한국 진출한 프루프포인트 “공격자는 인프라 아닌 ‘사람’ 공격…‘사람중심 보안’ 접근해야”

‘사람 중심(People-Centric)’ 보안 접근방식을 전면에 내세운 글로벌 사이버보안 전문기업 프루프포인트가 한국지사를 설립하고 국내 보안 시장에서 사업을 시작했다.

초대 지사장은 25년 이상 보안업계에 몸담고 일했고, 프루프포인트에 합류하기 전에 수모로직코리아와 시만텍코리아, 블루코트코리아 대표를 역임했던 이석호 대표가 맡았다.

프루프포인트는 미국 실리콘밸리(캘리포니아 서니베일)에 본사를 두고 있는 글로벌 보안 기업으로, 지난 2002년 설립됐다. 이메일 보안 시장 선두기업으로 가장 잘 알려져 있지만, 10여개 보안 기업을 꾸준히 인수하면서 지능형지속위협보호(ATP), 클라우드 보안, 컴플라이언스·아카이빙, 데이터유출방지(DLP), 보안인식 교육·훈련, 디지털리스크 보호 등 다양한 영역의 보안 솔루션을 제공하고 있다.

바라쿠다, 임퍼바, 소포스 등 많은 유명 보안 기업을 사들여 이 분야 인수합병(M&A)계의 큰 손으로 알려져 있는 사모펀드 기업인 토마브라보가 지난 2021년 프루프포인트를 123억달러, 우리돈으로 무려 14조에 인수한 바 있다.

프루프포인트코리아는 지사 설립과 더불어 총판 등 파트너 체계를 구축하면서 조직에서 가장 큰 자산인 동시에 가장 큰 위험요소이기도 한 ‘사람’을 보호하는데 중점을 둔 접근방식과 솔루션을 적극 알리기 시작했다.

최근에는 국내 총판인 엔큐리티(대표 김동욱)와 함께 바이라인플러스 웨비나에 참여해 ‘오피스365·구글 워크스페이스 보안 강화 방안 : 사람 중심(People-Centric) 보안’을 주제로 발표를 진행했다.

네트워크 보안 투자 거의 절반 비중…현재 보안 투자는 올바르게 이뤄지고 있나?

“공격자는 인프라가 아니라 사람을 공격한다. 사람이 보안의 가장 약한 연결고리이기 때문이다.”

발표자로 나온 곽종범 프루프포인트코리아 부장은 웨비나를 시작하면서 이같이 강조했다. 또한 공격자는 사람을 겨냥하지만 실제 조직은 네트워크 인프라 보안 투자를 가장 많이 하고 있다고 지적했다.

곽 부장이 제시한 가트너 정보보안 소비 현황과 전망 조사 결과를 담은 자료에 따르면, 네트워크 보안이 45%이 절반 가까이 많았고, 엔드포인트 28%, 이메일 10%, 웹 8%, DLP 4%, 클라우드접근보안중개(CASB) 2% 등의 순이었다. 그는 “보안 사고는 네트워크를 통해 일어나는 건 아니다. 대부분은 이메일을 통해서 일어나고 있다. 그게 85%나 된다. 현재 쓰고 있는 돈(보안 투자)이 제대로 쓰이는지 반문할 필요가 있다”며 “만일 조직에서 이메일 보안에 대해 신경을 안쓰고 있다면 언젠가는 보안 사고를 당할 확률이 굉장히 높아진다”고 말했다.

이어 “프루프포인트가 발생한 보안 사고를 분석한 결과, 보안취약점(CVE)을 이용한 공격은 굉장히 적었다. 반대로 매크로(Macro)나 하이재킹(Hijacking) 공격이 굉장히 많았다. 이것이 의미하는 것은 중간에 사람의 인터렉션이 있다는 것이고, 대부분의 보안 사고의 시작은 사람으로부터 시작한다는 것이다. 사람을 공격하고 있는데 공격 성공 확률이 굉장히 높기 때문에 여기에 보안을 집중해야 한다”고 강조했다.

