[아이티데일리] 이메일을 통한 사이버 공격은 많은 기업 임직원들이 하루에도 많게는 수십 번씩 마주하는 현실감 있고 직접적인 위협이다. 특히 이미 이메일 보안 시스템을 갖춘 일정 규모 이상의 기업들보다는 중소 규모 기업들이 피해 대상이 될 확률이 높다. 비용 부담이나 실제 효용성 등의 이유를 들어 이메일 보안을 갖추지 않은 경우가 많기 때문이다. 하지만 해가 지날수록 사이버 공격이 폭발적으로 늘어나고 한층 더 교묘해지는 상황에서, 가만히 손 놓고 있다가는 소중한 개인정보와 비즈니스 데이터를 잃고 소 잃고 외양간 고치는 후회스러운 상황이 발생할지도 모른다. 국내에서 관련 솔루션 사업을 하고 있는 전문 기업들을 통해 이메일 보안의 중요성과 솔루션 도입 시의 장점을 들어본다.

비실행 파일의 보안 위협 탐지·분석·진단·차단에 강점

시큐레터는 보안 솔루션 개발 전문 기업으로, 이메일 등을 통해 유입되는 비실행 파일(Non-PE: PDF, 워드, 엑셀, 한글 등 자체 실행이 되지 않는 파일)을 통해 유입되는 보안 위협을 탐지, 분석, 진단, 차단하는 솔루션을 공급하고 있다. 회사의 이메일 보안 제품 및 서비스는 △구축형 이메일 보안 제품 ‘MARS SLE(SecuLetter Email Security)’ △구독형 이메일 보안 서비스 ‘MARS SLES(SecuLetter Email Security Service)’ 등 2가지로 구분된다.

MARS SLE는 구축형 이메일 보안 제품으로, 이메일로 유입되는 보안 위협을 탐지·차단하는 솔루션이다. 이메일로 유입되는 비실행형 파일 형태의 보안 위협에 특화된 기술로 알려지지 않은 공격까지 사전에 탐지해 방어한다.

MARS SLES는 구독형 이메일 보안 서비스로, 하드웨어 제품 구매 없이 이메일 보안 솔루션을 이용할 수 있다. 상용 이메일 솔루션 및 클라우드 이메일 서비스와 연동이 가능해 이메일 시스템 변경 없이 신속하게 구축/적용할 수 있고, 초기 도입 비용이 낮아 기업용 메일 서비스를 사용하는 중소기업에서 이용하기에 부담이 없다는 게 장점이다.

위협 분석, 콘텐츠 무해화, 자동화된 리버스 엔지니어링 기술 기반

시큐레터의 핵심 기술인 MARS 플랫폼은 기존 시그니처 기반 솔루션과 행위 기반 APT 보안 솔루션들의 단점을 극복하는 시큐레터의 핵심 진단 기술 3가지를 포함한다. 먼저 위협 분석 기술은 콘텐츠 식별 및 구조를 분석하는 것으로 자체 진단/분석 경험 및 노하우와 시그니처 조회, 실행(PE) 파일 진단 등의 응용 노하우가 축적돼 있다.

또한 콘텐츠 무해화(CDR) 기술은 첨부파일(문서)의 위협 요소를 제거하고 안전한 문서로 재조합하는 기술로, 수신자에게 안전한 파일을 전달해 제로 트러스트를 구현한다.

마지막으로 디버거 분석 기술은 자동화된 ‘리버스 엔지니어링(Reverse Engineering)’ 기술로 이메일 첨부파일의 위협(문서 취약점 등)을 명확하게 분석하고 진단한다. 악성코드 분석가의 기술이 자동화된 핵심 기술이라고 할 수 있다.

시큐레터에 따르면 일반적인 무해화 엔진의 경우 문서 내 매크로, 링크 등 위협 요소를 99% 제거하지만 본문, 폰트 등 필수 데이터의 취약점을 이용한 1%의 위협 요소를 남기게 되며, 리버싱 엔진의 경우 문서의 취약점 분석 및 진단해 차단할 때 99%는 탐지하지만 1%의 미탐이 발생한다.

하지만 시큐레터는 무해화 엔진과 리버싱 엔진을 결합해 악성코드를 진단하고 분석하기 때문에 효과적으로 악성문서를 차단할 수 있다고 설명한다. 악성 문서 100개에 대해 진단을 할 경우 리버싱 엔진을 이용해 악성코드를 분석/진단한 후 차단하고, 무해화 엔진을 이용해 위협 요소를 제거하기 때문에 안전한 파일만 전달할 수 있어 보다 안전한 이메일 서비스를 이용할 수 있다는 것이다.

