[컴퓨터월드] 이메일을 통한 사이버 공격은 많은 기업 임직원들이 하루에도 많게는 수십 번씩 마주하는 현실감 있고 직접적인 위협이다. 특히 이미 이메일 보안 시스템을 갖춘 일정 규모 이상의 기업들보다는 중소 규모 기업들이 피해 대상이 될 확률이 높다. 비용 부담이나 실제 효용성 등의 이유를 들어 이메일 보안을 갖추지 않은 경우가 많기 때문이다. 하지만 해가 지날수록 사이버 공격이 폭발적으로 늘어나고 한층 더 교묘해지는 상황에서, 가만히 손 놓고 있다가는 소중한 개인정보와 비즈니스 데이터를 잃고 소 잃고 외양간 고치는 후회스러운 상황이 발생할지도 모른다. 국내에서 관련 솔루션 사업을 하고 있는 전문 기업들을 통해 이메일 보안의 중요성과 솔루션 도입 시의 장점을 들어본다.

사이버 공격의 주요 통로, 이메일

이메일을 통한 보안 위협은 날이 갈수록 점점 더 심화되고 있다. 사이버 공격의 대부분이 이메일로부터 시작된다고 해도 과장된 표현이 아니다. 모든 기업의 임직원들이 고객사나 파트너사와 업무를 위해 메일을 주고받고 있으며, 사내 직원들 간에도 업무 상황을 공유하기 위해 이메일을 활용하는 것이 매우 일반적이다. 그러나 이메일은 이처럼 외부와 연결되는 최접점이자 내부까지 연결하는 수단으로 사용되기 때문에, 반대로 사이버 공격의 주요 통로로 이용되고 있기도 하다.

지란지교시큐리티 윤두식 대표는 “최근 유행하는 사칭 메일의 경우 주거래 업체나 기관 담당자의 메일 주소로 변경해 이메일을 발송하는데, 기존에 구축된 메일 보안 솔루션을 통해 발신지의 불명확함을 확인하는 절차를 거치더라도 정상적인 발신지로 인식돼 최종적으로 수신자에게 메일이 전달되는 경우가 많다”고 말했다.

공격자 입장에서 보면 이메일은 가장 많은 수의 불특정 다수에게 쉽고 간편하게 악성 프로그램을 첨부해 전파할 수 있는 최고의 수단이다. 때문에 기업과 개인을 위협하는 악의적인 이메일 공격은 앞으로도 계속 이어질 것으로 예상된다. 크리니티 서비스개발유니트 보안기술팀 임창완 이사는 “이메일을 통한 보안 위협 중 가장 대표적인 것으로는 기업 및 기관의 주요 인물들을 대상으로 개인정보를 노리는 스피어 피싱 공격과, 다양한 오피스 프로그램의 취약점을 노린 익스플로잇(exploit) 공격이 가장 심각하다”고 설명했다.

글로벌 보안 업계에서는 이메일을 통한 공격을 BEC(Business Email Compromise), 즉 ‘이메일 사기’라고 부르고 있다. 이메일 사기의 유형은 △이메일 용량 초과 안내메일 △사이트 비밀번호 변경 안내메일 △온라인 서비스 가입 초대장 △행사, 학술대회 등의 초대장 △설문조사, 인터뷰 질의서 △견적서, 계산서, 급여 지급을 위한 엑셀 문서 등으로 위장하는 경우가 대표적이다. 특히 이러한 이메일 내에 첨부된 링크(URL)를 클릭해 개인정보나 비밀번호 등을 입력하거나 첨부된 워드, 엑셀, 파워포인트, 한글 등 문서 파일을 열어 [콘텐츠 사용] 등과 같은 기능을 실행하면 악성 프로그램이 설치돼 피해를 입을 수 있다.

시큐레터 기술연구소 분석팀 양승환 팀장은 “최근 이메일을 이용한 보안 위협의 상당수는 ‘계정 정보’를 탈취하기 위한 것으로 파악된다. 이메일을 통해 가짜 사이트로 접속을 유도해 로그인하도록 만든 뒤, 이를 통해 계정 정보를 탈취하는 형태의 해킹을 하기 위해 다양한 방법이 사용되고 있다. 예를 들어 기업 임직원에게 관련 공공기관이나 기업, 거래처 등에서 사용하는 정상적인 이메일 주소로 악성 첨부파일을 포함한 이메일을 보내는 경우, 수신자는 송신자를 알고 있기 때문에 의심하지 않고 첨부파일을 열어볼 확률이 높으므로 위험도도 높다. 또한 공공기관과 기업의 관리되지 않는 웹 서비스 주소를 이용하면서 URL 리다이렉션(URL Redirection) 주소로 피싱 주소를 넣는 경우도 있다. 이 경우 신뢰할 수 있는 기업/기관의 URL 주소를 사용하는 것처럼 보이기 때문에 수신자가 해당 URL에 접속할 가능성이 높아진다”고 설명하고 “이처럼 이메일을 통한 보안 위협의 형태가 다양해지고 있기 때문에 상황에 맞는 적절한 보안 정책과 대응 전략이 필요하다”고 강조했다.

