[240101 보안뉴스 요약] 2024 이메일 보안 리포트

[2024 이메일 보안 리포트] 사이버 공격의 시작은 이메일로부터 시작된다

http://www.boannews.com/media/view.asp?idx=125259

원병철 기자(boanone@boannews.com)

 

보안뉴스와 시큐리티월드는 이메일 보안이란 무엇이며, 어떤 솔루션이 있고 현재 주요한 기술은 어떤 것들이 있는지 알아보는 시간을 마련했다.

 

Part1. 이메일 공격의 시작과 최신 이메일 보안 트렌드

이메일 공격의 시작은 정확히 알려진 것은 없지만 보안 업계에서는 1994년 등장한 '스팸(Spam)'을 최초의 이메일 공격으로 본다. 

스팸 (정크 메일): 수신자가 원하지 않은 정보가 담긴 전자우편

방송통신위원회에 따르면, 2023년 상반기 이메일로 수신된 스팸 신고, 탐지건수는 484만건으로, 이는 2022년 하반기 (957만건)보다 49.4% 줄어들었다. 이메일 스팸은 지속적인 감소 추세를 보이는데, 특히 중국발 스팸이 대폭 감소 (2022년 하반기 789만건, 2023년 상반기 35만건)한 것으로 나타났다.

 

사이버 공격자들은 최근 가장 심각한 이메일 공격인 '비즈니스 이메일 침해 (BEC, Business Email Compromise)' 공격을 비롯해 전통적인 '피싱(Phishing)' 공격과 '스피어 피싱', '이메일 하이재킹' 등과 같은 방식을 사용해 궁극적으로는 '랜섬웨어'와 같은 악성파일을 피해자의 PC에 설치해 주요 정보를 빼가거나 아예 PC의 파일을 암호화해 사용할 수 없도록 만든다.

 

이메일 공격 방식의 진화

공격은 첫 번째로 피해자가 잘 아는 사람 (혹은 기관이나 기업)을 사칭하며, 두 번째로 이메일에 악성파일을 첨부하거나 본문에 링크를 걸어 악성파일을 다운로드하도록 유도한다. 

-> 이메일 보안 솔루션은 이 두 가지를 방어하는 데 초점을 맞췄다.

즉, 이메일 발신자를 확인해 제대로 된 사용자가 맞는지를 검증하고, 이후 첨부된 파일이 있으면 검사를 하거나 아예 무해화 작업을 하는 것이다.

 

이 두 가지 방어에 있어서 보안기업들은 각각의 방법을 사용한다. 글로벌 기업은 M&A 등을 통해 관련 솔루션을 하나씩 모아 통합하는 방식을 선호하며, KT는 아예 각 방법별 대표 솔루션과 힘을 모아 통합 메일 보안 솔루션을 제공한다.

 

이메일 공격의 핵심 'BEC'

기업 이메일 침해 (Business Email Compromise) 의 줄임말로 지금까지 약 500억 달러 (한화 약 67조원) 의 피해를 입힌 것으로 알려졌다.

가장 주목할 점은 공격 이메일 중 위협적인 메시지의 89%는 이메일 보안인증 기술인 SPF (Sender Policy Framework, 표준 이메일 인증 방법), DKIM (Domain Keys Identified Mail, 도메인 키 인증 메일) 또는 DMARC (Domain-based Message Authentication, Reporting, and Conformance, 도메인 기반 메일 인증) 인증 확인을 통과한 것으로 나타났다.

BEC: 피해자가 평소 신뢰하고 있던 이메일로부터 들어오는 사기 공격을 총망라하는 말

 

최신 이메일 공격 사건들

1. 최근 각종 데이터를 시각화 해주는 '구글 루커스튜디오'가 해킹됐는데, 이메일 공격자들이 이를 악용

마치 전문가처럼 다양한 형태의 정보를 표와 그래프로 시각화해서 메일을 보내며 피해자들을 속였는데, ‘더 많은 정보를 원하면 그래프를 눌러라’와 같은 문구로 악성 링크를 클릭하도록 한 것이다. 심지어 공격자들은 발신자 정책 프레임워크(SPF)의 이메일 보안 솔루션을 속이기 위해 인증된 IP 주소와 서버를 사칭하는 등의 방법을 사용해 피해가 큰 것으로 알려졌다.

