본문 바로가기

제품 이야기

[소프트캠프 메일보안 솔루션] 문서 방화벽으로 이메일 통한 APT 공격 막는 실덱스 포 메일_SHIELDEX for Mail

 

 

지난해 11월 영화 제작사인 소니 픽처스 엔터테인먼트의 시스템이
해킹을 당하는 사건이 발생했습니다.
전체 시스템이 다운되고, 전·현직 임직원의 개인정보와 이메일, 업무상의 비밀 등
엄청난 양의 정보가 유출되었습니다.

 

얼마 지나지 않아 국내에서도 비슷한 사건이 발생합니다.
한국수력원자력의 원전 설계 자료 및 일부 도면, 사진 등의 중요 자료들이
유출되는 사건이 바로 그것입니다.

 

이 두 사건은 비슷한 점이 있는데요.
이메일을 통한 APT 공격으로 해킹이 이루어졌다는 것입니다.

 

아마도 위 두 사건의 관련 기사들을 보시면서 APT 또는 APT 공격에 대해 많이 접하셨을 겁니다.

 

 

 APT(Advanced Persistent Threats)

  - 지능적 지속 위협: 지능적이고 지속적인 방법으로 특정 대상에게 가하는 보안 위협

 

 

APT 공격은 정보 유출뿐만 아니라 내부의 시스템을 파괴시키는 형태로도 나타나기 때문에
기업은 물론 산업, 나아가 국가에도 큰 피해를 입힐 수 있는 사이버테러입니다.
웹 트래픽이나 USB, 이메일, 망간 자료 전송 등을 다양한 경로를 통해 외부로부터 유입되는 파일에

악성코드가 함께 유입되어 내부 시스템에 침입이 가능해 지는 것이죠.

 

APT 공격은 지난해에 이어 올해도 큰 보안 이슈 중 하나입니다.
때문에 이에 대한 대응책 마련이 시급하고,
진화하는 APT 공격에 맞서 관련 솔루션도 점점 고도화 되는 추세입니다.

 

 

 이메일을 통한 APT 공격 진화

 

최근 한 보고서에 의하면 보안 위협의 통로의 80% 이상이 “이메일” 이라고 합니다.
올해 초 미래창조과학부에서도 악성코드의 유포채널이 홈페이지 중심에서
이메일, SNS, P2P 등 다양한 방식으로 변화해 나갈 것으로 전망하기도 했는데요.

 

과거에는 기업/기관 PC 및 홈페이지를 해킹해 악성코드를 심는 방식으로 이루어졌다면,
최근에는 이메일을 통한 APT 공격으로 유포 채널이 변화하고 있습니다.
2013년 3월 20일 일명 3. 20 대란이 전자와 같은 PC 해킹 방식이었다면,
최근 발생한 소니 픽처스, 한국수력원자력 정보유출사건은

이메일을 통한 APT 공격 방식으로 채널 및 방식이 진화한 것입니다.

 

기업을 대상으로 기존 거래처와의 업무를 빙자한 내용으로 메일을 보내 입금계좌 변경을 요청해

금전적인 피해를 주는 일명, “스캠”이 등장하였습니다.

 

특히, 국내 관공서를 대상으로 이메일을 통한 APT 공격이 증가하고 있는데요.
관공서에서 사용하는 마이크로소프트 오피스나 한글 오피스의 취약점을 노리고

첨부파일을 실행하게 한 후 악성코드를 통해 사용자의 PC를 공격하거나 강제 종료하는 등

좀비 PC로 만들어 악성코드 경유지로 만드는가 하면,
내부 중요정보를 빼내어 협박 수단으로 이용하거나, 공개적으로 외부로 유출하여 사회적 혼란을

야기하는 등의 이메일을 통한 APT 공격이 진화하고 있는 것이죠. 

 

최근 들어 나타나는 이메일을 통한 APT 공격은
이메일을 통해 첨부된 첨부파일에 악성코드를 심어 무심코 첨부파일을 열어보는 순간, 악성코드가

해당 PC에 침투하게 됩니다. 이를 일컬어 “스피어피싱”이라고 하는데요.

 

 

 스피어피싱(Spear Phishing)
  - 특정인 또는 조직을 표적으로 삼아 신뢰할 만한 발신인이 보낸 것처럼 위장한 메일을 통해
    악성 웹사이트로 유도 또는 악성 첨부파일을 통해 악성코드에 감염시키는 일종의 온라인
    사기행위

 

 

특히, 제로데이(Zero-day)의 취약점을 노리는 지능적인 공격방법으로
악성코드를 심은 파일을 첨부해서 표적으로 삼은 대상에게 이메일을 보내게 되는 것이죠.

