트렌드마이크로, 이메일 공격 지능형 탐지와 보안 교육으로 선제 대처
상태바
트렌드마이크로, 이메일 공격 지능형 탐지와 보안 교육으로 선제 대처
  • 이승윤 기자
  • 승인 2018.08.29 09:18
  • 댓글 0
이 기사를 공유합니다

장성민 기술팀 상무, “머신러닝 기술 통해 효과적인 이메일 위협 차단"

[CCTV뉴스=이승윤 기자] 기업과 공공기관에 이메일을 전송해 금전적 피해와 내부 자료 유출 등의 피해를 입히는 이메일 침해 공격이 발생하고 있다. 미국연방수사국(FBI)의 인터넷범죄신고센터(IC3) 2017년 통계에 따르면 이메일 공격방식 중 하나인 기업 이메일 침해(BEC) 공격으로 약 6억 7500만 달러의 피해가 발생했다고 발표했다. 이런 피해를 유발하는 이메일 공격에 대해 기업과 공공기관은 어떻게 대처해야 할까? 이메일 보안 솔루션을 제시하고 있는 글로벌 보안기업 트렌드마이크로 기술팀 장성민 상무를 만나 이메일 공격 현황과 대응방법에 대해 들어봤다.

트렌드마이크로 기술팀 장성민 상무

Q.글로벌 이메일 공격 현황과 트랜드는 어떠한가?

전 세계적으로 나타나고 있는 지능형 지속공격(APT) 중 90%가 이메일 공격으로 추산된다. 수치처럼 이메일을 통한 공격이 계속 발생하고 있으며, 피해 사례도 많이 나타나고 있다.

캘리포니아에 본사를 두고 있는 국제 송금기관 줌(Xoom)의 재무 부서에 스푸핑(Spoofing) 이메일 공격이 들어와서 법인 현금 3080만 달러가 사기성 해외 계좌로 이전되는 사건이 발생했으며, 무선 네트워크 기술 회사인 유비쿼터네트웍스(Ubiquiti Networks)의 임원을 사칭한 이메일 공격이 발생해 공격자가 속한 그룹의 은행계좌로 4670만 달러가 송금되는 사고가 발생했다.

이처럼 이메일 공격은 지속적으로 발생해 기업과 공공기관에 많은 피해를 발생하고 있다. 현재 해커들은 기업 이메일 공격(Business Email Compromise, BEC)을 주로 사용하고 있다. 이 공격은 기업의 최고경영자(CEO), 최고정보관리책임자(CIO), 기업 담당 변호사 등을 사칭해 이메일을 보내는 방식으로 주로 기업의 돈을 관리하는 회계팀과 개인 인사 정보를 관리하고 있는 인사팀을 주요 타깃으로 설정해 공격한다. 특히 기업 임원을 가장해 공격하기 때문에 구별하기 어려워 보안 피해가 발생하는 경우가 많아 하이브리드 샌드박스를 통한 차단과 직원 보안 교육을 통해 대응해야 한다.

Q.글로벌 국가와 비교했을 때 국내 이메일 공격현황은 어떠한가?

국내의 경우 이메일 공격이 주로 발생하는 일본과 미국에 비해 공격 사례가 많지 않다. 국내 기업들과 공공기관들이 APT 솔루션을 잘 구축하고 있는 점과 보안정책이 잘 유지되고 있기 때문이라고 볼 수 있다.

특히 국내 스팸 이메일 차단 정책이 이메일 공격에 효과적인 방어 역할을 하고 있다. 물론 국내에서도 많은 이메일 공격이 발생하고 있는데, 주로 스팸 메세지에 악성코드를 포함하거나 문서파일에 숨겨서 전달되는 경우가 많다. 국내 포털 이메일 서비스와 회사 이메일을 살펴보면 스팸메일 차단 정책이 잘 구현돼 있어, 정확한 탐지와 차단으로 사용자가 스팸으로 인해 발생하는 위협에 효과적으로 대응하고 있다.

Q.해커들이 공격수단으로 이메일을 활용하는 이유는 무엇인가?

랜섬웨어, 제로데이 공격으로는 방화벽과보안 솔루션이 갖춰진 기업이나 공공기관을 공격하기 힘들다. 이메일의 경우 샌드박스 탐지만 통과하면 사용자한테 직접 전달되기 때문에 간단한 방법으로 보안 솔루션을 회피할 수 있다. 또한, BEC 공격처럼 경영자와 임원들의 이름으로 이메일이 전달되면 기존의 직원들은 큰 의심없이 메일을 열어보고 악성코드가 첨부된 파일을 다운로드 받는다. 기존의 인터넷망을 통해 악성코드를 전달하던 어려운 방식보다 간편하고 효과적인 공격을 할 수 있어 해커들은 이메일 공격을 많이 활용하고 있다.

Q.해커들은 보안망을 어떻게 우회해 공격하는가?

이메일 공격은 주로 샌드박스를 우회해 공격하는 방식으로 보안망을 피해간다. 우회공격은 사용자의 PC에서 저장된 악성코드가 샌드박스에서 실행될 경우 악성코드 설치를 중지한 후, 탐지가 완료되면 악성코드를 다시 설치하는 방식으로 나타났다. 샌드박스 분석시간을 악용한 공격도 있다. 샌드박스는 기본적으로 이메일이나 파일들이 들어오면 분석하는 시간이 1시간 정도 걸리는데, 악성코드가 이 시간을 피해 작동할 수 있도록 실행을 탐지시간 이후 또는 다음날로 설정해 분석시간을 피해 악성코드를 설치한다. 현재 이 방법 이외에도 다양한 우회공격이 나타나고 있어 이메일 공격위협이 커지고 있다.

Q. 이메일 공격에 대응하기 위해 어떤보안 솔루션과 보안정책이 갖춰져야 하는가?

머신러닝 기술이 적용된 하이브리드 샌드박스 솔루션과 함께 직원들에 대한 이메일보안 교육이 필요하다. 지금 활용되고 있는 샌드박스는 이메일 공격과 다양한 침해 공격을 막기에는 한계점이 있어 머신러닝 기술이 적용된 하이브리드 샌드박스를 통해 공격에 대응해야 한다.

또한, 솔루션과 함께 직원 보안 교육이 갖춰져야 한다. 이메일 공격은 사용자에게 바로 전달되기 때문에 사전에 보안 교육이 이뤄지지 않으면 그대로 위험에 노출될 가능성이 크다. 그래서 이메일이 들어오면 담당자에게 확인을 요청, 출처가 분명하지 않은 이메일 열람 금지, 팝업 링크 클릭 금지 등 보안위협이 발생할 수 있는 부분을 교육을 통해 방어해야 한다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.