[데이터넷] 제로 트러스트는 복잡하고 어렵지만, 현대 비즈니스를 보호하기 위해서는 반드시 이행해야 한다. 넓어지는 공격표면, 분산된 업무환경을 보호하는데 기존 경계기반 보안은 많은 한계를 갖고 있기 때문이다. 가장 쉬운 것부터, 가장 중요도가 낮은 것부터 차근차근 전환하면, 성공적인 제로 트러스트 여정을 진행할 수 있다.<편집자>

QR코드 악용 ‘큐싱’, 이미지 분석 기술로 차단

제로 트러스트 원칙이 반드시 필요한 분야로 웹과 이메일을 꼽을 수 있다. 공격자는 정상 업무 메일과 웹사이트로 위장해 침투를 시도하기 때문에 무조건 신뢰하지 않고 검증하는 제로 트러스트 원칙이 필수다.

특히 최근 QR코드에 악성 링크를 삽입해 공격자 피싱 사이트로 유도하는 큐싱(Quishing)이 유행하고 있어 각별한 주의가 요구된다. QR코드는 사용자가 쉽게 웹사이트에 방문하도록 하거나 설문조사, 본인인증, 거래사실 인증 등 다양한 업무에 사용되고 있다. 링크를 QR코드로 변환하는 것은 매우 쉽기 때문에 위조된 QR코드를 이용해 사용자를 악성 사이트로 유도하고 개인정보를 입력하도록 하는 것은 매우 쉽다.

QR코드 이미지 자체에 악성코드가 숨어있는 것이 아니기 때문에 웹·이메일 악성코드와 악성링크 탐지 솔루션으로 막을 수 없다. 사용자가 QR코드의 악성 여부를 판단할 수 없고, QR코드를 이용해 접속하는 사이트는 신뢰할 수 있는 사이트로 위장하기 때문에 사용자가 직접 악성 여부를 판단할 수 없다.

에스에스앤씨가 국내에 공급하는 퍼셉션포인트가 큐싱 공격을 탐지, 분석한 결과, 90%의 공격이 M365를 이용했으며, 이메일 보안을 위한 이중인증으로 QR코드 인증을 요구했다. 해당 메시지에는 간단한 안내문과 QR코드만 있기 때문에 텍스트와 컨텍스트를 인식해 악성 여부를 판단하는 이메일 보안 솔루션으로 탐지하기 어렵다. 이메일을 보내는 사람은 신뢰할 수 있는 조직에서 근무하는 사람으로 의심하지 않도록 정교하게 조작됐다. 퍼셉션포인트가 분석한 사례 중에는 이메일 본인 인증뿐만 아니라 급여명세서 열람을 위한 본인인증 등으로 위장한 것도 있었다.

퍼셉션포인트는 큐싱 공격까지 차단하기 위해 모든 QR코드를 스캔하고 그 안의 URL을 끝까지 추적한다. 이미지 인식과 AI 기술을 사용해 최종 사용자에게 도달하기 전에 소스에서 큐싱을 탐지, 차단한다. 회피 방지 알고리즘으로 피싱, 멀웨어 전달 시도를 탐지하고, 합법적인 이미지를 모방한 위조 이미지를 찾아 피싱 사이트 여부를 밝혀낸다. 유사도메인이나 URL 어휘 분석, 생성형 AI를 이용한 디코더를 이용해 악의적인 사회공학 시도를 탐지한다.

클라우드 서비스로 제로 트러스트 쉽게 이행

퍼셉션포인트는 이메일, 웹, 애플리케이션, 클라우드 등 공격이 진행되는 모든 지점에 대한 통합위협 대응 서비스를 제공해 기업·기관에 위협이 도달하기 전에 선제적으로 차단, 제로 트러스트 업무가 이뤄지도록 한다. 제로 트러스트 작동 흐름인 식별-보호-감지-대응을 신속하고 정확하게 구현하며, SE랩에서 99.95%의 탐지율과 정확도를 기록했다.

퍼셉션포인트의 고급 이메일 보안 서비스를 이용한 글로벌 온라인 게임사는 5000여명의 임직원과 15개 도메인을 보호하기 위해 서비스를 선택했으며, 기존 이메일 업무 환경을 유지하면서 지능적 위협 차단과 퍼셉션포인트 침해대응(IR) 팀 지원으로 악성메일 원인파악도 제공받을 수 있었다.

