[디지털데일리 이민형기자] 스피어피싱(Spear Phishing), 지능형지속가능위협(APT) 공격으로 인한 내부정보 유출을 예방하기 위해서는 메일 콘텐츠를 실시간으로 감시할 수 있는 메일 보안솔루션이 필요하다는 지적이 나왔다.

메일에 첨부된 문서나 이미지 파일을 검사하는 것만으로는 정교화된 표적공격을 피할 수 없다는 주장이다.

5일 이상혁 웹센스 한국지사장은 “최근 여러 사건과 사고로 인해 많은 조직에서 메일 보안솔루션을 검토하고 있으나, 어떤 제품을 도입할지 고민이 많은 것으로 나타났다”며 “최근 메일을 통한 공격을 살펴보면 첨부파일 대신 악성링크를 첨부해 사용자를 웹으로 유인하고 있다. 메일 보안솔루션은 웹에서의 활동을 탐지하지 못하기 때문”이라고 설명했다.

전통적인 메일 보안솔루션은 송신자의 IP 평판과 트래픽분석으로 악성 메일을 1차적으로 걸러낸다. 그 다음 메일에 삽입된 링크와 파일의 악성행위 여부를 파악한 뒤 이를 최종사용자에게 전달하게 된다.

이러한 대응책은 최근 한계를 드러냈다. 시간차를 두고 악성링크가 동작하는 형태의 공격이 등장했기 때문이다.

시만텍 위협보고서에 따르면 공격자들은 악성링크를 정상적으로 보이도록 속이려는 시도를 하고 있다. 공격자는 악성링크를 많은 단계의 링크로 작성하고 정상/악성링크를 자유자재로 변환시켜 공격에 사용한다. 기찻길의 선로 변환기를 떠올린다면 이해가 쉬울 수 있다.

이러한 경우 전통적인 메일 보안솔루션은 최초에만 악성링크 여부를 확인하기 때문에 악성메일을 탐지해내지 못하게 된다.

이 지사장은 “메일 보안솔루션이 제 역할을 하기 위해서는 실시간 URL 콘텐츠 분석으로 악성 콘텐츠를 탐지할 수 있어야 한다”며 “실행 바이너리는 이메일 보안 정책에서 차단하고, 첨부파일은 백신과 샌드박스로 걸러낼 수 있는 기능이 필요하다”고 제언했다.

이어 “가장 중요한 점은 메일을 송수신할 때, 기밀정보가 유출되거나 악성파일이 들어오지 못하도록 데이터유출방지(DLP) 솔루션을 인바운드, 아웃바운드 모두에 적용하는 것”이라고 강조했다

한편 국내에서는 시만텍, 지란지교소프트, 다우기술 등이 스피어피싱 대응 메일 보안솔루션을 내놓고 시장 공략에 나서고 있다.

<이민형 기자>kiku@ddaily.co.kr