꾸준한 성장 기대되는 이메일 보안 솔루션 시장

이메일을 통한 보안 위협이 나날이 커지는 상황에서 ‘이메일 보안 솔루션’ 역시 그 중요성이 높아지고 있으며 실제 시장도 성장하고 있다. 미국의 리서치 그룹 라디카티 그룹(Radicati Group)의 조사에 따르면, 전 세계 이메일 보안 솔루션 시장 규모는 2020년 약 32억 달러(한화 약 4조 7백억 원)에 달했으며 2024년에는 약 55억 달러(한화 약 7조 원) 이상으로 성장할 것으로 예상된다. 이메일 보안 시장의 글로벌 기업으로는 트렐릭스, 트렌드마이크로, 노턴라이프락, 시스코, 포티넷, 마임캐스트 등이 있다. 또한 국내 시장은 지란지교시큐리티가 50% 이상의 점유율을 기록하고 있으며 그외 크리니티, 시큐레터 등 다수 기업들이 치열하게 경쟁하고 있는 것으로 파악된다.

지란지교시큐리티 윤두식 대표는 “이메일이 해킹의 전초기지 역할을 하는 만큼, 이메일 보안은 모든 기업이 가장 먼저 고민하는 서비스 또는 솔루션이라 할 수 있다. 국내 이메일 보안 솔루션 시장의 경우 향후 폭발적인 성장을 할 것이라고 예상할 수는 없겠지만, 새로운 기업들이 계속해서 등장하고 또 이들이 성장할수록 이메일 보안에 대한 수요가 늘어난다는 점에서 꾸준히 성장해나갈 시장이라고 보고 있다”고 말했다.

국내 사이버 보안 시장은 어려운 경제 여건 속에서도 공공기관과 금융권, 기업 등의 디지털 전환 가속화와 함께 보안 위협이 더욱 복합적으로 변모하고 있어 업계는 향후 몇 년간 지속적인 성장을 예상한다. 특히 최근의 사이버 공격은 기업의 전산 시스템 중 가장 약한 부분을 찾아 대상에게 맞춤형 공격을 진행하는 등 한층 고도화되고 있기에, 취약한 이메일 영역을 보호할 수 있는 솔루션에 대한 관심이 늘어날 것으로 기대된다.

시큐레터 양승환 팀장은 “공격자들은 업무 문서로 위장한 악성 이메일을 임직원들에게 배포하고, 무심코 이를 클릭한 사용자를 통해 로그인 계정을 쉽게 얻어낸다. 이렇게 내부망에 접속한 뒤에는 별다른 제약 없이 영업정보시스템에 접속하거나 내부 직원 정보와 회사 기밀이 있는 데이터 저장소에도 쉽게 접근하는 등 매우 치명적인 결과를 낳을 수 있다”면서 “상황이 이렇다 보니 비대면 및 재택근무, 클라우드 업무 확대에 따른 이메일 기반의 업무 환경에서 파일 및 데이터를 보호하고자 하는 공공 및 금융기관, 기업의 수요가 계속해서 증가할 것으로 기대하고 있다. 실제 지난해 다양한 분야의 기업들로부터 이메일 보안 솔루션 도입에 대한 문의가 늘었다는 점에서 시장 확대에 대한 긍정적 신호를 느끼고 있다”고 말했다.

교체 수요, 클라우드, AI 대응 등 이슈

이메일 보안 솔루션은 일반적으로 PC에 설치하는 안티 바이러스 솔루션과는 달리, 이메일을 주고받는 네트워크 구간에 하드웨어 형태로 설치되는 것이 기본이다. 메일 서버가 수신한 이메일을 이메일 검사 장비에 전송해 악성 여부를 검사하고, 결과에 따라 허용하거나 차단하는 방식으로 작동한다. 따라서 이메일 보안 솔루션은 이메일의 내용을 검사하는 기술이 기본이자 필수 요소다. 즉 △송신 메일 서버 검증, 발신자 필터링 등 이메일 송신처를 검사하고 △메일 본문에서 링크 및 기타 위협 요소를 검사하며 △첨부파일에 악성코드가 포함돼 있는지 등을 검사한다.

최근에는 공공기관을 중심으로 클라우드 기반의 이메일 서비스를 도입하는 경우가 늘어나고 있어, 이메일 보안 솔루션 역시 클라우드 환경에 대응하고 관련 서비스 고도화에 나서고 있는 것으로 파악된다. 크리니티 임창완 이사는 “이메일 클라우드 전환 부분에서 많은 실적을 올리고 있는 크리니티는 클라우드 환경에 맞는 이메일 보안 서비스를 제공하고 있으며, 향후 있을 위협에 대응해 서비스를 고도화해 나갈 계획이다. 이와 함께 2024년까지 클라우드 서비스에 대한 통합 보안관제 서비스 론칭도 계획하고 있다”고 말했다.