한은혜 에스에스앤씨 대표는 “제로 트러스트를 가장 쉽고 가볍게 적용할 수 있는 방법은 클라우드 기반 이메일 보안 서비스다. 올해 상반기 이메일 기반 공격이 전년대비 464% 늘었는데, 이메일에서 끊임없이 진화하고 있는 다양한 공격을 막아내지 못하는 것이 현실”이라며 “눈에 보이는 것만 필터링 하는 기존 방법에서 더 나아가 전문 사이버 보안팀에서 24시간 다각적, 그리고 혁신적으로 접근해 방어하는 ‘관리형 보안 사고대응 서비스’가 진화하는 위협 환경에 좋은 대안이 될 것”이라고 말했다.

한은혜 대표는 “에스에스앤씨는 퍼셉션포인트 외에도 제로 트러스트 아키텍처 구현을 위한 필수 솔루션을 다양하게 제안한다. 네트워크의 가장 첫 방어막 보안부터 방화벽 정책운영관리를 자동화해 휴먼에러를 차단하고 보안인력에 대한 리소스를 절감해주는 FPMS, 정책 통합 관리로 데이터 유출행위를 탐지하고 사전 예방할 수 있는 데이터 유출방지 솔루션 포스포인트 DLP 등 제로 트러스트로 전환을 원활하게 도와주고 아키텍처를 유지하기 위한 전략을 제공한다”고 말했다.

한편 에스에스앤씨가 공급하는 포스포인트는 ‘사람 중심 보안 접근’ 전략으로 제로 트러스트를 구현한다. 포스포인트는 데이터 분류, 위협과 위협 가시성, DLP, 조사 영역에서 탁월한 강점을 갖는다. 제로 트러스트 접근 방식과 리스크 적응형 데이터 보안 제어가 가능하며, 지적재산권 보호 등의 성공적인 사례를 보여주고 있다.

서비스형 범죄로 진화하는 BEC

악성메일 이용 공격은 신뢰할 수 있는 사용자로 ‘위장’하는데, 실제 사용자 이메일 계정에서 스펠링을 교묘하게 바꾸는 등의 방법으로 피해자를 속인다. 이 방식을 사용하는 비즈니스 이메일 침해(BEC)는 직접적인 금전 손실을 입히기 때문에 위험도가 매우 높다.

퍼셉션포인트 조사에 따르면 미국에서 BEC 공격 피해가 24억달러로 사이버 범죄 피해의 35%를 차지한다. 2022년 4월부터 1년간 3500만건의 BEC 시도가 탐지됐는데, 이는 하루 평균 15만6000건의 공격이 이뤄진 셈이다.

BEC는 서비스형 범죄(CaaS)를 이용해 더 성공률을 높인다. CaaS 중 대규모 악성 이메일 캠페인을 지원하는 서비스의 경우, 자동화된 이메일 생성, 이메일 목록 관리, 이메일 캠페인 성과 추적, 악성 이메일 전송을 위한 봇넷 액세스 등을 통해 99%의 공격 성공률을 보이고 있다.

스캠과 BEC는 피해 당사자에게만 위협이 되는 것이 아니다. 공격자는 피해자를 통해 타깃 조직에 침투할 수 있는 초기 진입점을 구축하기 때문이다. 이를 막기 위해 EPP·EDR을 구축해 사용자 단말이 감염되지 않도록 하지만, EPP·EDR을 우회하는 공격은 너무나 많다.

크라우드스트라이크는 자사가 탐지한 공격의 71%는 악성코드가 없는 것이었으며, 키보드를 활용해 직접 침투해 공격하는 상호작용형 침입이 전년 대비 50% 증가했다고 설명했다. 이는 기존 엔드포인트 보호 기술을 뛰어넘는 정교한 사이버 공격이 늘고 있다는 것이라고 덧붙였다.

