지능화된 표적공격을 막기 위한 e-mail 보안이 필요하다

PC에 악성코드 심는 스피어 피싱 증가

[시큐리티월드 이정원] 지난 2014년은 개인정보 유출과 관련된 각종 범죄가 연이어 발생하며 개인정보 보호에 대한 경각심이 그 어느 때보다 높아진 한 해였다.

대형 신용카드사, 통신사, 생명보험사 등 다양한 기업과 기관에서 주요 기밀 정보, 대량의 고객 정보를 노린 공격이 잇달아 발생했으며, 각종 금융정보와 개인정보를 탈취하여 금전적인 손해를 입히는 피싱, 파밍 공격 역시 한층 진화된 형태로 지속적으로 발생했다.

최근 업무와 관련된 내용으로 위장해 사용자의 PC에 악성코드를 감염시키는 스피어 피싱(Spear-Phishing)이 점점 더 지능화되고 있다.

시만텍이 최근 발표한 ‘인터넷 보안 위협 보고서(Internet Security Threat Report)’ 제20호에 의하면 지난해 특정 대상을 목표로 스피어피싱 e-mail을 이용해 네트워크에 잠입하는 지능형 표적 공격 캠페인은 전년 대비 8% 증가했다.

표적 공격에 사용된 스피어 피싱 e-mail이 14% 감소했고, e-mail을 수신한 기업도 20%나 감소한 것을 고려하면 성공률은 많이 높아진 셈이다.

스피어 피싱 e-mail은 ‘.doc’ 형태 워드 파일(38.7%) ‘.exe’ 실행파일(22.6%)을 가장 많이 이용해 공격한 것으로 조사됐다.

tm피어 피싱 e-mail 공격, 8% 증가

보고서에 따르면 지난 한 해 새롭게 등장한 악성코드도 전년 대비 26% 증가한 3억 1,700만개로 집계되었는데, 특히 가상 머신을 인식하는 악성코드는 28%였다.

악성코드의 28%는 악성코드를 감지하는데 사용하는 가상머신을 인지하고 피해갈 수 있다는 의미다.

이번 보고서에 따르면 지난해 총 24건의 제로데이 공격이 발견되면서 사상 최고치를 기록했으며 1,000만개 이상 개인정보 유출된 대형 사고는 4건으로 전년 대비 절반으로 감소한 반면 전체 사고는 전년 대비 23% 증가했다. 파일을 암호화해 돈을 요구하는 랜섬웨어 공격 역시 전년대비 113% 증가했다

실제 국내 사례를 살펴보면 지난해 한국수력원자력(이하 한수원) 원전자료 유출은 악성파일을 첨부한 e-mail(HWP)을 악용하는 스피어 피싱 공격기법이 사용됐다.

공격자들은 한수원 직원을 대상으로 악성코드가 심겨진 한글파일을 e-mail에 첨부해서 보냈다. 이는 한수원 퇴직자의 계정으로 한수원 내부에서 사용하는 e-mail 및 공문 형식을 모방해 업무와 관련된 e-mail로 위장한 것이었다.

이로 인해 e-mail 보안 솔루션을 활용하여 APT 공격을 방어하는 방법에 관심이 높아지고 있다.

지금까지는 e-mail 보안 솔루션이라고 하면 단순히 스팸메일 차단과 백신기능이 주요 기능이었으나 몇 년 전부터 e-mail이 악성코드 감염의 주요 통로로 이용되고 지능화되면서, APT 공격 방어를 위한 기술이 e-mail 보안 솔루션에 추가되기 시작했다.

지능화된 표적공격을 막기 위한 e-mail 보안 제품의 조건

지능화된 표적공격을 막기 위해 기관에서 가장 우선적으로 고려해야 할 e-mail 보안 제품의 요건은 무엇일까?

지능화된 표적공격을 막기 위해서는 알려진 악성코드를 탐지하고, 악성 URL을 차단 할 뿐만 아니라 알려지지 않은 악성코드까지 탐지하고 차단해야 한다.

기업 및 기관은 e-mail 보안 솔루션 도입에 앞서 해당 솔루션이 다음과 같은 요건을 갖추고 있는 지 검토해 볼 필요가 있다.

첫째, 악성 URL을 차단할 수 있어야 한다. 맥아피 랩(McAfee Labs)에 따르면 지난해 4분기에만 새롭게 등장한 피싱 URL이 15만개가 넘었다.