이밖에 인공지능(AI) 기술을 활용해 스팸 필터링을 우회하는 등의 기법이 발견돼, 관련한 기술적 대응을 비롯해 보다 적극적인 형태의 새로운 방어 기법에 대한 연구도 진행되고 있다. 크리니티 임창완 이사는 “국내 이메일 보안 시장은 대부분 신규 시장보다는 기존 제품의 노후화 및 CC인증 만료로 인한 교체 사업으로 진행되고 있다”고 시장 분위기를 전하고 “기존 제품을 고도화해 지능형지속위협(APT) 대응 기능과 최근 이슈가 되는 랜섬웨어 탐지 기능이 복합된 제품이 시장에서 경쟁력 있는 제품이 될 것으로 생각한다”고 덧붙였다.

이메일 보안 솔루션 시장의 미래

지란지교시큐리티 윤두식 대표

지금까지의 이메일 보안 솔루션 시장은 이메일 자체에 대한 스팸 및 피싱을 차단하는 데 초점이 맞춰져 있었다. 즉 다른 공격들 및 다른 솔루션들과 분리해 생각해 왔던 한계가 있다. 국내 대부분의 제품이 각 솔루션에 충실한 차단과 방어 기능에 집중해 있었다. 하지만 향후 이메일 공격은 다음과 같은 이유로 인해 타 보안솔루션과 강결합한 제품 및 서비스로 진화할 것으로 생각된다.

1. 이메일 공격은 모든 악성공격의 전초기지 역할: 이메일 공격은 기업 내부 시스템을 감염시킬 수 있는 전초기지로 훨씬 활발히 이용될 것이다. 악성행위는 시스템을 공격하는 것보다 사람의 실수를 유발해 감염시키는 것이 훨씬 쉽기 때문이다. 일단 한 명이라도 감염되면 그 기업의 내부 시스템은 쉽게 감염을 전파할 수 있다.

2. 소셜엔지니어링을 통한 피싱, 타깃형 공격: 사람을 속이는 행위를 소셜엔지니어링이라 하는데, 특정인을 표적으로 삼아 그 사람이 그동안 주고받았던 메일 내용과 유사하게 메일을 작성해 공격하면 클릭하지 않을 수 없게 된다. 앞으로는 중요한 업무를 하는 직원, 예를 들어 회계담당자, 재무 담당자, 대고객 응대 담당자 등 IT와 보안에 관련이 없고 지식이 부족한 담당자들을 대상으로 하는 공격이 훨씬 많아질 것이며, 그 성공확률은 훨씬 높아질 것이다.

3. 랜섬웨어, 정보 유출 공격과 결합된 공격: 이메일 공격은 파일을 암호화시키는 랜섬웨어 공격과 정보 유출을 같이 시도하는 경우가 많아지고 있다. 랜섬웨어를 통해 돈을 뜯어내는 작업을 하면서, 그와 동시에 돈을 보내지 않는 경우를 대비해 정보 유출을 하겠다는 위협이 같이 발생하게 된다. 기업의 입장에서는 데이터 복구도 중요하지만, 대외 신뢰도가 훨씬 중요해질 수 있으므로 공격에 대한 대응이 훨씬 어려워질 수 있다.

4. 클라우드+SaaS 결합형 기반: 최근 들어 모든 악성 공격이 클라우드 서비스화되고 있다. RaaS(Ransomware as a service)와 같이 공격 툴도 SaaS화 되고 있어 기반 지식이 많지 않은 초보 해커들이라도 악성코드 공격을 하기가 매우 쉬워지고 있다. 앞으로 이러한 추세는 훨씬 강화될 것이다.

5. 이메일부터 권한관리, 엔드포인트 보호까지 모두 포함한 통합서비스 필요: 이메일은 모든 공격의 전초기지 역할을 하므로 이메일이 한번 뚫리면 그 내부 시스템에 매우 큰 영향을 미치게 된다. 하지만 모든 공격을 이메일 단에서 차단하기는 힘들며 이메일 공격이 성공하더라도 내부 권한관리, 엔드포인트 보호, 데이터 보호가 유기적으로 연결돼야만 공격을 원활하게 차단할 수 있을 것이다. 또한 해당 공격이 어떤 루트를 통해 들어왔는지 정확한 분석이 이뤄져야 하므로 네트워크 게이트웨이부터 엔드포인트까지 풀 루트를 하나의 사이클로 묶어 분석하고 차단할 수 있는 시스템간 결합이 필요할 것으로 생각된다.

 중소기업도 솔루션 도입 고민해야

다만 대체로 어느 정도 성장을 한 기업들이 이메일 보안 솔루션 도입을 고민한다는 점은 국내 시장의 성장을 저해하는 요인인 것으로 분석된다. 크리니티 임창완 이사는 “대기업이나 중요 기관들은 이메일을 통한 공격을 방어하기 위한 전문적인 보안 시스템들을 갖추고 있으나, 그외 중소기업들은 비용 부담과 효용성에 대한 의문 등의 이유를 들어 보안 관련 투자에 적극적이지 못한 편이다”라고 말했다.

하지만 이메일을 통해 악성코드나 랜섬웨어에 감염돼 실제 업무에 지장을 초래하거나, 데이터 유실 등과 같이 돌이킬 수 없는 피해를 입게 된 후에는 이미 늦게 된다. 따라서 이제는 중소기업도 이메일 보안 솔루션 도입을 고민해야 할 필요가 있다고 업계는 강조한다. 특히 기존에 장비 기반의 구축형이었던 이메일 보안 솔루션이 클라우드 기반 구독형으로 서비스되기 시작하면서 초기 부담이 크게 줄어들어, 중소기업의 이메일 보안 강화 여건이 한층 좋아진 것으로 파악된다.