 

2. 가상회의에서 CEO를 사칭하는 공격

공격자들은 영상화면 대신 CEO의 사진을 사용하고 음소거 상태로 회의를 진행한다고 한다. BEC 공격자들은 꾸준히 전략을 바꾸는 것으로 유명하다. 이메일을 기반으로 한 소셜 엔지니어링 공격을 하다가 딥페이크라는 최신 기술마저 활용하기도 했었다. 최근 코로나로 인해 재택 근무자가 늘어나자 가상회의에까지 손을 뻗친 것으로 보인다.

 

3. 2023년 초 공공 및 협회 등의 기관과 국회의원, 기자를 사칭한 BEC 공격이 대거 발생

북한 해킹조직이 기자와 국회의원실을 사칭해 보낸 ‘동아시아연구원 사례비 지급 서식’ 메일을 열면 메일에서 요구하는 정보를 입력하거나 첨부된 워드 파일을 열람할 경우 개인정보 및 PC 내 파일과 이메일 내용을 탈취하거나 랜섬웨어로 동작하고 다른 피해자를 공격하는데 경유지로 활용되는 사례가 있었다.

 

4. 2022년 5월 국민의힘 태영호 의원실을 사칭한 북한의 이메일 공격이 발견

북한 관련 정부 주요 인사와 전문가를 겨냥한 정보 탈취와 그들의 일거수일투족을 감시하려는 목적으로 공격을 시도했으며, 특히 ‘사례비를 지급하겠다’며 이메일 수신자가 첨부파일을 열도록 교묘하게 공격했다.

 

이메일 보안 솔루션의 등장

최근에는 스팸 차단 기능을 포함해 개인정보 스캐닝, 게이트웨이, DRM, DLP, 랜섬웨어, 백신, 샌드박스, CDR, APT, MDM, 이미지 스캐닝, 첨부파일 검사 등의 기능이 이메일 보안 솔루션으로 소개되고 있으며, 최근에는 이메일 모의훈련 솔루션도 주목받고 있다. 특히 정보통신망법, 정보통신기반시설 보호지침, 전자금융감독규정 등에서 공공기관과 기업, 금융기관 등을 대상으로 주기적인 침해사고 모의훈련을 의무화하면서 이메일 모의훈련 솔루션에 대한 관심이 급증했다.

 

현재 이메일 보안 솔루션의 최신 트렌드는?

 

'클라우드'

기업의 디지털 전환이 본격화되면서 보안 서비스도 클라우드로 이동 중이다.

특히 클라우드 서비스의 확장성, 경제적 비용, 운영 편의성 등의 이유로 클라우드 서비스로의 전환이 이어지고 있다. 다만 클라우드 서비스를 이용할 경우 기업의 이메일이 클라우드에 쌓이는 것에 대한 거부감은 아직 남아있는 편이다.

'통합'

그동안 이메일 보안 솔루션은 스팸메일 차단, 발신 메일 확인, APT 대응, CDR 등 분야별로 특화된 솔루션을 고객이 하나하나씩 사용해야 했다. 때문에 글로벌기업은 여러 솔루션 기업을 M&A 등을 통해 통합하고 있고, 일부 기업들은 자사 제품에 또 다른 기능을 하나씩 추가하면서 점차 기능을 확대하고 있다.

'제로트러스트'

대부분의 이메일 공격이 ‘신뢰’를 바탕으로 이뤄지기 때문이다. 피싱부터 스캠, BEC 등 공격 메일은 사회공학적 기법을 활용해 공격 대상자를 분석하며, 아예 공격 대상자와 신뢰 관계에 있는 다른 사람의 메일을 해킹해 공격에 사용(EAC)하기도 한다.