 

 

 제로데이(Zero-day)
  - 보안 취약점이 발견되었을 때 그 문제의 존재 자체가 널리 공표되거나, 알려진 업데이트가
     이루어지기 전 해당 취약점을 악용하여 이루어지는 보안 공격

 

 

악성코드가 포함된 첨부파일은 문서의 형태를 띄고 있기 때문에
사용자가 감염 여부를 판단하기가 쉽지 않습니다.
또한 이메일 발신인을 신뢰할 만한 사내 임직원 또는 거래처, 유명인으로 위장하기 때문에
의심할 여지 없이 첨부파일을 확인하게 되는 것입니다.

 

문제는 이러한 APT 공격이 위에서 말씀 드린 바와 같이 점차 진화하고 있다는 점입니다.
APT 공격에 사용되는 악성코드가 공격 대상에 따라 맞춤형으로 제작되고,
전에 볼 수 없었던 다양한 형태로 제작되기 때문에 탐지도 어려워 지는 것이죠.
때문에 이메일 보안에 대한 필요성이 대두될 수 밖에 없는 것입니다.

 

 

 문서 방화벽으로 이메일 통한 APT 공격 막는다

 

그렇다면 이메일 보안을 하기 위해서는 어떠한 솔루션이 필요할까요?

 

지금까지 이메일 보안이라고 하면,
주로 스팸메일 차단이나 백신, 가상환경에서 악성코드를 탐지하는 방식으로 이루어 졌습니다.
그러나 위에도 언급해 드렸듯이,
APT 공격은 점차 지능적이면서 치밀하게 진화하고 있기 때문에

고도화된 차세대 이메일 보안 솔루션이 필요하게 되었습니다.

 

이러한 사화적 요구에 따라 소프트캠프에서는
메일보안 솔루션 ‘실덱스 포 메일’(SHIELDEX for Mail)을 출시 했습니다.

실덱스 포 메일(SHIELDEX for Mail )은 문서보안에 특화된 기술과 노하우를 기반으로 개발한
문서 방화벽 기술을 적용, 이메일에 첨부된 문서를 방역하여

APT 공격을 선제 대응해 주는 메일보안 솔루션 입니다.

 

문서 방화벽이라 함은 문서형태의 악성코드를 차단한다는 의미인데요.
네트워크 방화벽이 네트워크 침입차단을 위한 것이었다면,

문서 방화벽은 이메일에 첨부된 문서 파일로 위장한 악성코드가 침입하는 것을 사전에

예방, 차단하는 것이 핵심입니다.

 

특히, 기업/기관이 사용 중인 메일 서버 앞 단에 위치하여 메일 서버를 변경 시키지 않고

릴레이 방식으로 유연하게 연동하여 구축할 수 있는 장점을 가지고 있어

그 동안 메일보안 솔루션이 하지 못했던 선제적인 APT 공격 대응이 가능하다는 점에서

큰 의미가 있습니다.

 

실덱스 포 메일(SHIELDEX for Mail)은 외부파일 중에서도 가장 위험도가 높은

메일첨부파일에 대한 문제를 해결하는데 초점을 맞췄습니다.
마이크로소프트 오피스, 한컴 오피스, 어도비 아크로뱃 등 문서프로그램에서 발견된

보안 취약점을 악용한 공격이 들어오지 못하게 한다는 것이죠.

 

보통 다른 백신이나 APT 대응 솔루션은
정적 분석과 동적 분석을 통해 문서의 악성코드를 검출하게 되는데요.

 

 

 ■ 정적 분석
  - 프로그램을 실행시키지 않고 파일 자체를 비교하여 분석하거나, 취약점 보고 시 샘플문서의

     Hash 값을 비교하여 검사하는 방식

 

 ■ 동적 분석
  - 격리된 가상환경에서 프로그램 또는 파일을 실행시켜보고,

    악성 행위를 하는지 파악하는 방식

 

 

정적 분석은 패턴 DB에 포함되어 있지 않은 파일에 대해서는 대응할 수 없어 새롭게 생성되는

악성코드 및 제로데(Zero-day)이 공격에 취약합니다.
또한, 최근 악성코드들은 가상환경을 감지하고 자기 스스로를 삭제하거나,

악성행위를 중지하는 기능을 갖추는 등 이상 행동의 경우의 수가 다양하므로 동적 분석으로

검출하기에는 막대한 자원 및 분석 시간이 소요되는 한계가 있습니다.

