최근 보안 위협 복잡·고도화로 방어하기 어려워

고도화된 이메일 보안으로 제로데이·APT 공격 대응 필요

[보안뉴스 김태형] 지난해 하반기 이슈가 됐던 소니픽처스 해킹 사건과 한국수력원자력(이하 한수원)의 원자력발전소 관련 정보유출 사고 등으로 이메일을 통한 지능형지속위협(APT) 공격과 대응방안에 대해 관심이 높다.

즉 신종바이러스를 탐지하고 이를 분석해서 대응하는 것 보다 공격자들의 공격이 더 빠르기 때문에 막을 수 없다. 이처럼 최근 보안 트렌드는 더욱 복잡하고 고도화 되어 방어하기는 더 어려워졌다고 할 수 있다.

최근 보안위협 통로의 80% 정도가 이메일로 조사됐다. 시만텍의 인터넷 보안위협 보고서에 따르면, 지난해 이메일을 통한 표적공격이 전년대비 91% 증가했으며 2011년에 비해 6배나 증가했다.

한수원은 이메일 보안 솔루션을 도입해 운영하고 있는 것으로 알려졌다. 하지만 현재 대부분의 이메일 보안 솔루션은 스팸차단 및 바이러스 백신 엔진을 탑재해 패턴 매칭에 의한 바이러스의 탐지·차단 기능만 제공한다. 한수원 사례와 같이 알려지지 않은 악성코드나 APT 공격을 탐지해 차단하기에는 한계가 있다는 얘기다. 

즉 한수원은 이메일 등을 통한 APT 공격에 대응하거나 이를 사전에 탐지·차단하는 보안 솔루션의 구축은 미흡했던 것이다. 물론 다른 기본적인 보안 시스템은 갖춰져 있었다. 하지만 내부직원들의 보안의식이 낮았고 보안 관리나 운영도 소홀했던 것이 이번 사건의 원인으로 분석되고 있다.

이와 같이 최근 보안 사고는 보안시스템의 결함보다는 이를 활용하는 사람과 체계에서 발생하는 추세다. 다계층의 정보보호 시스템을 구축했다고 완벽한 보안이라고 할 수 없는 이유다.

한 보안업체 관계자는 “무엇보다 보안인식의 부재, 시스템 활용 및 관리 소홀, 외부의 공격 등 여러 가지 요인에 의해서 보안사고는 충분히 발생 가능하다. 한수원 사건의 경우, 이미 구축된 메일 보안 시스템의 원활한 운영이 필요하고 보안위협 트렌드에 따라 보안 시스템도 고도화했어야 하는데 그렇게 하지 못한 점이 아쉽다”고 말했다.

지금까지 이메일 보안 솔루션은 단순한 스팸메일 차단과 백신으로 바이러스 탐지 정도였다. 그런데 몇 년전부터 피싱이나 파밍, APT 공격의 대부분이 이메일을 통해 악성코드를 감염시키는 방법으로 확대되면서 이에 대한 방어기술이 추가되기 시작했다.

이러한 방어 기술은 현재 해외 APT 대응 솔루션을 제공하는 보안업체, 파이어아이·시만텍·맥아피·트렌드마이크로 등에서 악성행위나 피싱, 악성코드, URL까지 분석하는 기술을 탑재해 공급하고 있는 상황이다.

이에 대해 지란지교시큐리티 고필주 이사(연구소장)는 “지란지교시큐리티도 이와 같은 해외 전문 업체와의 협력을 통해 올해 상반기 중에는 악성코드, 피싱, URL 분석 기능을 제공하는 포괄적인 이메일 보안 솔루션을 출시할 예정이다. 예산이 많은 대기업을 위한 구축형 제품과 중소기업을 위한 클라우드형 제품을 개발하고 있다”면서 “최신 보안 트렌드에 비해서 이메일 보안 솔루션은 워낙 오래되다 보니 중요하게 생각하지 않은 부분이 있다. 이번 한수원 사례를 통해 이메일 보안에 대한 관심이 높아지길 기대한다”고 말했다.