'인공지능'

AI 및 머신러닝 기술을 활용한 고급 위협 탐지 기능을 적용하는 기업들이 늘고 있으며, 반대로 공격자들도 인공지능을 악용해 보다 완벽한 사회공학적 공격을 펼치고 있다.

'이메일 공격 모의훈련'

단순히 훈련 메일을 열람하고 링크나 첨부파일을 열어보는 것을 넘어 랜섬웨어 감염 시뮬레이션, 개인을 특정한 메일 콘텐츠, 시나리오 기반 복합 훈련, 개인정보 입력 유도, 위반자 대상 교육 연계훈련 등 좀 더 정교하고 고도화된 방식으로 발전하고 있다.

 

이러한 이메일 보안 트렌드는 실제 제품에 어떻게 반영되고 있을까?

국내 대표 이메일 보안 솔루션 6종을 통해 실제 서비스되는 이메일 보안 기술을 살펴보자.

 

1. 소프트캠프 ‘실덱스 메일(SHIELDEX Mail)’

가상환경에서 이메일을 실행하고 안전한 형식으로 변환해 이메일 내용을 제공함으로써, 수신자가 안심하고 이메일 커뮤니케이션을 할 수 있도록 돕는다.

악성코드 차단, 최신 보안 동향 대응, 사용자 편의성과 효율성 증대, 종합보안관리, 문서 무해화 (CDR) 기술 적용

이메일 본문과 첨부파일을 무해화하고 콘텐츠만 재구성해 제공한다. 

 

2. 시스코 ‘Secure Email’

첨단 위협 분석 활용: 위협 인텔리전스 그룹 ‘Talos’를 통해 전 세계에서 발생하는 악성 행위들을 즉각 대응하고 업데이트할 수 있도록 도움

레거시 환경과 더불어 최근 Cloud 기반의 이메일 보안 솔루션도 제공

 

3. 에스에스앤씨 ‘Perception Point’

사용자의 메일 수신함에 메일이 들어가기 전, 퍼셉션포인트의 7개 탐지 엔진이 동시 가동되어 해당되는 악성 공격 유형을 판단하고 방어한다. 독자적인 HAP(Hardware-Assisted Platform) 기술로 수신한 이메일 내의 각종 첨부파일을 바로 VM에 띄워 그 파일만의 실행 흐름을 스냅샷으로 뜨고 추적 파일을 생성한다.

이 추적 파일은 메모리 이벤트와 함께 탐지 알고리즘에 기록되어 악성 여부를 판단한다. 샌드박싱의 스캔 지연시간, 샌드박스를 우회하는 최근의 공격 등 기존 샌드박싱 기술이 가진 한계점을 완벽하게 보완하는 샌드박스킬러 기술이다. 또한 객체 감지 기술을 활용한 퍼셉션포인트만의 이미지 인식 모델로 0.03초 이미지 스캐닝을 통한 이중 피싱 공격을 탐지하며, 최근 많이 발생하고 있는 QR코드를 통한 피싱 공격인 퀴싱(Quishing) 공격 역시 빠르게 탐지한다.

 

4. 이테크시스템 ‘Symantec Messaging Gateway’

이메일 보안을 강화하는 솔루션으로, 강력한 스팸 필터링, 악성코드 탐지, 이메일 암호화, DMARC/SPF/DKIM 지원 등 핵심 기술을 통합하고 있다. SMG에 적용된 최신 기술 트렌드로는 AI 및 머신러닝 활용, 고급 위협 대응, 클라우드 기반 보안, 사용자 교육 강화, 안전한 모바일 보안 등이 도입되어 있다.