지란지교시큐리티 윤두식 대표는 “최근에는 지속적으로 모의훈련 솔루션 등을 이용하는 등의 예방으로 직원들의 이메일에 대한 보안 인식이 높아져 실제 피해가 발생하는 사례가 줄어들고는 있지만, 결국 전체 직원 중 1명만이라도 악의적 이메일에 포함된 첨부파일을 실행하면 기업 전체가 랜섬웨어에 감염되는 것은 물론, 기업의 정보가 유출되거나 금전을 요구하는 등의 추가 피해로 이어진다”고 강조했다. 윤 대표는 또한 “메일 공격 유형에 대응하기 위해 이메일 보안 기술도 발전하고 새로운 제품이 개발되고는 있지만, 지능적인 위협 메일은 선제적인 차단이 어렵다. 따라서 기업에서는 사용자 PC에서도 악성 행위나 파일을 차단할 수 있도록 에이전트(Agent) 기반의 보안제품을 필수로 도입해 실제 피해까지 이어지지 않도록 대비해야 한다”고 조언을 덧붙였다.

크리니티 임창완 이사는 “업무에서 이메일은 가장 기본적이면서 오래된 커뮤니케이션 수단이다. 이 때문인지 엔드유저들은 ‘이메일은 장애만 없으면 되지’, ‘내가 보낸 메일이 잘 가고, 상대가 보낸 메일이 잘 들어오기만 하면 되지’ 등의 사고에 머물러 있다. 또한 이메일을 통한 보안 사고가 많이 발생하고 있지만 이를 직접 겪어보지 않은 엔드유저들은 다양한 보안 위협에 무방비로 노출돼 있는 것이나 다름없다”면서 “그렇기에 기업과 기관의 보안 담당자들이 좀 더 적극적으로 임직원의 보안 인식개선을 위해 노력했으면 하는 바람이다. 이외에도 하나의 보안 솔루션으로 다양한 보안 위협을 막을 수 없다는 점을 인지할 필요가 있다. 일반적으로 기업이나 기관에서 시스템을 도입할 때 저비용/고효율이 의사결정의 중요한 기준이 되지만, 보안에 대해서만큼은 이 기준을 후순위로 둘 필요가 있다고 생각한다”고 말했다.

<주요 이메일 보안 솔루션 기업>

◆ 지란지교시큐리티

국내 이메일 보안 대표 기업…“고객 요구 반영하며 진화 중”

‘스팸스나이퍼’로 성장하며 시장 장악

지란지교시큐리티는 2000년부터 이메일 보안솔루션을 개발하고 서비스해 온 정보보호 전문기업으로, 회사의 이메일 보안 솔루션 중 가장 많은 비중을 차지하는 제품은 수신메일에 대한 보안을 담당하는 ‘스팸스나이퍼(SpamSniper)’다. 지란지교시큐리티 윤두식 대표에 따르면 이메일 보안은 꾸준한 성장세와 안정적인 매출을 가져다주는 사업 부문으로 회사에서 역할하고 있다. 윤 대표는 수신메일에 대한 스팸/바이러스 차단, 발신 메일에 대한 모니터링 및 결재, 이메일 저장과 검색, 피싱 메일에 대한 훈련 서비스 등 지속적으로 세대에 맞는 기술과 서비스를 확장하면서 이메일 보안 솔루션이 발전할 것이라고 설명했다.

윤두식 대표는 “기업의 보안 담당자들이 가장 좋아하는 이메일 보안 솔루션으로 스팸스나이퍼가 자리 잡은 것이 지금까지 회사가 성장해 올 수 있었던 원동력이 됐다. 스팸스나이퍼를 빼놓고는 결코 지란지교가 존재할 수 없었다고 해도 과언이 아니다”라면서 “초창기 납품했던 스팸스나이퍼를 설치한 후 10년이 지나도록 한 번도 다운되지 않고 운영한 고객사가 있을 정도로 안정성과 신뢰성에 대해 칭찬받은 사례가 있다. IT 소프트웨어가 10년 동안 멈추지 않은 것도 신기하지만, 하드웨어가 그 기간동안 죽지 않고 운영됐던 것도 너무 신기한 경험이었다”고 밝혔다.

메일 유사도 필터링, CDR 등 핵심 기술 자체 개발

지란지교시큐리티의 ‘스팸스나이퍼’는 스캠(scam, 사기)/스팸/악성 메일과 메일 서버에 대한 공격을 차단해 기업과 사용자에게 안전한 메일을 제공하는 솔루션이다. 자체 개발한 핵심 기술로는 ‘메일 유사도 필터링’과 ‘CDR(Content Disarm & Reconstruction, 콘텐츠 무해화)’ 등이 있다.