그렇다면 사람에 의해 또는 사람으로부터 비롯되는 위협에는 어떠한 종류가 있을까. 프루프포인트는 크리덴셜 피싱, 계정 도용, 랜섬웨어, 이메일 사기 등을 대표적으로 제시했다.

“프루프포인트 조사 결과 조직의 57%가 작년에 피싱 공격을 당했다. 공격자들은 사회 이슈나 사람들이 관심 가질만한 주제를 이용하고 있다. 성공 확률이 높기 때문에 계속 공격한다. 또 구글 워크스페이스나 마이크로소프트 오피스 365 사용자가 굉장히 많다. 공격자들도 잘 알고 있기 때문에 이들 계정 해킹 시도를 많이 한다. 계정을 획득하면 이메일 사기를 치기 쉽고 악성코드도 배포하기 쉽다. 조직의 95%는 현재 계정 탈취 시도를 당하고 있다. 예를 들어 2020년에 오피스 365에서 프루프포인트 고객을 대상으로 보내거나 호스팅한 악성 메시지 수는 5980만9708개 이상, 구글에서 보내거나 호스팅한 악성메시지는 9051만3302건 이상으로, 작년에 더 늘었을 것으로 예상된다.”

랜섬웨어 공격도 더욱 정교해지고 있다. 곽 부장은 “랜섬웨어 공격자는 처음에는 이메일에 악성코드를 실어 보내는 수준이었다. 이제는 보안 솔루션이 많아지니 우회를 하기 시작했다. 이제는 한 번이 아니라 대여섯 단계에 걸쳐 보낸다”고 설명했다.

곽 부장은 실제로 조직에서 가장 큰 경제적 피해(손실)를 입히는 분야로 비즈니스 이메일 사기(BEC) 공격을 지목했다. 랜섬웨어 공격 대비 피해규모가 64배나 크다는 게 그의 지적이다. 2020년 FBI 통계에 따르면, BEC 피해 비중은 전체 침해사고의 44%로, 그 손실 규모는 2020년 최대 19억달러에 달한다. BEC는 비즈니스 관계에서 이뤄지는 사기 방식으로, 신뢰된 사람을 사칭해 이메일을 보내 금전적인 이득을 취하는 공격이다.

최근 구글 독스 취약점을 이용해 공격자가 특정 기업 내 실제 관리자의 이름으로 페이크(가짜) 계정을 만들어 공유 문서 내에 코멘트를 달면서 대상자가 클릭하도록 악성 링크를 추가해 보내는 방식의 위협도 등장했다. 곽 부장은 “만약에 제가 이걸 받은 입장이라면, 이메일 보낸사람에 팀장 이름이 있고 링크를 누르라고 씌여있다면 당연히 클릭을 하게 될 것이다. 신뢰하는 사람이 보낸 우리 팀장의 이메일이기 때문에 열어볼 수밖에 없다”면서 “공격자들은 이같은 취약점을 계속 찾아서 공격을 할 것이기 때문에 클라우드 서비스를 많이 사용하는 기업이라면 대비를 해야 한다”고 강조했다.

가트너 권고 5가지 ‘이메일 위협 보호, 인증(DMARC), 보안 인식 개선, mSOAR, DLP’

가트너는 지난해 많은 위협 경로가 되는 이메일 보안과 관련 권고사항 5가지로 ▲위협 보호 ▲이메일 인증 ▲보안 인식 ▲메일 보안 오케스트레이션 자동화 대응(mSOAR) ▲데이터 보호를 제시했다.