 

5. 지란지교시큐리티 ‘스팸스나이퍼(Spam Sniper)’

스팸스나이퍼는 스팸·악성코드 메일 및 메일서버 공격을 차단할 뿐 아니라 내부 발송 메일에 대한 모니터링을 통해 기업의 중요 정보유출을 차단하는 국내 대표 이메일 통합 보안 솔루션이다.

 

6. KT ‘Secure 지능형위협메일차단’

 KT Bigdata 기반의 AI 분석기술을 적용, 지능화·고도화된 신·변종 위협 메일로부터 기업 자산을 안전하게 지킬 수 있으며, 별도 장비구축 없이 이용할 수 있는 구독형이라는 장점도 있다.

 

기관·기업의 보안담당자에게 물어본 이메일 보안 솔루션 인식조사 결과

현장에서는 이메일 보안 솔루션 통합과 운영 효율성 원한다

 

제로트러스트 관점 이메일 보안 체계 정비 시급

보다 좋은 솔루션을 사용하는 것도 필요하지만, 보안 담당자는 물론 경영진까지 이메일 보안, 나아가 보안 자체를 ‘필요한 것’이 아닌 ‘해야 하는 것’으로 인식을 전환해야 한다는 것이 보안 전문가들의 생각이다. 아울러 현재 보안분야를 관통하고 있는 ‘제로트러스트’를 기억하고, 안전한 것은 없다는 대전제 하에 이메일 보안 체계를 점검하고 정비하는 것이 시급하다는 사실을 기억해야 할 것이다.

 

---

 

INTERVIEW. 한국인터넷진흥원 임채태 침해대응단 단장

 

Q. 기업, 기관에서 발생하는 주요 이메일 보안 위협은 어떤 게 있나?

이메일이라는 채널은 보안 위협이 쉽고 자유롭게 드나들 수 있는 통로가 되고 있으며, 기업으로 유입되는 주요 이메일 보안위협은 기업의 자산 탈취를 목적으로 한 스피어피싱 공격과, 업무망 침투를 통한 다양한 공격을 목적으로 하는 악성코드 감염형 공격으로 크게 구분할 수 있다.

먼저 스피어피싱과 같은 사회공학적 기법으로 사용되는 이메일 위협은 기존 거래처 등을 사칭해 금전적 취득을 목적으로 관리자의 계정정보 등 민감정보 등을 빼내는 형태 또는 세금계산서 위조를 통한 거래대금 가로채기 형태가 있다.

악성코드 감염형 공격에는 전자 거래서, 입사지원서 등 기업이 상시로 수신하는 문서 유형에 악성코드를 삽입해 기업 전산망에 침투하고, 정보시스템으로부터 정보자산을 탈취해 가거나 유출해 금전을 요구하는 형태와 암호화를 통한 업무 마비를 일으켜 협박하는 랜섬웨어 유형이 이에 해당한다.

Q. 그렇다면 기업들은 어떻게 보안을 강화해야 할까?
시장에 나와 있는 이메일 보안위협 솔루션은 기존에 탐지되었던, 알려진 스피어피싱 형태, 악성코드를 탐지하는 데에는 충분히 그 기능을 발휘하고 있다고 생각한다. 즉, 발견된 악성 이메일 유형에 대해서는 재발 방지 및 피해확산 최소화 역할을 충분히 하고 있다.

다만, 공격자들이 이를 우회하기 위해 특징을 숨기는 형태로 진화하고 있어, 이메일 보안 솔루션들이 정적인 탐지·차단 형태에서 행위분석 기반 탐지·차단 형태로 더욱 고도화할 필요가
있다고 생각하며, 최근 그러한 솔루션이 등장하여 점차 확산되고 있는 것으로 알고 있다.