MARS 플랫폼이 탑재된 시큐레터의 이메일 보안 제품은 중소벤처기업부로부터 ‘우수연구개발 혁신제품’으로 지정된 바 있으며, 과학기술정보통신부로부터 ‘우수정보보호기술’로 지정됐고 2022년 ‘글로벌 ICT 미래 유니콘 기업’으로 선정돼 대외적으로 기술의 차별성과 품질 경쟁력을 인정받았다.

시큐레터의 MARS 플랫폼 기반 솔루션은 △이메일 첨부파일의 악성코드 분석 △이메일 본문에 삽입된 다운로드 링크를 통한 파일의 악성코드 검사 △악성코드로 판단된 메일에 대한 관리자 알람 및 설정을 통한 재전송 △악성코드 탐지 결과 상세 리포트 제공 등의 기능을 갖고 있으며 빠른 속도와 높은 진단율, 높은 확장성을 특징으로 한다.

시큐레터의 보안 솔루션은 독자적으로 개발한 리버스 엔지니어링 기술을 통해 어셈블리 레벨에서 악성 여부를 탐지하는 제3세대 악성코드 진단기술을 사용하고 있어 행위 기반 솔루션에 비해 속도가 빠르다. 기존 행위기반 솔루션의 경우 행위가 일어나지 않을 시 탐지가 불가하기 때문에 여러 형태의 가상환경에서 행위를 분석하므로 진단시간이 오래 걸린다는 단점이 있다.

높은 진단율도 특징이다. 자동화된 독자적 리버스 엔지니어링 기술을 통해 이메일 첨부파일을 통해 들어오는 콘텐츠를 매개로 하는 보안 위협들, 즉 PDF, 워드, 엑셀, 한글 등의 비실행 파일을 통해 유입되는 보안위협 진단에 강점을 보유하고 있다. 자동화된 진단 알고리즘으로 알려지지 않은 보안 위협들을 실시간으로 정확하게 탐지하고 차단한다.

마지막으로 다양한 보안 제품과의 유기적인 통합이 용이한 높은 확장성도 장점이다.

2023년 SaaS형 이메일 보안 서비스 통해 시장 확대 가속화

시큐레터는 최근 화두가 되고 있는 ‘제로 트러스트(Zero Trust)’ 모델이 이메일 보안에도 필요하다고 이야기한다. 전송부터 수신까지 전 과정에 대한 신뢰 개념을 제거하고, 항상 검증하는 것으로 △전송 단계에서 메일 작성자에 대한 인증 △이메일을 전송하는 네트워크 단계에서는 데이터 암호화 △수신 단계에서는 메일 서버에 대한 신뢰여부 검증(DKIM, DMARC, SPF 등) △메일 첨부파일에 대해서는 위협 검사 및 차단 △수신한 엔드포인트에서는 첨부파일 검사 등을 적용해야 보다 안전한 이메일 보안을 구성할 수 있다고 말한다.

시큐레터는 이러한 보안 패러다임에 맞춰 문서 파일에 대한 신뢰 개념을 제거하고 ‘모든 파일은 위협 요소가 있다’는 가정 하에 첨부파일 무해화(CDR) 기능을 연구·개발해 서비스하고 있다. 또한 기존 핵심 기술인 ‘자동화된 리버스 엔지니어링 기술’이 무해화할 수 없는 영역에서 발생할 수 있는 취약점을 좀 더 정확하고 신속하게 분석·진단할 수 있도록 고도화 작업을 진행하고 있다.

지난 2015년 9월 설립해 비즈니스를 시작한 시큐레터는 국내 공공기관, 금융권, 기업 등에 지능형 이메일 보안 솔루션 SLE(구축형), SLES(구독형)을 공급하면서 시장 내 가능성을 확인했으며, 이를 기반으로 향후 빠르게 시장 점유율을 늘려나간다는 계획이다. 실제 BNK부산은행은 시큐레터의 이메일 보안 솔루션 MARS SLE를 도입해 행위 기반 APT 솔루션이 탐지하지 못하는 문서 파일에 대한 보안을 강화했다고 발표했다.

시큐레터는 2023년 SaaS형 이메일 보안 서비스를 출시해 본격적으로 시장 확대 가속화에 나설 방침이다. 뿐만 아니라 보안 전문 글로벌 파트너십을 확보한 동남아, 중동 시장을 중심으로 해외 시장도 적극 공략해 미국, 유럽으로도 시장을 점차 확대할 계획이다.