먼저 랜섬웨어, 계정 탈취, 피싱 등 위협으로부터 보호하고, 이메일 사기와 위협 방지를 위해 기본적인 보호 조치인 이메일 인증을 적용하고, DMARC(Domain-based Message Authentication, Reporting, and Conformance, 디마크) 인증을 구현해야 한다는 것이다. 이에 더해 직원들의 보안인식 교육과 모의훈련을 정기적으로 수행해야 하고, 자동화된 방식으로 정교한 위협에 대응해야 하며, 이메일이 비즈니스 환경에서 많이 이용되고 있기 때문에 이메일을 통한 데이터 유출을 방지해야 한다고 강조돼 있다는 게 곽 부장의 설명이다.

이메일 환경부터 머신러닝·인텔리전스·샌드박스·평판 분석과 웹 격리 기술 등 다방면 활용

곽 부장은 “BEC와 같은 이메일 사기 공격을 디마크 등 하나의 방법만으로는 모든 공격을 막을 수 없다. 프루프포인트는 이메일이 계속 오가는 환경에서 이를 구성하는 모든 요소를 먼저 각각 분석한다. 보낸 사람이 올바른 사람이고 정상적으로 발송한 것인지, 송신자와 수신자의 관계가 어떤지 등을 분석한 다음에 머신러닝과, 20년 동안 이메일 위협을 분석해 축적한 인텔리전스를 기반으로 한 번 더 분석을 수행해 공격을 정확하게 찾아낸다”고 말했다.

그 다음 “이메일 내 첨부파일을 통해 유포되는 피싱 및 악성코드 피해방지를 위해 정상 파일인지 악성인지 체크하는 탭(TAP)도 제공한다. 또한 알려지지 않은 위협에 대응하기 위해 클라우드 기반 샌드박스에서 정적·동적 분석과 네트워크 이벤트 분석 등도 수행한다. 그 결과 악성 파일은 차단해 그 정보가 데이터베이스에 업데이트해 방어한다. URL의 경우에도 평판 체크와 샌드박스에 올려 분석 후 차단과 업데이트를 수행한다”며 “정상과 악성 사이트를 바꿔가며 시간차 공격을 수행하는 경우가 있다. 탐지 갭이 존재하기 때문에 그 사이 사용자가 악성코드에 걸릴 수 있다는 점을 쉽게 해결하기 위해 프루프포인트는 웹 격리 기술을 사용한다. 악성을 일으킬 수 있는 요소는 사전에 다 제거해 안전한 것만 사용자에게 전달해 안전하게 접속할 수 있도록 한다”고 덧붙였다.

조직 내 ‘가장 위협적인 사람’ 식별하고 상황에 맞는 보호 조치 적용

프루프포인트는 공격에 잘 속아 넘어가는 취약한 사용자일수록, 정교한 공격을 많이 받는 사용자일수록, 민감한 중요 정보에 접근할 수 있는 권한을 가진 사람일수록 점수화해 가장 위협이 되는 사람을 식별해내 보안조치를 취할 수 있도록 하는 ‘사람 중심 보안’ 접근 방식을 활용하고 있다.

곽 부장은 “사람 중심의 위협평가 가시성을 제공하며, 이 위협 정보를 바탕으로 자동으로 조치를 수행할 수 있도록 서드파티(3rd Party) 솔루션 연동을 지원한다”라면서 “만일 (클라우드 기반 사용자 계정관리 솔루션) 옥타(Okta)를 사용하는 기업이 있다면, 위협 사용자의 접속을 제한하거나 관리자 승인 없이 패스워드 복구 기능을 막는 등 상황에 맞는 조치를 자동으로 수행할 수 있다”고 제시하기도 했다.

프루프포인트는 옥타 외에도 스플렁크, 팔로알토네트웍스, 크라우드스트라이크 등이 제공하는 보안 제품들과 연동을 지원한다.

프루프포인트는 조직에서 가장 큰 자산인 동시에 가장 큰 위험요소이기도 한 ‘사람’을 보호하는 사이버보안 기업으로 자사를 소개하고 있다. 이메일부터 클라우드, 소셜 미디어와 웹 전반에서 가장 중요한 위험부터 낮추는 사람 중심 보안과 규정 준수 솔루션을 제공한다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다