[디지털데일리 이민형기자] 지난해 말 발생한 한국수력원자력의 내부정보 유출사고가 ‘이메일’에서 시작됐다는 것이 밝혀짐에 따라 기업들이 이메일을 통한 표적공격 대응책 마련에 골몰하고 있다.

스피어피싱은 지능형지속가능위협(APT) 공격에서 가장 많이 사용되는 공격 기법으로 특정 기업이나 국가 기반 시설을 노리는 대표적인 표적공격이다. 이메일을 활용한 스피어피싱 공격의 발생 빈도는 매년 증가하고 있으며, 사회공학적인 기법(Social Engineering)을 이용해 공격 성공률을 높이는 것이 특징이다.

특히 최근에는 이메일 본문에 피싱 사이트로 연결하는 악성링크를 삽입하는 방식에서 더 나아가 첨부파일에 악성코드를 숨기는 방식으로 발전, 접속자의 정보를 탈취하거나 내부 시스템 권한을 획득하는데 사용되고 있다.

문제는 전통적으로 사용되던 스팸차단솔루션들이 이러한 스피어피싱 공격에 속수무책으로 당한다는 것이다. 전통적인 스팸차단솔루션들은 네트워크단에서 악성메일을 걸러내는 역할을 한다.

스팸차단솔루션은 스팸메일 패턴과 IP의 평판, 첨부파일의 악성행위 여부 등을 바탕으로 악성메일을 걸러낸다. 하지만 공격자들은 이러한 프로세스를 모두 인지하고 있기 때문에 이를 회피하는 형태로 이메일을 전송한다.

우선 무차별적으로 이메일을 전송하는 형태에서 벗어나 목표 대상을 공략한다. 무차별적으로 보내지 않기 때문이 패턴이나 평판으로는 판별이 힘들다. 첨부파일의 악성행위 여부도 제로데이 취약점을 사용한 경우는 탐지할 수 없다.

또 시시각각 메일에 삽입된 링크의 경로가 바뀌는 것도 확인할 수 없다. 공격자는 악성링크를 많은 단계의 링크로 작성하고 정상/악성링크를 자유자재로 변환시켜 공격에 사용하기 때문이다.

스팸차단솔루션들은 메일 콘텐츠에 첨부된 링크를 확인한다. 가령 ‘www.google.com’이란 주소가 있을 경우 이 주소가 안전한 주소인지 확인해본다는 뜻이다. 그러나 이 링크가 공격자의 의도대로 바뀔 수도 있다. 이 경우 수신자는 속수무책으로 당하게 된다.

이처럼 스피어피싱의 공격기술의 고도화로 이메일보안 솔루션 업체들도 진화를 거듭하고 있다.

시만텍은 지난해 클라우드(SaaS) 방식으로 제공하는 이메일 보안 서비스인 ‘시만텍 이메일 시큐리티 닷 클라우드(Email Security.Cloud)’ 사업을 개시했다.

‘시만텍 이메일 시큐리티 닷 클라우드’는 자체 학습 기능과 시만텍이 가진 인텔리전스를 통해 알려져 있거나 알려지지 않은 신종 이메일 기반 바이러스나 악성코드, 스팸, 피싱, 표적공격으로부터 사용자를 보호한다.

인바운드뿐 아니라 암호화 및 데이터 유출 차단같은 아웃바운드 메시징 보안도 제공하며, 24시간 동안 이메일 데이터 가용성 서비스도 지원한다. 무엇보다도 클라우드를 기반으로 하고 있어 비용을 절감할 수 있다는 장점도 갖고 있다.

지란지교시큐리티는 파이어아이와 손잡고 기존 스팸메일 대응 솔루션의 기능 강화를 준비하고 있다. 메일보안 솔루션과 샌드박스의 결합이다. 패턴방식으로 1차 필터링을 거친 뒤, 의심이 가는 메일과 첨부파일을 샌드박스에서 실행하는 형태다.

샌드박스가 도입되면 제로데이 취약점을 통한 공격이 들어와도 피해를 최소화할 수 있으며, 업무의 연속성도 보장할 수 있다.

소프트캠프도 샌드박스를 도입한 이메일보안 솔루션 ‘실덱스 포 메일(SHEILDEX for Mail)’로 시장 공략에 나서고 있다.

이 제품은 스팸메일 차단이나 백신, 가상환경에서 악성코드를 탐지하는 기존 방식과 달리 문서 방화벽 기술로 이메일에 첨부된 문서를 방역하는 기능을 제공한다. 문서 방화벽 기술은 첨부된 문서가 있는 메일을 대상으로 문서구조(형태) 확인하고 문서 내용 중 안전한 콘텐츠(텍스트, 이미지 등)만 추출해 새로운 파일로 문서를 재구성하는 방식이다.

또한, 실덱스 포 메일은 자체 개발한 PC가상화 기술을 적용해 사용자가 PC에서 메일 열람 시 실시간으로 마이크로브이엠(Micro VM) 방식의 샌드박스 환경에서 첨부파일을 열람할 수 있도록 지원한다.

<이민형 기자>kiku@ddaily.co.kr