안심메일 NESS, 뭐가 다를까

아쉽게도 '악성메일을 차단하는 완벽한 방법' 이란 아직까지 없습니다. 인류가 백신없이 바이러스에 대응하기 어려운 것과 비슷합니다. 따라서 기업은 실행가능한 모든 방법을 동원해 APT솔루션을 도입하고, 항상 최신의 사이버보안 패치로 소프트웨어를 업데이트하며, 주기적인 사이버보안 교육을 통해 모든 사용자가 능동적으로 대응할 것을 권장하고 있습니다. 하지만 사용자는 여전히 불안해하며, 대규모 피해 사례가 보고되고 있습니다. 왜일까요? 오늘날의 사이버 범죄집단은 매우 조직적이고 지능화되어 위장메일에 끼워넣는 미끼만도 자격증명, 피싱, 파일첨부, 가짜 링크 및 랜딩페이지, 악성 코드 등 지극히 일상적이고 다양합니다. 또 잠복기도 점점 길어지고 있어서(최근 중국 APT그룹은 10년 간 리눅스 서버에 침투했다는 기사가 있을 정도) 언제 어느 경로로 감염되었는지 알기 어려운 실정입니다. 사용자가 의심스러운? 메일을 100% 잘 판별할 수 없다면 새로운 차원의 메일보안솔루션이 긴요한 때입니다. SK네트웍스서비스 클라우드솔루션영업팀의 원픽, AI기반 안심메일솔루션 NESS에 대해 알아봅니다.

1,1 데이터 무해화 처리

1.2 AI가 분류하는 안심메일

1.3 어떻게 혼합하든, 압축하든

---

1.1 데이터 무해화

---

'의심스러운 메일은 열어보지마시고...' '식별할 수 없는 발신자는...' 으로 시작하는 보안경고는 다시말해 1. 이 콘텐츠는 합리적인 의심이 필요한 raw 파일이며 2. 콘텐츠의 악성유무는 사용자도 잘 판단하셔야 합니다. 라고 말하는 것과도 같습니다. 기존의 메일보안 솔루션이 '사전 감지' 아닌 '사후 대응' 에 무게를 두고 있음을 의미합니다. 따라서 이제 메일보안솔루션을 고려한다면 예방 기능 유무도 반드시 고려해야합니다.

여기 글로벌 IT리서치기관인 가트너(Gartner)에서도 권고하고 있는 '예방' 기능이 있습니다. 바로 데이터 무해화, 또는 CDR (Content Disarm & Reconstruction) 이라고도 합니다. 첨부파일에 대한 위변조를 탐지하고 콘텐츠 손상 여부를 식별하고 복구하는 기능입니다. 또 파일 내 포함된 유해 코드를 원천 제거해 악성공격을 사전에 차단하기도 합니다. 데이터 무해화 처리 과정은 메일이 사서함에 최초 도착하는 시점부터 사용자가 '새로운 메일 1개가 도착했습니다' 라는 알람을 받아보기 전까지 일어나는 일로 한마디로 콘텐츠 정밀 검증을 위해 분해했다가 다시 재구성하는 과정입니다. 

<콘텐츠가 최초 도착해서 안읽은메일 1이 뜨기까지 NESS가 하는 일>

1. 파일형태로 유입되는 악성코드/랜섬웨어 차단

2. 헤더와 확장자의 정합성을 체크하고 암호화된 문서 확인

3. 파일 포맷 특성 파악, 손상부분 식별 및 복구

4. 파일 내 신변종 악성행위 유해성 제거하고 콘텐츠 재구성

5. 수신자 메일 확인

---

1.2 AI가 분류하는 유해행위

---

데이터 무해화(CDR) 과정을 거치고도 NESS가 또 하는 일이 있으니 바로 '화이트리스트 작성' 입니다. NESS는 각 메일 계정 별로 DB를 구축하고 도착하는 메일에 대해서 정상 vs 비정상메일로 분류합니다. 도메인 위변조, 발신경로 변경 등의 패턴이 감지되는 메일을 비정상메일로 분류하고 정상메일에 대해서는 특성을 파악하고 스스로 공부합니다. 정상으로 분류한 화이트리스트를 DB로 분류하는데 이 DB는 각 메일을 발신자 주소, 위변조 검사 및 추적 히스토리, 유사도메인 비교검사 등의 항목을 포함하고 신뢰도를 수치화합니다. 기존의 메일보안솔루션이 축적된 데이터를 기반으로 의심스러운 메일에 대해 수신자가 열어보기 전 알람(경고)를 보내는 기능애 주력했다면 NESS는 한 단계 나아가 정상메일에 대해서 스스로 공부하고, 정상과 비정상 데이터 모두를 바탕으로 일정기준 이상이면 수신자가 열람할 수 있도록, 기준 미달이면 자동 차단하도록 설계되었습니다. 즉 사용자가 직접 악성 콘텐츠 유무를 판별할 필요가 없습니다.

---

1.3 어떻게 혼합하든, 압축하든 

---

최근 몇 년동안 검거된 대규모 사이버범죄조직의 두드러진 공통점 중 하나는 공격 행위가 짧게는 몇 년에서 길게는 몇 십 년까지 장기 프로젝트화된 점입니다. 들키지 않고 야금야금 정보를 갈취하는 것도 큰일이지만 애초에 정상 파일인냥 위장하고 잠복하고 있기때문에 판별 자체에 어려움이 있습니다. 

그림처럼 실제 첨부파일은 워드 문서이지만 여러 번에 걸쳐 서로다른 확장자를 이용해 압축하는 방법으로 CDR '탐문'을 피해가기 때문에 CDR(데이터 무해화 처리) 과정에서도 발견이 쉽지 않을 수 있습니다. 따라서 CDR 기능이 있는 메일보안솔루션이라고해도 반드시 다양한 파일 확장자를 지원하는지까지 따져보는 것이 좋습니다. NESS를 선택해야 하는 세 번째 이유는 문서파일, 검사파일, 웹파일은 기본이고 BMP, JPEG, GIF와 같은 이미지 파일만 17종을 지원하고 압축파일은 외산제품이 지원하지 않는 EGG, ALZ까지 포함해 zip, gz, tar, 7z 등 10종을 지원합니다. 어떤 혼합형태로 몇 번을 압축하더라도 빠져나갈 수 없기 때문에 한 층 업그레이드 된 보안 방식이라고 할 수 있겠습니다.

이외 대부분의 메일보안솔루션이 가지고 있는 관리 및 분석 기능을 포함한 NESS의 전 기능은 하기 영업담당자를 통해 문의하실 수 있습니다. 현재 많은 기업에서 APT솔루션을 사용하고 있지만 히스토리가 없는 블랙리스트에 여전히 취약하다는 점과 신변종 악성 코드에 집중하다보니 정상메일에 대한 DB가 부재한 점을 약점으로 꼽습니다. NESS는 기존 솔루션의 한계를 보완하면서도 스스로 DB를 구축하고 학습하는 방식으로 앞으로도 계속될 사이버범죄에 능동적으로 대처할 것입니다.

▶AI기반 안심메일솔루션 NESS e광고 다시보기

---

NESS 안심메일솔루션 문의 I

SK네트웍스서비스 클라우드솔루션영업팀 이재인 매니저

전화: 070-4755-9220

이메일: jilee911@sk.com