의 지능형 공격이 자주 등장하고 있다. 실제로 지난해 수사기관을 사칭, 범칙금 청구서로 가장한 이메일의 본문에 있는 비밀번호와 암호화 압축된 첨부 파일을 이용한 랜섬웨어 공격이 발생한 바 있다. 또한 국내에서 주로 사용하는 압축 프로그램(.alz, .egg)을 활용해 국내 기업이나 기관을 노리는 이메일 공격이 점차 증가함에 따라 압축파일을 첨부한 이메일 위협 대응 방안이 반드시 필요하다.

MDS는 암호화 압축파일이 첨부된 경우 메일 본문의 비밀번호를 수집하여 압축 해제 후 분석한다. 본문에 비밀번호가 존재하지 않을 경우, 암호화 압축파일의 유입과 관련된 상세한 로그를 제공하기 때문에 보안 담당자가 사후 확인 및 대응할 수 있다.

[그림 4] 암호화 압축파일 유입 공격에 대한 흐름도 제공 

2. 이메일 위협 자동 대응: 자동 격리, 경보 메일 발송 및 메일 재전송

하루에도 수천, 수십만 건의 이메일이 송•수신되는 환경이라면 사전 정의•설정된 정책에 따라 악성으로 판정된 메일에 대해 신속한 자동 격리가 가능해야 한다. MDS는 악성 콘텐츠가 포함된 메일이 사용자에게 전달되기 전에 사전에 차단하며, 악성 메일을 탐지 및 격리하는 경우 메일 수신자와 보안 관리자에게 경보 메일을 발송한다. 또한, 만에 하나 오탐이 발생할 경우 이에 대응할 수 있도록 보안 관리자가 추가 분석을 위해 메일의 원본을 다운로드 할 수 있는 기능을 제공한다. 이 밖에도 자동으로 격리된 메일을 수신자에게 재전송하는 기능도 제공해 이메일 지연 부담을 최소화한다.

[그림 5] AhnLab MDS의 이메일 자동 격리

3. 차별적인 위협 가시성 기반의 효율적인 대응

교묘한 보안 위협이 지속적으로 증가하는 가운데 한정적인 인력으로 복잡다단한 인프라를 관리•운영해야 하는 보안 담당자들은 위협 대응의 우선순위를 판단하는 것부터 어려움을 겪고 있다. MDS는 직관적인 대시보드를 통해 조직 내부로 유입되는 악성 메일뿐만 아니라 전체 송•수신 메일 현황 및 보안 정책에 따른 차단 메일 현황을 제공한다. 이를 통해 보안 관리자는 효율적인 위협 대응 및 관리가 가능하다. 

[그림 6] 대시보드를 통한 위협 가시성 제공