또 국내 이메일 보안 솔루션 업체 이월리서치 기술팀 관계자는 “이월리서치의 이메일 보안솔루션도 소포스 엔진을 탑재한 스팸차단 및 바이러스 탐지의 기능을 제공하고 있다”면서 “한수원에는 나가는 메일에 대한 승인·결제, 발송을 관리하는 이월리서치의 솔루션이 구축되어 있다. 현재 한수원 이슈와 관련해서 우리도 악성코드 탐지 및 APT 공격 대응을 위한 이메일 보안 솔루션을 개발 중이며 올해 안에 마무리 될 것으로 보고 있다”고 말했다.

최근 APT공격에 대한 보안기능을 제공하는 이메일 보안 솔루션 출시를 앞두고 있는 다우기술 김형민 연구원은 “다우기술의 이메일 보안 솔루션은 평소 수신메일 이력에 기반한 패턴분석을 통해 평소와 다른 메일이나 감염의심 메일에 대해 사전 검역을 거쳐 사용자에게 경고를 보내 APT공격을 방어할 수 있다”면서 “안전보기를 통해 검역된 메일의 본문 내 스크립트 실행을 방지해 APT를 방어할 수 있고 HTML 컨버터를 이용해 악성코드가 삽입돼있을 것으로 의심되는 첨부파일을 사용자가 직접 실행하지 않고도 확인할 수 있는 기능을 제공한다. 이 솔루션은 올 상반기 안에 출시될 예정”이라고 말했다.

또한 글로벌 업체 시만텍이 지난해 국내에 소개한 이메일 보안 솔루션은 해외 3만 2천개 기업이 사용하고 있는 10년 이상 서비스해 온 솔루션으로 이메일 기반 바이러스나 악성 코드, 스팸, 피싱, 표적 공격 등으로부터 사용자를 보호하는 기능을 제공하고 있다.

시만텍코리아 관계자는 “현재 전 세계에서 주고받는 이메일의 25% 가량을 보안하고 있다. 이메일에 링크나 첨부파일들이 너무나 고도화돼있어 방어하기가 너무 어려운데다가 이미 알려진 솔루션에 대해서는 해커들의 학습효과로 있어 무용지물이다. 이에 시만텍은 이메일을 어떻게 완벽에 가깝게 보호할 것인가에 집중해 개발해 이미 10여년에 걸쳐서 서비스하고 있다”고 설명했다. 

또한 그는 “스피어피싱과 같은APT 공격으로부터 시스템을 보호하기 위해서는 이를 탐지하고 대응하는 보안 시스템 구축이 필수적이다. 각 기업 및 조직은 자사의 환경 및 조건에 맞는 통합적인 보안 시스템을 구축해야 한다”고 말했다.

이어서 “또한 조직구성원을 대상으로 보안교육을 강화해야 한다. 스피어피싱은 내부 구성원의 접속 방식을 분석해 의심 없이 해당 메일을 열어보도록 유도하는 방식을 취하는 만큼 구성원들의 보안인식 수준을 높여 설치된 소프트웨어를 항상 최신 상태로 유지하고, 불법 소프트웨어를 다운로드 받거나, 불분명한 메일이나 URL을 함부로 열어보지 않는 등 보안을 일상화해야 한다”고 덧붙였다.

특히 최근에는 전형적인 피싱 공격과 달리 공격 목표에 대한 철저한 관찰을 통해 내부 임직원이 실수나 부주의로 링크를 클릭하거나 첨부파일을 열도록 유도하는 사회공학적(Social Engineering) 기법까지 접목되고 있어 내부 구성원에 대한 보안 교육의 필요성이 더욱 높아지고 있다. 따라서 기업이나 기관에서는 보안이 잘 실행되고 있는지 주기적인 단속 및 점검을 통해 지속적이고 종합적인 정보보안 관리를 해야 한다.

이처럼 이메일 보안 위협은 단순 스팸 공격이 아니라 첨부된 파일에 악성코드를 심는 표적공격, 스피어피싱, 제로데이 공격처럼 대응체계를 갖추기 전에 발생하는 지능형 APT로 진화하고 있다. 이에 이메일 보안도 보안위협 패턴이나 콘텐츠, 콘텍스트 분석 등을 통해 공격 징후를 사전에 파악하고 분석해 대응하는 ‘선제적 대응의 보안’으로 진화되어야 한다. 아울러 사고 후에는 빠른 후속조치로 피해의 확대를 막을 수 있는 사후조치 또한 중요하다고 할 수 있다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>