보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

기업의 이메일 위협 대응, 달라져야 하는 이유는?

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2019-08-05

최근 산업 분야나 규모를 막론하고 이메일 위협 대응에 대한 관심이 더욱 높아지고 있다. 스팸 등 이메일을 이용한 공격은 가장 전통적인 방식이다. 문제는 불특정 다수를 대상으로 하는 스팸 메일과 달리 최근에는 스피어피싱 등 정교하게 제작된 이메일을 이용한 공격으로 기업 및 기관의 피해가 증가하고 있다는 것. 얼마 전 국내 기업에 피해를 입혔던 클롭 랜섬웨어 역시 이메일을 통해 유입되었으며, 다양한 포맷의 첨부 파일과 복합적인 공격 기법을 사용하는 등 진화된 모습을 보였다. 고도화된 지능형 위협(Advanced Persistent Threat, APT)도 대부분 이메일 공격에서 시작된다.

 

이와 관련해 안랩은 최근 이메일 위협 대응력을 강화한 AhnLab MDS 신규 버전을 발표했다.

 

기업 사용자를 타깃으로 한 이메일 공격이 복합적인 양상으로 진화하고 있다. [그림 1]과 같이 발신자 정보에 정부 기관이나 유명 기업을 사칭한다. 게다가 이메일 제목과 첨부 파일의 내용을 이력서, 송장, 특허권, 저작권 침해 등 업무와 관련된 것으로 위장하고 있다. 첨부 파일의 형식(포맷)도 지속적으로 변화하고 있다. 수신자의 의심을 피하기 위해 실행 파일을 첨부하는 대신 업무에 자주 사용되는 워드나 엑셀, 한글 파일이나 PDF 파일을 첨부하고 있다. 최근에는 HTML 파일을 첨부하는 사례도 증가하는 추세다.

 

안랩이 자사 지능형 위협 대응 솔루션 AhnLab MDS(이하 MDS)의 신규 업데이트에서 이메일 기반 공격에 대한 대응력 향상에 초점을 맞춘 이유가 바로 이 때문이다. 또한 안랩은 MDS의 취약점 기반 공격 탐지 성능 강화 및 분석 정보 공유를 통한 위협 대응의 효율화를 꾀했다.

 


[그림 1] 정부 기관을 사칭한 악성 이메일

 

최신 이메일 공격 대응을 위한 콘텐츠 필터링 강화

안랩은 최신 이메일 위협 동향을 면밀히 분석해 MDS의 이메일 위협 대응 기능에 적용했다. 우선, 기업 환경에 따라 의심 메일에 대한 탐지 및 차단을 유연하게 확대할 수 있도록 ‘콘텐츠 필터’를 강화했다. 보안 관리자는 이메일 헤더, 제목, 본문, 첨부 파일 등으로 콘텐츠 필터를 상세하게 설정할 수 있다. 이와 함께 야라(YARA) 룰 생성 옵션을 확대해 기업 환경에 따라 이메일 탐지 조건과 조치를 설정할 수 있게 됐다. 

 

다양한 포맷의 첨부 파일을 이용하는 최신 이메일 공격에 대응하기 위해 압축 파일을 비롯해 파일 확장자의 탐지 및 분석 대상을 확대했다. 탐지된 압축 파일 및 첨부 파일이 포함된 이메일 파일(eml)에 대한 위험도 표시를 개선했다. 또한, 이메일 제목 내 암호화 키워드에 대한 파싱과 본문 내 암호화 피싱 탐지 조건을 강화해 보안 솔루션의 탐지를 우회하기 위해 암호가 설정된 파일을 보다 정밀하게 탐지한다. 이 밖에도 개선된 MDS는 이메일 예외 처리 옵션을 확대하는 등 보안 관리자가 더욱 편리하고 능동적으로 이메일을 관리하고 위협에 대응할 수 있게 지원한다.

 


[그림 2] 압축 파일에 대한 위험도 표시 및 정보 제공

 

새로운 분석 엔진 프레임워크 적용…취약점 기반 공격 탐지율 향상

안랩의 독자적인 동적 콘텐츠 분석 기술(DICA, Dynamic Intelligent Content Analysis)이 적용된 MDS는 샌드박스를 기반으로 다양한 포맷의 문서 파일, 즉 비실행형(Non-PE) 파일에 대한 동적 분석을 제공해왔다. 안랩은 MDS의 비실행형 파일 탐지 성능을 강화하는 동시에 샌드박스 효율화를 위해 새로운 비실행형 파일 분석 엔진 프레임워크를 개발, MDS 최신 버전에 적용했다.

 


[그림 3] 문서 파일(비실행형) 내부에 포함된 악성 파일 탐지 및 분석 결과

 

MDS는 새롭게 적용된 비실행형 파일 분석 프레임워크를 통해 가상머신(샌드박스) 기반으로 탐지하기 어려운 취약점 기반의 악성 문서 파일 등에 대한 고도화된 정적 분석을 제공한다. 이로 인해 문서 파일 내부에 포함된 악성 파일에 대한 탐지율이 향상되었으며, 첨부된 문서 파일 내의 링크를 클릭하도록 유도하는 피싱 공격이나 파일 자체는 악성이 아니지만 사용자의 반응 행동(interaction)을 통해 악의적인 행위를 수행하는 공격에 효과적으로 대응할 수 있게 되었다. 정적 분석을 통해 비실행형 파일에 대해 보다 정밀하게 대응하는 동시에 더욱 효율적인 샌드박스 기반의 분석도 가능해졌다.

 


[그림 4] 사용자의 반응 행동을 유도하는 악성 파일

 

내부 위협 정보 및 클라우드 기반 TI 활용으로 효율적인 대응 가능

안랩은 올해 1월, 효율적인 위협 대응을 위해 MDS 장비를 통합 관리하는 MDS 매니저(MDS Manager)에 ‘행위 분석 정보 공유’ 기능을 추가한 바 있다. 네트워크를 비롯해 이메일 구간, 망연계 구간 등에 도입된 다수의 MDS 장비들의 행위 분석 결과를 네트워크 상에서 상호 공유하는 기능이다. 본사와 지사로 구성된 그룹사나 중앙행정부처와 산하 기관으로 구성된 공공기관에서는 최신 버전의 MDS를 통해 ‘행위 분석 정보 공유 기능’을 더욱 안정적으로 활용할 수 있다. 즉, 조직 내부에 설치된 여러 MDS 장비 중 하나에 새로운 위협이 탐지되면 해당 파일의 정보와 함께 행위 분석 결과를 MDS 매니저를 통해 공유함으로써 이후 다른 MDS 장비가 해당 파일을 탐지했을 때 별도의 분석 없이 즉각적으로 대응할 수 있다. 결과적으로 별도의 행위 분석을 수행하지 않아도 정확한 탐지와 대응이 가능하기 때문에 MDS 분석 장비의 성능을 더욱 효율적으로 활용할 수 있다.

 

또한 최신 버전의 MDS를 사용하는 고객사는 MDS 클라우드를 통해 최신 위협 분석 정보를 활용할 수 있다. 이 밖에도 MDS의 타 장비 연동 기능을 개선, 기업 환경에 따라 MDS를 샌드박스 분석 전용 장비로 활용하는 등 더욱 효율적인 위협 대응이 가능해졌다.

  • AhnLab 로고
  • 콘텐츠기획팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.