Q. 최근 사회공학적 기법으로 피해를 본 기업이나 기관이 늘고 있다. 이에 대응할 방법은 어떤 것이 있을까?

공격자는 악의적 목적을 지닌 메일을 피해자에게 발송할 때 자신의 신분을 속이게 되므로 적합한 메일서버를 통해 발송되었는지를 검증하는 메일 인증기술의 확대·보급이 가장 중요할 것이다. 규모가 있는 기업과 기관에서는 대부분 적용되어 있으나, 여전히 많은 기업이 부인방지 기술(SPF 등)을 적용하고 있지 않아, 수신기관에서 신분을 속인 메일을 일차적으로 차단하지 않는 경우가 있는 것이 여전히 문제라고 본다.

개인 사용자 측면에서는 혹시나 모를 스피어피싱 메일, 악성코드 내포 해킹 메일 등에 대비해 의심메일 및 첨부파일 열람에 주의를 기울이는 게 가장 중요하다고 할 수 있다. 때문에 꼭 필요한 메일은 번거롭더라도 메일 본문에 있는 링크를 클릭하지 않고 검색엔진을 통해 직접 사이트에 접속하여 URL을 확인해 본다든지, 첨부파일을 안티바이러스 백신을 통해 점검한 후에 실행할 수 있도록 해야 할 것이다.

Q. 그렇다면 KISA는 이메일 보안 위협 예방을 위해 어떤 노력을 기울이고 있나?

이메일 보안위협을 선제적으로 탐지·대응하기 위해 실제 공격자가 사용한 악성 첨부파일의 상세 분석으로 특징을 추출해 메일 보안솔루션의 성능이 향상될 수 있도록 공유·전파하고 있다.

Q. 이메일 보안 위협 예방을 위한 침해대응단의 계획은?

이메일 보안위협은 궁극적으로 기업·기관의 정보시스템을 해킹하고 정보자산의 유출·훼손, 서비스의 장애·마비 등 심각한 피해를 일으키기 위한 해킹공격의 진입점으로 보고 있어, 단순히 악성 이메일 유입에 대한 대응에 국한하지 않고 메일을 통한 정보시스템 침투, 악성코드 감염, 이를 통해 달성하려는 목적 등을 사전에 탐지하고 효과적인 대응방안을 마련하려고 한다.

해킹공격은 과거와 달리 이메일 외 공급망 공격, 제품 취약점 등 다양한 공격표면을 통해 시도되는 등 더 전문적이고 지능화되고 있어 다채널로부터 공격 위협을 선제 탐지하고 이러한 탐지정보를 연관 분석해 공격자의 의도와 전략을 사전에 파악해 대응하는 체계로 전환할 예정이다.

 

*
시스코 Secure Email

 

시스코는 최근 고객들의 이메일 운영 형태의 변화에 따라, 세가지 형태로 솔루션을 제공하는데, 그 형태는 다음과 같다.
1) On-Premise 형태: 직접 고객사에 설치하여 운영하는 방식.
2) 클라우드(SaaS) 형태: Secure Email 을 시스코의 클라우드에서 운영하는 형태, 혹은 O365에 특화된 이메일 보안을 제공하는 형태.
3) 하이브리드: 위 두가지 형태를 동시에 사용한 보안이 필요하거나, On-Premise 형태에서 클라우드형 이메일 보안으로 변경하는 과정의 고객인 경우.

특히 이메일 보안솔루션의 처리량은 고객이 사용중인 이메일의 양과 관계가 있는데, 시스코 Secure Email은 OS사용에는 추가 비용이 발생하지 않는 구조이기 때문에, 동일 사용자를 대상으로 더 많은 이메일에 대한 검사가 필요할때에는 쉽고 빠르게 서버를 늘릴수 있는 구조를 지원하고 있어, 큰 운영에 유연성을 제공하고있어 고객사의 만족도가 높다.

또한 이메일 보안솔루션을 운영하는 경우 꼭 필요한 특수사용자를 위한 사용자별 보안 정책 적용, 정밀한 정책 적용, 스팸차단, 멀웨어탐지 차단, URL 필터링, 까지 강력한 보안 기능이 한 솔루션에서 관리 되기 때문에, 빠르고 쉽게 정책 적용이 가능하다.