AI 이용 악성메일 차단 위한 AI 방어 필수···교육으로 피해 가능성 낮춰야
[데이터넷] “’항상 검증하고, 절대 신뢰하지 말라’는 제로 트러스트 원칙은 이메일 보안에도 적용되어야 한다.”
손지훈 리얼시큐 매니저는 ‘제23회 차세대 보안 비전 2024’의 오전 세번째 세션을 시작하면서 이 같이 말했다. 손 매니저는 거의 대부분의 공격에 이용되는 이메일의 문제를 해결하기 위해서는 반드시 제로 트러스트 원칙이 필요하다고 강조했다.
제로 트러스트는 ▲네트워크 내외부 모든 접근을 신뢰하지 않고, 엄격하게 확인 ▲최소권한 원칙에 따라 사용자와 시스템이 최소한의 리소스와 정보에만 접근하도록 제한 ▲연속적인 검증으로 내외부 모든 트래픽과 행동의 이상징후 탐지 등이 필요하다.
이메일은 신뢰를 전제로 한 대표적인 업무 시스템이기 때문에 제로 트러스트 원칙을 적용하기가 쉽지 않다. 업무를 위한 커뮤니케이션은 대부분 이메일을 통해 진행되며, 업무 편의를 위해 공식 도메인뿐만 아니라 개인 메일, 웹메일을 통해서도 소통이 이뤄진다.
공격자는 사용자의 PC를 해킹해 이전 메일 커뮤니케이션과 연결되는 내용으로 위장해 악성코드를 감염시키거나 거래대금을 가로채고, 계정정보와 개인정보를 탈취한다. 공식 정부·공공기관 도메인과 유사한 도메인을 이용해 정상적인 업무로 위장한 가짜 메시지를 보내 공격한다.
최근에는 벤더 이메일 사기(VEC)도 공격에 사용된다. 유명 상용 소프트웨어 공급기업, 보안 솔루션 공급기업, 신뢰할 수 있는 파트너 등을 사칭하는 VEC는 보안 전문가도 속기 쉬울 만큼 정교하게 제작된다.
손 매니저는 “정상적이고 일상적인 내용으로 위장한 메일을 이용하는 공격이 나날이 진화하고 있어 기존 대응 방법으로 막기가 매우 어려워졌다. 공격자는 첫 번째 메일부터 악성코드를 첨부하지는 않고, 사용자가 충분히 신뢰할 수 있는 단계에서 공격을 진행하기 때문에 사기 메일이라는 사실을 인지하기가 쉽지 않다”고 말했다.
단 하나의 솔루션으로 이메일 공격 못 막아
이메일 이용 공격의 피해는 날이 갈수록 심각해진다. 미국 FBI는 전 세계 BEC 피해가 500억달러(약 67조원)에 달한다고 밝혔다. 클라우드플레어의 ‘2023 피싱 위협 보고서’에서는 피싱 공격의 35.7%가 사기성 링크, 30%는 신규 도메인, 14.3%는 신원 사칭 방식을 이용했다. 즉 신뢰할 수 있는 기업·기관을 이용해 사용자의 의심을 피한다는 뜻이다.
손 매니저는 “공격이 진화하면서 이메일 보안 대응 기술도 복잡하게 변하고 있다. 단 하나의 솔루션만으로 지능적이고 집요한 이메일 공격을 막을 수 없다. 제로 트러스트 원칙에 기반한 다단계 보안 전략이 시급하다”고 설명했다.
손 매니저는 심층방어 전략과 강력한 인증 매커니즘, 사용자 교육 및 인식 향상, 정기적인 정책 검토와 업데이트가 필수라고 강조했다.
심층방어전략은 이메일 게이트웨이에서 악성 혹은 의심메일을 걸러내고, 내부 네트워크에서 모니터링하며, 최종 사용자 단계에서 이메일 내용을 모니터링해 평소와 다른 내용의 요청을 검증한다. 이메일 시스템 접근 시 다단계 인증으로 사용자 신원을 확인하며, 보안 정책을 점검해 잘못된 구성과 설정을 바로잡는다. 사용자 교육, 캠페인을 통해 모든 메일은 의심하도록 하며, 중요한 정보 입력이나 송금 등의 결정은 반드시 조직 내에서 상의하도록 습관화해야 한다.
리얼시큐는 심층방어전략 중 ‘발신정보 검증’ 기술을 제공해 사칭메일을 원천 차단하는 방식의 제로 트러스트 메일 보안을 구현한다. 발신자 서버 정보, IP 주소, 사용자 계정과 도메인 등을 검증하고, 신뢰할 수 있는 발신자의 메일만 수신하도록 제어한다.
AI 이용한 스피어피싱 탐지해야
심층방어 전략에는 이외에도 스팸·악성메일 차단, 랜섬웨어 차단, 이메일 문맥과 사용 언어, 수-발신자 관계 분석을 통한 이상정황 파악 기술이 필요하다. 행위분석, 샌드박스, AI 기반 분석으로 알려졌거나 알려지지 않은 악의적인 행위를 막는다.
또한 최신 위협과 기술을 지속적으로 파악하고 검증해 정책을 업데이트하며, 규제 준수 요건을 충족하는지도 살핀다. 보안감사와 위험 평가로 필요한 조정을 진행한다.
손 매니저는 “기술이 발전하면서 AI/ML과 클라우드 기반 보안도 다양하게 등장하고 있으므로, 메일과 APT 공격 방어를 위한 최적의 기술 활용 방안을 고민해야 한다. 더불어 이메일을 통한 업무 수행에 불편함이 없도록 보안 정책을 유연하게 적용하며, 조직의 다른 보안 체계와 통합시켜 이메일 보안 단계에서 걸러내지 못한 지능적인 위협까지 제거할 수 있게 해야 한다”고 덧붙였다.