먼저 메일 유사도 필터링 기능은 초기 수신한 스캠/스팸/악성 메일을 분석해 고유 해시를 만들고, 새롭게 수신되는 메일들이 기존 해시와 비교해 70% 이상 유사하면 스팸메일로 분류한다. 지란지교시큐리티 윤두식 대표는 “국내 이메일 보안 시장에서 스팸스나이퍼가 점유율이 1위인 만큼 최신 스팸 유형에 대한 확인이 가장 빠르다”면서, “해당 스팸메일에 대한 유사도 해시를 만들어 전체 고객사에 자동으로 재배포한다”고 설명했다.

메일 유사도 필터링 기능을 이용하면 실시간으로 변형되는 스캠/스팸/악성 메일에 대해 유연한 차단이 가능하다. 예를 들어 코인 지갑 주소만 바뀌며 입금을 유도하는 메일이나, 발신자/본문 내용 일부만 변경해 발송하는 대량 스팸메일과 같은 것들을 포함한다. 메일 유사도 필터링 기능은 스캠/스팸/악성 메일의 송수신자와 발송 서버가 계속 변경되고, 본문은 대부분 일반적인 텍스트만 사용하며, 전체적인 메일 내용이 유사한 것 등에 착안해 만든 기술이다.

다음으로 CDR 기술은 파일을 스캔해 파일 내에 존재하는 악성 매크로나 잠재된 위협 요소를 제거하고, 안전한 요소로만 파일을 재조합하는 기술이다. 이 기술을 이용하면 외부에서 수신된 메일에 첨부파일이 있는 경우, 해당 파일을 무해화해 사용자에게 전달한다. 기존 시그니처 비교 방식이나 단순 첨부파일 내용 필터링 기능으로는 차단하지 못하는 악성 파일을 차단 및 감지할 수 있다는 장점이 있다.

APT 공격에 대한 대응도 제공한다. APT 공격을 원활히 차단하기 위해 고객사가 보유한 APT 제품과의 연동을 쉽게 할 수 있도록 기능을 추가했다. 스팸스나이퍼에서 간단한 설정만으로 고객사가 보유하고 있는 APT 제품과 즉시 연동이 가능하다.

기타 이메일 보안 제품으로는 ‘메일스크린’이 있다. 기밀문서 및 개인정보가 메일을 통해 외부로 발송될 때, 기업의 보안 정책에 맞는지 확인해 외부로 유출되는 것을 방지하는 제품이다.

또한 ‘머드픽스’는 악성 모의 이메일을 내부 임직원 메일로 주기적으로 발송하고 리포팅해 직원들의 보안 인식을 높이는 데 도움을 주는 제품이다.

고객이 원하는 리포팅 및 서비스 제공

지란지교시큐리티는 최근 고객들이 정책이나 기능보다는 이용 중인 이메일 보안 제품을 통해 현재 상황을 실시간으로 확인할 수 있는 리포팅이나 서비스를 원한다는 점에 주목하고 있다. 즉 수신 메일의 차단/처리 결과를 단순히 통계나 숫자로 알려주는 것이 아니라, 어떤 고객사에서 어떤 메일을 보내 얼마나 수신했는지, 지난주에 꼭 확인해야 했던 메일을 놓친 게 있는지, 스팸으로 차단된 메일 가운데 앞으로는 절대 차단되지 않도록 허용할 것이 있는지 등을 시스템에서 먼저 물어보고 설정하는 기능 등을 포함한다.

발신 메일의 경우 외부로 발송한 메일이 실제 고객사의 사용자가 첨부파일까지 열어 메일을 확인했는지를 비롯해, 보안 담당자 입장에서 직원들이 외부로 발송한 메일에 대한 숫자적 통계가 아닌 실제 발송했을 때 가장 자주 쓰였던 단어가 무엇인지, 견적서는 어떤 곳에 얼마큼 발송됐는지 등이다.

모의훈련의 경우에도 훈련을 실행하는 보안 담당자의 입장에서 단순한 엑셀 형태의 통계가 아닌 현황을 확인하고, 훈련을 1회에 4번 수행했다면 4회에 대한 것을 연결해 확인할 수 있는 기능 등을 개발할 계획이다.

윤두식 대표는 “이러한 기능들을 구현하려면 앞으로 이메일 보안 제품에서는 단순한 기능이 아닌, 기업 내에 송/수신되는 메일들을 분석하고 데이터화해야 한다. 데이터화된 정보를 학습하고 필요시 고객이 원하는 대로 제공되도록 하는 것이 핵심 경쟁력이 될 것이다. 보안 담당자에게 위협이 되는 상황을 미리 알리고 예방할 수 있도록 하고, 사용자들은 항상 안전한 메일을 받고 개인의 메일 송/수신패턴을 확인할 수 있게 하는 것이 중요하다”고 강조했다.

이와 함께 윤두식 대표는 3년 전부터 대기업에서 클라우드 이메일 서비스로 전환을 많이 하고 있다는 점에도 주목한다. 윤 대표는 “이메일 서비스가 클라우드로 전환되고 있다는 것은 이메일 보안 및 서비스도 시간이 걸리겠지만 결국 클라우드로 전환될 것이라는 얘기”라며 “지란지교시큐리티는 차단율과 기능에 대한 지속적인 개선은 기본으로 하고 클라우드 전환과 구독형 서비스에 대응할 수 있는 제품을 만들 예정이다. 기존 구축형 고객사들이 이메일 보안 환경에 대해 클라우드를 고려할 때 지란지교시큐리티를 통해 원활히 잘 전환하고 만족할 수 있도록 제품을 발전시켜 나갈 계획이다. 이를 기반으로 최종적으로는 메일 수신/발신/저장/훈련을 한 번에 할 수 있는 이메일 보안 클라우드 플랫폼으로 확대해 갈 것이다”라고 덧붙였다.