게다가 버라이즌(Verizon) 보고서를 보면 피싱을 받는 5명 중 1명은 e-mail 안에 있는 링크를 클릭 한다고 하니 악성 URL을 통한 공격은 굉장히 심각한 상황이다. 따라서 피싱을 예방하기 위해 e-mail 보안 솔루션은 메일의 악성 URL을 자동으로 걸러야만 피싱 위험성을 낮출 수 있다.

둘째, 알려진 악성코드를 탐지할 수 있어야 한다. 작년 한 글로벌 보안기업에서 백신의 시장전망에 대해 부정적인 입장을 내보이면서 기존의 수동적인 시그니처 기반 보호기술(대표적으로는 백신)이 무용하다고 표현했다.

그러나 많은 보안업계 관계자들은 알려지지 않은 악성코드를 탐지하는 것 못지않게 알려진 악성코드를 탐지하고 차단하는 것이 중요하다고 말하고 있다.

보안 업체에 따라 정확한 규모는 다르나 알려지지 않은 악성코드를 이용한 APT공격이 5~55% 존재한다는 이야기는 반대로 알려진 악성코드를 이용한 공격 또한 45~95%에 이른다는 의미이기 때문이다.

셋째, 알려지지 않은 악성코드를 탐지할 수 있어야 한다. APT 공격의 특징은 지속성과 은밀함인데 이를 유지하기 위해 공격자들은 알려지지 않은 악성코드를 이용하여 제로데이 공격(시스템의 취약점이 발견된 뒤 패치가 발표되기 전에 공격을 감행)을 시도한다.

이러한 알려지지 않은 악성코드를 사전에 탐지하기 위해 e-mail 보안 솔루션은 크게 두 가지 방식을 사용하는데 하나는 샌드박스 솔루션 기반의 행위기반 기술을 이용하는 것으로 위험성이 의심되는 파일을 격리된 환경(가상화 환경)에서 실행시켜 악성행위가 일어나는지 여부를 확인한다.

이 때 행위분석은 주로 파일, 프로세스, 레지스트리, 네트워크, API 등에 대해서 분석을 하게 된다. 또 다른 하나는 프로그램의 취약점 분석 기반의 익스플로잇(Exploit)탐지 기술인데, 상용 SW(오피스, 한글 등)의 취약점 공격 방어에 특화되어 있다.

온라인 바이러스 검사 사이트인 바이러스 토탈에 따르면 1개의 제로데이 취약점을 통해 100~200여개의 변종 악성코드가 유포되고 있는데 익스플로잇 탐지 기술은 악성코드의 시그니처를 탐지하는 것이 아니라 악성코드가 SW의 취약점 자체를 이용 여부를 탐지하여 알려지지 않은 변종 악성코드까지 탐지한다.

Security Intelligence의 확보

최근 개최된 RSA2015 컨퍼런스에서도 여러 번 강조된 것처럼, 지능형 공격을 탐지하고 피해를 최소화하기 위해서는 다양한 기업, 기관으로부터 수집된 위협요소에 대한 정보와 분석이 매우 중요하다.

특히 e-mail 보안 솔루션을 운영하다 보면 오탐 여부에 대해 명확하게 판단하고 공격의 유효성에 대해 정확하게 검증하는 것이 필요한데 이러한 보안서비스 경험을 보유한 전문가 팀을 솔루션 회사에서 보유하고 있다면 기업 및 기관이 e-mail 보안 솔루션을 운영하는데 큰 도움이 될 것이다.

나날이 보안 위협이 정교화, 지능화됨에 따라 정보보호가 기업의 생존과 지속적 성장에 큰 영향을 미치고 있는 요즘, 점차 지능화 되는 스피어 피싱과 이를 막기 위한 e-mail 보안 제품의 조건에 대해 논의해 보았다.

지능화된 표적공격을 막기 위한 e-mail보안 제품이 모든 APT공격을 완벽하게 방어할 수는 없을 것이다. 그러나 지능화 되는 스피어 피싱 공격에 효율적으로 대응하는 수단 중 하나인 것은 분명해 보인다. 물론 정보보호 수준 향상을 위한 근본적인 대안은 이러한 보안 인프라 구축에 대한 투자와 이용자들의 정보보호 의식인 것은 너무도 당연하다.

[글 시큐리티월드 이정원 이글루시큐리티 차장]

[월간 시큐리티월드 통권 222호 (sw@infothe.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)