그래서 저희 소프트캠프의 실덱스 포 메일(SHIELDEX for mail)

다음과 같은 차별화된 기술로 악성코드에 대응하게 됩니다.

 

 

 ■ 실덱스 포 메일(SHIELDEX for mail)의 차별화된 문서 방화벽 기술
 
 1. 사용 가능한 문서인지 확인
 2. 문서의 내용 중 안전한 컨텐츠(Visible Contents/텍스트, 이미지 등)만 추출하여 재구성

 

 

실덱스 포 메일(SHIELDEX for Mail)은 먼저 문서가 제대로 된 문서 구조를 갖고 있는지

파악합니다. 그리고, 첨부된 문서에서 안전한 컨텐츠(Visible Contents/텍스트, 이미지 등)를

추출하여 문서를 재구성 합니다.

 

이 과정에서 첨부 문서에 숨겨진 첨부파일(hidden attachment)을 제거하게 됩니다.

혹시나 포함됐을지 모르는 악성코드가 아예 실행되지 않도록 하는 것이죠.
그렇게 되면 숨어있는 신규 악성코드를 원천적으로 차단할 수 있겠죠?
따라서 새로운 형태의 악성코드제로데이(Zero-day) 등에

선제적으로 대응 할 수 있게 되는 것입니다!!!

 

 

<실덱스 포 메일의 문서 방화벽 프로세스>

 

이렇게 되면 악성코드 및 이상 행위에 대한 패턴 분석 DB가 불필요하고,
행위 분석을 위한 다양한 O/S 및 어플리케이션 환경 별로 구성된 가상환경을 마련할 필요가 없어

불필요한 자원 소모 및 성능저하를 막을 수 있게 되는 것이죠.
기존의 방역 프로세스보다는 더욱 효율적이라 할 수 있습니다.

 

또한, 자체 개발한 PC 가상화 기술을 적용해서 사용자가 PC에서 메일을 확인할 경우,
실시간으로 마이크로브이엠(Micro VM) 방식의 샌드박스 환경에서 첨부파일을 확인할 수 있도록

지원하고 있습니다.
메일로 수신한 첨부파일은 실덱스 트레이스 서버(SHIELDEX Trace Server)에서 실시간으로

감시 및 모니터링 할 수 있으며, 문서 DRM(Document Security)을 사용하는 경우에는

 문서의 사용 행위까지도 추적할 수 있습니다.

 

만에 하나 악성코드가 포함된 파일을 수신하더라도 해당 파일이 어디서, 무엇을 하는지 확인이

가능한 것입니다.

 

외부유입파일 관리가 필요한 기업, 특히 이메일 보안 강화를 고려하고 있는 기업 및 기관이라면

망설이지 마시고 소프트캠프 실덱스 포 메일(SHIELDEX for Mail)이 적합한 솔루션이 될 것입니다.

 

 

 공격자 관검에서 선제적 대응 필요

 

손자병법에는 적수불사 적장관(敵數不思 敵將觀)이라는 말이 있습니다.
“적의 강하고, 약하고, 수가 많고, 적고 환경과 입지조건을 생각할 것이 아니라
그 적을 다스리고, 지휘하고, 활용하는 장수를 보아야 한다”고 했습니다.

 

해커가 활용하는 해킹 방법이나 악성코드가 중요한 것이 아니라

바로 그 해커의 마음을 읽어야 하는 것일 텐데요.

 

공격하는 상대가 진일보 되었다면, 방어하는 입장에서는 그보다 더욱 진일보한 방어 준비를

해야만 할 것입니다.
그렇게 쉬운 일은 아닐 것입니다. 그러나 방어자가 공격자의 관점에서 생각한다면 조금 더 수월하게

방어를 할 수 있지 않을까요?

 

요즘같이 전자문서로 업무를 보는 환경에서 이메일 확인은 필수가 되었고,
사내 또는 거래처간 업무에서 첨부된 문서를 확인하는 것은 일상적인 업무가 되었습니다.
때문에 해커들은 이러한 취약점을 노린 공격을 하기 수월해졌고,
무심코 확인한 첨부파일로 인해 큰 유출 사고로 이어지고 있습니다.

 

우선 의심이 가는 이메일과 첨부파일은 확인하기 전에 발신인에게 유선을 통해 확인 하고

다운로드 하거나 실행하는 것이 이메일 보안의 첫 걸음이라 생각합니다.
더불어 새로운 형태의 악성코드와 해킹의 수법이 발생할 때마다

그것을 분석하고 처리하는 것이 아닌 해커의 입장에서 생각하는

선제적 대응 보안의 태도가 필요할 것입니다.