이메일을 통한 사이버 공격은 많은 기업 임직원들이 하루에도 많게는 수십 번씩 마주하는 현실감 있고 직접적인 위협이다. 특히 이미 이메일 보안 시스템을 갖춘 일정 규모 이상의 기업들보다는 중소 규모 기업들이 피해 대상이 될 확률이 높다. 비용 부담이나 실제 효용성 등의 이유를 들어 이메일 보안을 갖추지 않은 경우가 많기 때문이다. 하지만 해가 지날수록 사이버 공격이 폭발적으로 늘어나고 한층 더 교묘해지는 상황에서, 가만히 손 놓고 있다가는 소중한 개인정보와 비즈니스 데이터를 잃고 소 잃고 외양간 고치는 후회스러운 상황이 발생할지도 모른다. 국내에서 관련 솔루션 사업을 하고 있는 전문 기업들을 통해 이메일 보안의 중요성과 솔루션 도입 시의 장점을 들어본다.
‘스팸스나이퍼’로 성장하며 시장 장악
지란지교시큐리티는 2000년부터 이메일 보안솔루션을 개발하고 서비스해 온 정보보호 전문기업으로, 회사의 이메일 보안 솔루션 중 가장 많은 비중을 차지하는 제품은 수신메일에 대한 보안을 담당하는 ‘스팸스나이퍼(SpamSniper)’다. 지란지교시큐리티 윤두식 대표에 따르면 이메일 보안은 꾸준한 성장세와 안정적인 매출을 가져다주는 사업 부문으로 회사에서 역할하고 있다. 윤 대표는 수신메일에 대한 스팸/바이러스 차단, 발신 메일에 대한 모니터링 및 결재, 이메일 저장과 검색, 피싱 메일에 대한 훈련 서비스 등 지속적으로 세대에 맞는 기술과 서비스를 확장하면서 이메일 보안 솔루션이 발전할 것이라고 설명했다.
윤두식 대표는 “기업의 보안 담당자들이 가장 좋아하는 이메일 보안 솔루션으로 스팸스나이퍼가 자리 잡은 것이 지금까지 회사가 성장해 올 수 있었던 원동력이 됐다. 스팸스나이퍼를 빼놓고는 결코 지란지교가 존재할 수 없었다고 해도 과언이 아니다”라면서 “초창기 납품했던 스팸스나이퍼를 설치한 후 10년이 지나도록 한 번도 다운되지 않고 운영한 고객사가 있을 정도로 안정성과 신뢰성에 대해 칭찬받은 사례가 있다. IT 소프트웨어가 10년 동안 멈추지 않은 것도 신기하지만, 하드웨어가 그 기간동안 죽지 않고 운영됐던 것도 너무 신기한 경험이었다”고 밝혔다.
메일 유사도 필터링, CDR 등 핵심 기술 자체 개발
지란지교시큐리티의 ‘스팸스나이퍼’는 스캠(scam, 사기)/스팸/악성 메일과 메일 서버에 대한 공격을 차단해 기업과 사용자에게 안전한 메일을 제공하는 솔루션이다. 자체 개발한 핵심 기술로는 ‘메일 유사도 필터링’과 ‘CDR(Content Disarm & Reconstruction, 콘텐츠 무해화)’ 등이 있다.
먼저 메일 유사도 필터링 기능은 초기 수신한 스캠/스팸/악성 메일을 분석해 고유 해시를 만들고, 새롭게 수신되는 메일들이 기존 해시와 비교해 70% 이상 유사하면 스팸메일로 분류한다. 지란지교시큐리티 윤두식 대표는 “국내 이메일 보안 시장에서 스팸스나이퍼가 점유율이 1위인 만큼 최신 스팸 유형에 대한 확인이 가장 빠르다”면서, “해당 스팸메일에 대한 유사도 해시를 만들어 전체 고객사에 자동으로 재배포한다”고 설명했다.
메일 유사도 필터링 기능을 이용하면 실시간으로 변형되는 스캠/스팸/악성 메일에 대해 유연한 차단이 가능하다. 예를 들어 코인 지갑 주소만 바뀌며 입금을 유도하는 메일이나, 발신자/본문 내용 일부만 변경해 발송하는 대량 스팸메일과 같은 것들을 포함한다. 메일 유사도 필터링 기능은 스캠/스팸/악성 메일의 송수신자와 발송 서버가 계속 변경되고, 본문은 대부분 일반적인 텍스트만 사용하며, 전체적인 메일 내용이 유사한 것 등에 착안해 만든 기술이다.
지란지교시큐리티 ‘스팸스나이퍼’ 유사도 필터 프로세스
다음으로 CDR 기술은 파일을 스캔해 파일 내에 존재하는 악성 매크로나 잠재된 위협 요소를 제거하고, 안전한 요소로만 파일을 재조합하는 기술이다. 이 기술을 이용하면 외부에서 수신된 메일에 첨부파일이 있는 경우, 해당 파일을 무해화해 사용자에게 전달한다. 기존 시그니처 비교 방식이나 단순 첨부파일 내용 필터링 기능으로는 차단하지 못하는 악성 파일을 차단 및 감지할 수 있다는 장점이 있다.