마지막으로 윤두식 대표는 “기업들은 악의적인 이메일에 대한 피해를 방지하기 위해 ‘머드픽스’와 같은 제품을 도입해 모의훈련을 진행한다. 하지만 사실 이런 훈련은 직원들의 보안 의식을 높여 피해를 입을 수 있는 확률을 낮추는 데 분명 도움은 되지만 피해를 완벽히 예방할 수는 없다. 그리고 훈련했음에도 실제 피해가 발생한 경우, 해당 직원이 책임을 질 수는 없기 때문에 기업 입장에서는 안전하지 않은 방법이다”라면서 “결국 악의적인 이메일에 대한 피해를 방지하기 위해서는 개인이 아닌 시스템과 기술로 해결해야 한다. 그리고 기업 내 보안 담당자는 외부에서 유입되는 이메일에 대한 위협과 더불어 내부에서 외부로 발송되는 메일에 대한 보안 정책에 대해서도 고민하고, 기업 정보 및 문서가 외부로 유출되지 않도록 발신 메일 보안 솔루션을 도입하는 것을 권장한다”고 덧붙였다.

◆ 시큐레터

기술력 갖춘 벤처기업, 2023년 이메일 보안 SaaS로 도약 노린다

비실행 파일의 보안 위협 탐지·분석·진단·차단에 강점

시큐레터는 보안 솔루션 개발 전문 기업으로, 이메일 등을 통해 유입되는 비실행 파일(Non-PE: PDF, 워드, 엑셀, 한글 등 자체 실행이 되지 않는 파일)을 통해 유입되는 보안 위협을 탐지, 분석, 진단, 차단하는 솔루션을 공급하고 있다. 회사의 이메일 보안 제품 및 서비스는 △구축형 이메일 보안 제품 ‘MARS SLE(SecuLetter Email Security)’ △구독형 이메일 보안 서비스 ‘MARS SLES(SecuLetter Email Security Service)’ 등 2가지로 구분된다.

MARS SLE는 구축형 이메일 보안 제품으로, 이메일로 유입되는 보안 위협을 탐지·차단하는 솔루션이다. 이메일로 유입되는 비실행형 파일 형태의 보안 위협에 특화된 기술로 알려지지 않은 공격까지 사전에 탐지해 방어한다.

MARS SLES는 구독형 이메일 보안 서비스로, 하드웨어 제품 구매 없이 이메일 보안 솔루션을 이용할 수 있다. 상용 이메일 솔루션 및 클라우드 이메일 서비스와 연동이 가능해 이메일 시스템 변경 없이 신속하게 구축/적용할 수 있고, 초기 도입 비용이 낮아 기업용 메일 서비스를 사용하는 중소기업에서 이용하기에 부담이 없다는 게 장점이다.

위협 분석, 콘텐츠 무해화, 자동화된 리버스 엔지니어링 기술 기반

시큐레터의 핵심 기술인 MARS 플랫폼은 기존 시그니처 기반 솔루션과 행위 기반 APT 보안 솔루션들의 단점을 극복하는 시큐레터의 핵심 진단 기술 3가지를 포함한다. 먼저 위협 분석 기술은 콘텐츠 식별 및 구조를 분석하는 것으로 자체 진단/분석 경험 및 노하우와 시그니처 조회, 실행(PE) 파일 진단 등의 응용 노하우가 축적돼 있다.

또한 콘텐츠 무해화(CDR) 기술은 첨부파일(문서)의 위협 요소를 제거하고 안전한 문서로 재조합하는 기술로, 수신자에게 안전한 파일을 전달해 제로 트러스트를 구현한다.

마지막으로 디버거 분석 기술은 자동화된 ‘리버스 엔지니어링(Reverse Engineering)’ 기술로 이메일 첨부파일의 위협(문서 취약점 등)을 명확하게 분석하고 진단한다. 악성코드 분석가의 기술이 자동화된 핵심 기술이라고 할 수 있다.

시큐레터에 따르면 일반적인 무해화 엔진의 경우 문서 내 매크로, 링크 등 위협 요소를 99% 제거하지만 본문, 폰트 등 필수 데이터의 취약점을 이용한 1%의 위협 요소를 남기게 되며, 리버싱 엔진의 경우 문서의 취약점 분석 및 진단해 차단할 때 99%는 탐지하지만 1%의 미탐이 발생한다.

하지만 시큐레터는 무해화 엔진과 리버싱 엔진을 결합해 악성코드를 진단하고 분석하기 때문에 효과적으로 악성문서를 차단할 수 있다고 설명한다. 악성 문서 100개에 대해 진단을 할 경우 리버싱 엔진을 이용해 악성코드를 분석/진단한 후 차단하고, 무해화 엔진을 이용해 위협 요소를 제거하기 때문에 안전한 파일만 전달할 수 있어 보다 안전한 이메일 서비스를 이용할 수 있다는 것이다.