사칭메일 차단 기술로 제로 트러스트 이메일 구현

이러한 공격에 대응할 수 있는 솔루션 중 하나로, 사칭메일을 선제적으로 차단해 안전한 메일만 수신하게 하는 리얼시큐의 ‘리얼메일’이 있다. 리얼메일은 악성메일 발신자들은 주로 사설메일 서버를 사용한다는 점에 착안, 사설메일 서버에서 발송된 메일의 진위 여부를 검증하고, 웹메일로 발송된 메일 역시 신뢰성을 검증한다. 등록되지 않은 메일 시스템으로부터 수신된 메일을 다시 검증해 오탐을 막는다. 이를 통해 업무 불편 없이 안전한 메일만 수신할 수 있게 한다.

리얼시큐는 웹 검색은 가능하지만 웹메일 서비스는 차단하는 기술도 적용해 사설메일 서버가 아닌 정상 웹메일을 통해 수신하는 사칭메일·위장메일을 효과과적으로 차단한다. 또한 신뢰할 수 없다고 분류한 메일 중에서 정상메일을 찾아 수신토록 하는 기술도 적용해오탐, 혹은 새로운 발신자·정상적으로 등록되지 않은 신뢰할 수 있는 메일도 안전하게 수신할 수 있게 했다.

보안 전문성과 예산이 부족한 중소기업을 위한 이메일 기반 위협 대응 서비스를 검토하는 것도 좋은 방법이다. 브로드컴 시만텍의 ‘이메일 시큐리티 닷 클라우드’를 국내에 공급하고 있는 스마일로그는 중소기업이나 분산된 업무환경을 운영하는 조직에서 서비스 형 위협 대응으로 보안위협을 선제적으로 차단하고 있다고 설명했다.

최성태 스마일로그 팀장은 “사이버 공격의 90%가 웹과 이메일을 통해 진행되고 있는데, 웹·이메일은 업무를 위해 필수적으로 사용하는 수단으로, 강력한 보안을 적용하기 쉽지 않다. 특히 중소·중견기업, 출장자, 재택근무자, 해외 혹은 지역에 분산된 사용자에게 본사와 동일한 레벨의 보안을 제공하기 어렵다”며 “클라우드를 통해 제공되는 이메일 보안 서비스가 이러한 문제를 해결해 줄 것”이라고 설명했다.

정교한 사회공학 기법도 차단

보안 기술이 지능형 사칭메일까지 차단하고 있지만, 공격자는 피해자 개인과 친분을 쌓은 후 공격하는 사회공학 기법으로 더 정교한 공격을 펼치고 있다. 이러한 공격은 보안 전문가도 속기 쉬운데, 구글 위협분석그룹(TAG)에 따르면 북한 공격자들이 전 세계 보안 연구원을 대상으로 이러한공격을 벌이는 것으로 나타난다.

보안 전문가까지 속이는 정교한 위협은 사용자 개인이 아무리 주의한다 해도 막을 수 없다. 시큐레터는 사내 유입되는 모든 비실행형 파일의 위협을 빠르게 분석해 안전한 파일만 허락하는 방식의 제로 트러스트를 지원한다. 리버스 엔지니어링과 콘텐츠 무해화(CDR) 기술을 적용하는 시큐레터 ‘MARS’ 솔루션은 생산성 영향 없이 업무를 안전하게 보호할 수 있게 한다.

시큐레터의 리버스 엔지니어링은 문서나 파일에서 악의적인 행위가 일어날 가능성이 있는 요소를 찾아 공격 행위를 트리거링 해 악성 여부를 판단하는 독자 기술이다. 탐지 정확도와 속도가 매우 높으며 오탐 없이 위협을 제거해 업무 영향 없이 공격을 차단할 수 있다. 이 기술과 CDR을 결합한 ‘MARS SLCDR’로 문서와 파일에 교묘하게 숨은 악성코드를 선제적으로 제거해 제로 트러스트 업무 환경을 이룰 수 있도록 한다.

MARS SLCDR을 도입한 국내 B은행은 문서 내 악성 행위를 유발하는 위협 요소만 정확하게 선별, 제거해 원본을 훼손하지 않고 안전한 문서로 재구성시켜 업무에 영향 없이 고도화된 문서 기반 공격을 막을 수 있어 보안 강화 효과가 높았다고 밝혔다.