지란지교시큐리티 ‘스팸스나이퍼’ 무해화 처리 프로세스
APT 공격에 대한 대응도 제공한다. APT 공격을 원활히 차단하기 위해 고객사가 보유한 APT 제품과의 연동을 쉽게 할 수 있도록 기능을 추가했다. 스팸스나이퍼에서 간단한 설정만으로 고객사가 보유하고 있는 APT 제품과 즉시 연동이 가능하다.
기타 이메일 보안 제품으로는 ‘메일스크린’이 있다. 기밀문서 및 개인정보가 메일을 통해 외부로 발송될 때, 기업의 보안 정책에 맞는지 확인해 외부로 유출되는 것을 방지하는 제품이다.
메일스크린
또한 ‘머드픽스’는 악성 모의 이메일을 내부 임직원 메일로 주기적으로 발송하고 리포팅해 직원들의 보안 인식을 높이는 데 도움을 주는 제품이다.
머드픽스
고객이 원하는 리포팅 및 서비스 제공
지란지교시큐리티는 최근 고객들이 정책이나 기능보다는 이용 중인 이메일 보안 제품을 통해 현재 상황을 실시간으로 확인할 수 있는 리포팅이나 서비스를 원한다는 점에 주목하고 있다. 즉 수신 메일의 차단/처리 결과를 단순히 통계나 숫자로 알려주는 것이 아니라, 어떤 고객사에서 어떤 메일을 보내 얼마나 수신했는지, 지난주에 꼭 확인해야 했던 메일을 놓친 게 있는지, 스팸으로 차단된 메일 가운데 앞으로는 절대 차단되지 않도록 허용할 것이 있는지 등을 시스템에서 먼저 물어보고 설정하는 기능 등을 포함한다.
발신 메일의 경우 외부로 발송한 메일이 실제 고객사의 사용자가 첨부파일까지 열어 메일을 확인했는지를 비롯해, 보안 담당자 입장에서 직원들이 외부로 발송한 메일에 대한 숫자적 통계가 아닌 실제 발송했을 때 가장 자주 쓰였던 단어가 무엇인지, 견적서는 어떤 곳에 얼마큼 발송됐는지 등이다.
모의훈련의 경우에도 훈련을 실행하는 보안 담당자의 입장에서 단순한 엑셀 형태의 통계가 아닌 현황을 확인하고, 훈련을 1회에 4번 수행했다면 4회에 대한 것을 연결해 확인할 수 있는 기능 등을 개발할 계획이다.
윤두식 대표는 “이러한 기능들을 구현하려면 앞으로 이메일 보안 제품에서는 단순한 기능이 아닌, 기업 내에 송/수신되는 메일들을 분석하고 데이터화해야 한다. 데이터화된 정보를 학습하고 필요시 고객이 원하는 대로 제공되도록 하는 것이 핵심 경쟁력이 될 것이다. 보안 담당자에게 위협이 되는 상황을 미리 알리고 예방할 수 있도록 하고, 사용자들은 항상 안전한 메일을 받고 개인의 메일 송/수신패턴을 확인할 수 있게 하는 것이 중요하다”고 강조했다.
이와 함께 윤두식 대표는 3년 전부터 대기업에서 클라우드 이메일 서비스로 전환을 많이 하고 있다는 점에도 주목한다. 윤 대표는 “이메일 서비스가 클라우드로 전환되고 있다는 것은 이메일 보안 및 서비스도 시간이 걸리겠지만 결국 클라우드로 전환될 것이라는 얘기”라며 “지란지교시큐리티는 차단율과 기능에 대한 지속적인 개선은 기본으로 하고 클라우드 전환과 구독형 서비스에 대응할 수 있는 제품을 만들 예정이다. 기존 구축형 고객사들이 이메일 보안 환경에 대해 클라우드를 고려할 때 지란지교시큐리티를 통해 원활히 잘 전환하고 만족할 수 있도록 제품을 발전시켜 나갈 계획이다. 이를 기반으로 최종적으로는 메일 수신/발신/저장/훈련을 한 번에 할 수 있는 이메일 보안 클라우드 플랫폼으로 확대해 갈 것이다”라고 덧붙였다.
마지막으로 윤두식 대표는 “기업들은 악의적인 이메일에 대한 피해를 방지하기 위해 ‘머드픽스’와 같은 제품을 도입해 모의훈련을 진행한다. 하지만 사실 이런 훈련은 직원들의 보안 의식을 높여 피해를 입을 수 있는 확률을 낮추는 데 분명 도움은 되지만 피해를 완벽히 예방할 수는 없다. 그리고 훈련했음에도 실제 피해가 발생한 경우, 해당 직원이 책임을 질 수는 없기 때문에 기업 입장에서는 안전하지 않은 방법이다”라면서 “결국 악의적인 이메일에 대한 피해를 방지하기 위해서는 개인이 아닌 시스템과 기술로 해결해야 한다. 그리고 기업 내 보안 담당자는 외부에서 유입되는 이메일에 대한 위협과 더불어 내부에서 외부로 발송되는 메일에 대한 보안 정책에 대해서도 고민하고, 기업 정보 및 문서가 외부로 유출되지 않도록 발신 메일 보안 솔루션을 도입하는 것을 권장한다”고 덧붙였다.