MARS 플랫폼이 탑재된 시큐레터의 이메일 보안 제품은 중소벤처기업부로부터 ‘우수연구개발 혁신제품’으로 지정된 바 있으며, 과학기술정보통신부로부터 ‘우수정보보호기술’로 지정됐고 2022년 ‘글로벌 ICT 미래 유니콘 기업’으로 선정돼 대외적으로 기술의 차별성과 품질 경쟁력을 인정받았다.

시큐레터의 MARS 플랫폼 기반 솔루션은 △이메일 첨부파일의 악성코드 분석 △이메일 본문에 삽입된 다운로드 링크를 통한 파일의 악성코드 검사 △악성코드로 판단된 메일에 대한 관리자 알람 및 설정을 통한 재전송 △악성코드 탐지 결과 상세 리포트 제공 등의 기능을 갖고 있으며 빠른 속도와 높은 진단율, 높은 확장성을 특징으로 한다.

시큐레터의 보안 솔루션은 독자적으로 개발한 리버스 엔지니어링 기술을 통해 어셈블리 레벨에서 악성 여부를 탐지하는 제3세대 악성코드 진단기술을 사용하고 있어 행위 기반 솔루션에 비해 속도가 빠르다. 기존 행위기반 솔루션의 경우 행위가 일어나지 않을 시 탐지가 불가하기 때문에 여러 형태의 가상환경에서 행위를 분석하므로 진단시간이 오래 걸린다는 단점이 있다.

높은 진단율도 특징이다. 자동화된 독자적 리버스 엔지니어링 기술을 통해 이메일 첨부파일을 통해 들어오는 콘텐츠를 매개로 하는 보안 위협들, 즉 PDF, 워드, 엑셀, 한글 등의 비실행 파일을 통해 유입되는 보안위협 진단에 강점을 보유하고 있다. 자동화된 진단 알고리즘으로 알려지지 않은 보안 위협들을 실시간으로 정확하게 탐지하고 차단한다.

마지막으로 다양한 보안 제품과의 유기적인 통합이 용이한 높은 확장성도 장점이다.

2023년 SaaS형 이메일 보안 서비스 통해 시장 확대 가속화

시큐레터는 최근 화두가 되고 있는 ‘제로 트러스트(Zero Trust)’ 모델이 이메일 보안에도 필요하다고 이야기한다. 전송부터 수신까지 전 과정에 대한 신뢰 개념을 제거하고, 항상 검증하는 것으로 △전송 단계에서 메일 작성자에 대한 인증 △이메일을 전송하는 네트워크 단계에서는 데이터 암호화 △수신 단계에서는 메일 서버에 대한 신뢰여부 검증(DKIM, DMARC, SPF 등) △메일 첨부파일에 대해서는 위협 검사 및 차단 △수신한 엔드포인트에서는 첨부파일 검사 등을 적용해야 보다 안전한 이메일 보안을 구성할 수 있다고 말한다.

시큐레터는 이러한 보안 패러다임에 맞춰 문서 파일에 대한 신뢰 개념을 제거하고 ‘모든 파일은 위협 요소가 있다’는 가정 하에 첨부파일 무해화(CDR) 기능을 연구·개발해 서비스하고 있다. 또한 기존 핵심 기술인 ‘자동화된 리버스 엔지니어링 기술’이 무해화할 수 없는 영역에서 발생할 수 있는 취약점을 좀 더 정확하고 신속하게 분석·진단할 수 있도록 고도화 작업을 진행하고 있다.

지난 2015년 9월 설립해 비즈니스를 시작한 시큐레터는 국내 공공기관, 금융권, 기업 등에 지능형 이메일 보안 솔루션 SLE(구축형), SLES(구독형)을 공급하면서 시장 내 가능성을 확인했으며, 이를 기반으로 향후 빠르게 시장 점유율을 늘려나간다는 계획이다. 실제 BNK부산은행은 시큐레터의 이메일 보안 솔루션 MARS SLE를 도입해 행위 기반 APT 솔루션이 탐지하지 못하는 문서 파일에 대한 보안을 강화했다고 발표했다.

시큐레터는 2023년 SaaS형 이메일 보안 서비스를 출시해 본격적으로 시장 확대 가속화에 나설 방침이다. 뿐만 아니라 보안 전문 글로벌 파트너십을 확보한 동남아, 중동 시장을 중심으로 해외 시장도 적극 공략해 미국, 유럽으로도 시장을 점차 확대할 계획이다.

◆ 크리니티

“메일 솔루션과 이메일 보안 솔루션을 모두 가진 기업”

자체 개발한 고성능 메일처리 엔진 보유

크리니티는 20년 이상 스팸메일 보안 솔루션을 고객사에 제공하고 있으며, 특히 국내에서 유일하게 이메일 솔루션과 이메일 보안 솔루션 라인업을 모두 가진 기업이라고 소개하고 있다.

