해커들이 가장 좋아하는 채널 ‘이메일’, 한번에 보안하는 법

By심재석

이메일은 사이버 공격자들이 가장 애용하는 채널이다. 이메일은 누구나 사용하고 친숙한 커뮤니케이션 통로여서 이용자들은 조심해야 한다는 생각이 많지 않다. 이 때문에 조직 입장에서 이메일은 가장 위험한 채널이기도 하다. 대부분의 사이버 공격은 이메일을 통해서 들어오기 때문이다.

과거에는 이메일을 통한 공격은 단순했다. 악성코드를 이메일에 첨부하는 방식이 일반적이었다. 하지만 첨부파일에 있는 실행파일을 함부로 열면 안된다는 인식은 어느 정도 확산돼 이런 수법에 속는 이들은 많이 줄었다. 그러자 이메일 해킹 방법도 다양화·지능화되기 시작했다.

예를 들어 악성코드를 사용하지 않는 공격이 생겼다. 해커가 이메일을 가로채서 패턴을 습득한 후 이 패턴을 이용해 정보를 빼내는 방식이다. 만약 거래처에서 대금지급 계좌번호가 바뀌었다고 이메일이 왔다고 해보자. 주의 깊게 보지 않으면 이메일을 보고 새로운 계좌번호로 대금을 송금할 수 있다. 하지만 그 계좌가 해커의 계좌일 수도 있다.

매우 정상적인 첨부파일에 악성 매크로가 숨겨져 있을 수도 있다. 신입사원을 뽑기 위해 이력서를 받고 있다고 해보자. 입사지원자의 컴퓨터가 누군가에게 해킹돼서 이력서 안에 악성 매크로가 삽입돼 있다면 어떻게 될까? 인사담당자는 이력서를 열어볼 것이고, 매크로가 실행되면 조직 전체가 위험에 빠지게 된다.

또 외부 이메일 해킹을 막는 것뿐 아니라 내부에서 정보가 이메일로 빠져나가지 않도록 막는 것도 필요하다. 퇴사를 앞둔 직원이 자신이 보유한 정보를 이메일로 내보내는 일은 비일비재하다.

이처럼 다양화·지능화된 이메일 해킹을 막기 위해서는 한층 진화된 보안 솔루션이 필요하다.

포티넷코리아 박종석 이사 

포티넷코리아가 23일 서울 삼성동 그랜드인터콘티넨탈 파르나스에서 개최한 ‘엑셀러레이트(ACCELERATE) 2023 코리아’ 행사에서는 이와 같은 이메일 해킹을 통합적으로 막기 위한 포티넷의 솔루션이 소개됐다.

포티넷코리아 시스템 엔지니어인 박종석 이사는 “최근 해킹은 대부분 이메일을 통해서 공격이 들어온다”면서 “공격자들이 이메일 해킹을 시도했을 때 58%가 성공을 거둔다”고 지적했다. 박 이사는 “이메일을 통한 다양한 위협을 방어할 수 있으면서 hwp나 알집처럼 국내에 특화된 환경도 방어할 수 있는 솔루션이 필요하다”고 덧붙였다.

박 이사는 이와 같은 요구에 대응하는 ‘포티넷 이메일 ATP’ 솔루션을 소개했다. 포티넷의 이메일 보안 솔루션 ‘포티메일(FortiMail)’과 샌드박스 솔루션 ‘포티샌드박스(FortiSandbox)’를 결합해 활용하는 방안이다. 박 이사는 이 경우 정적분석과 동적분석을 통해 이메일 해킹 위협을 최소화할 수 있다고 설명했다.

박 이사에 따르면, 포티메일은 이메일로 유입되는 다양한 형태의 위협을 제거하는 솔루션이다. URL 필터링, 안티 스팸, 안티 바이러스, 발신자 정책 프레임워크, 도메인 확인, 클릭 보호, 이상행위 탐지, 콘텐츠 무해화, 사칭 메일 탐지 등의 기능을 제공한다.

포티메일의 특징 중 하나는 악성콘텐츠 무해화 기술이다. 이메일을 수신했을 때 일반적인 정적분석 솔루션은 첨부파일이 악성인지 아닌지 이분법적인 판단을 한다. 악성이라고 판단되면 파일 자체가 이용자에게 전달되지 않는다. 앞에서 예시한 것처럼 입사지원자 이력서에 악성 매크로가 포함된 경우 이력서 자체가 전달되지 않는다. 그러나 포티메일을 이용하면 이력서의 핵심 내용인 텍스트는 유지하고, 악성 매크로만 삭제해서 이용자에게 이메일을 전달한다. 중요한 비즈니스 이메일의 내용이 누락될 가능성을 최소화하는 것이다.

비즈니스 메일 침해(BEC) 공격을 탐지하는 기능도 제공한다. 만약 이메일 주소의 알파벳 O를 숫자 0으로 바꿔 이용자를 속이는 방식으로 공격이 들어왔다고 생각해보자. 포티메일은 주요 거래처 이메일이 이런 식으로 혼동된다면 이를 이용자에게 알린다.

포티메일은 아웃바운드 이메일도 보안의 대상이다. 클라우드 이메일 환경에서 조직원들이 보내는 이메일에 악성 매크로가 담겨 있다면 이메일 서비스 자체가 차단될 수도 있다. 악성 이메일이 조직에 들어오는 것뿐 아니라 전송되는 것도 막아야 하는 이유다. 또 개인정보, 금융정보나 회사기밀을 패턴화 해서 외부에 정보가 전송되는 것을 사전에 찾아내는 기능도 포함돼 있다.

포티메일과 포티샌드박스와 연결하면 클라우드에서 첨부파일을 실행해 위험한 행동을 하는지 여부를 테스트해볼 수 있다. 알려지지 않은 악성코드 등을 찾아낼 때 유용한 방식이다.

포티메일 클라우드는 이메일 캐시 역할도 한다. 만약 클라우드 이메일 서비스에 장애가 발생한다고 해도, 포티메일의 캐시를 통해 기존에 수신한 이메일을 열람하거나, 이메일을 전송할 수 있다. 클라우드 서비스의 장애로 비즈니스가 중단되는 위험에서 벗어날 수 있다.

박 이사는 “다양한 공격을 막으려면 각각의 전문 솔루션이 필요하지만 여러 솔루션을 솔루션 개별적으로 관리해야 하기 때문에 어려움이 커진다”면서 “포티메일은 알려진 위협과 알려지지 않은 위협을 하나의 장비에서 통합적으로 관리하면서 막아낼 수 있다”고 말했다.

글. 바이라인네트워크
<심재석 기자>shimsky@byline.network

심재석

노안 심스키. 슬플 땐 난 봉산탈춤을 추지. 낙양동천이화정
https://www.facebook.com/shimgiza

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다