크리티니는 △메일서버로 들어오는 스팸 메일과 해킹 메일을 차단하는 스팸차단 솔루션인 ‘스팸브레이커(SPAMBREAKER)’와 △메일 서버에서 외부로 나가는 이메일 내의 중요정보나 개인정보를 차단 및 승인하는 이메일 DLP 솔루션인 ‘메일브레이커(MAILBREAKER)’를 보유하고 있다. 크리니티 측은 특히 스팸브레이커의 경우 국내 스팸차단 솔루션 중 최초로 이메일 보안 국제표준기술(SPF, DKIM, DMARC)을 모두 적용해 CC인증을 획득했으며, 이메일 솔루션과 함께 많은 고객들이 도입해 사용하고 있다고 강조했다.

또한 크리니티는 기업의 컴플라이언스에 대응하고 예기치 않은 이메일 유실에 대비하기 위한 이메일 아카이빙 솔루션 ‘크리니티 아카이빙(Crinity ARCHIVING)’을 자체 개발했으며, 특히 고유의 데이터 중복제거 기술을 적용해 최대 70%의 스토리지 용량을 절감할 수 있는 장점도 제공한다.

스팸브레이커, 메일브레이커, 크리니티 아카이빙 등 모든 제품들은 크리니티가 자체적으로 개발한 고성능 메일처리 엔진에 기반한다. 해당 엔진은 드림위즈 포털과 공직자 통합메일 시스템 등과 같은 대량의 메일 트래픽 환경에서 이미 검증된 바 있다.

이메일 솔루션 ‘크리니티 메시징(Crinity MESSAGING)’과 스팸차단 솔루션 ‘스팸브레이커’를 함께 운영하면 의심스러운 악성메일들을 사용자가 쉽게 판별할 수 있도록 도와주므로 해킹에 노출될 확률을 낮춰준다. 또한 크리니티 고유의 특허기술을 적용해 메일 박스로 유입된 악성파일을 일괄적으로 회수해 사용자가 열어볼 수 없도록 함으로써 악성파일로 인한 피해를 최소화할 수 있는 장치도 함께 제공한다. 지능적인 이메일 APT 공격에 대응하기 위해 KT, 시큐레터와 협약을 체결해 좀 더 고도화된 이메일 보안 체계를 제공할 수도 있으며, 클라우드 환경과 온프레미스 환경에서 모두 적용이 가능하다.

이메일 필터링 기술, 자체 악성정보 DB, 동적/심층 분석 서비스 결합

오래된 공격 기법이자 아직도 성행하고 있는 이메일 피싱 공격을 위해 공격자가 사용하는 IP와 URL들은 그 수명 주기가 점점 짧아지고 있다. 과거 수개월이었던 것이 최근에는 몇 시간 정도의 수명주기를 가지는데, 이는 다양한 클라우드 사업자(CSP)와 인프라 확장에 따라 공격자가 활용할 수 있는 가용 자원이 그만큼 많아졌기 때문에 가능한 것으로 보인다고 크리니티 임창완 이사는 분석했다.

임창완 이사는 “이처럼 공격에 사용되는 IP와 URL 등의 수명주기가 줄어들었다는 것은 특정 해킹단체나 악성 IP 주소를 차단하는 보안 전략 및 기법을 회피할 수 있는 시간이 늘어났다는 의미이며, 그만큼 엔드유저들이 보안 위협에 노출돼 있다고 볼 수 있다. 빠르게 변화하는 보안 위협으로부터 고객을 보호하기 위해 크리니티의 스팸차단 솔루션 ‘스팸브레이커’는 고유한 이메일 필터링 기술 기반 위에 자체적인 악성정보 DB를 구축하고 이메일에 대한 동적/심층 분석 서비스를 결합하는 등 적극적으로 대응하고 있다”고 설명했다.

크리니티 임창완 이사는 “악성메일을 사전 차단하거나 열람할 수 없도록 하는 부분은 이미 특허를 받은 상태다. 이외에 AI 기능 분석 플랫폼과 연계해 신규 AI 위협모델을 생성하고, 학습을 통해 발견된 위협을 실시간 배포함으로써 위협에 노출되는 시간을 줄이는 방향으로 제품을 고도화하고 연구하고 있다”고 말했다.

크리니티는 또한 현재 29개의 클라우드 서비스(SaaS) 고객이 ‘이메일 심층 분석 및 차단 서비스’를 이용하고 있다고 밝혔다. 이메일 심층 분석 및 차단 서비스를 통해 일반적인 스팸 차단 필터에 걸리지 않는 비패턴 악성 메일에 대한 필터링을 지원함으로써 사용자에게 보다 안전한 메일 서비스를 제공할 수 있게 됐다는 설명이다. 특히 해외에서 발송한 스캠(scam) 메일은 일반 스팸 패턴으로 필터링을 하기 어려우나, 이메일 심층 분석 및 차단 서비스를 통해 스캠 메일 유입을 차단하고 이메일 보안을 강화할 수 있게 됐다고 회사 측은 덧붙였다.

향후에도 크리니티는 지속적으로 연구 개발을 통해 신규 위협에 대응할 수 있도록 제품을 고도화하고, 교체 수요가 있는 고객사 위주로 영업을 진행하면서 2023년에는 만족하는 서비스를 할 수 있는 제품이 되도록 노력한다는 계획이다.