[Trellix] 어떤 이메일 보안 솔루션을 사용해야하나?_피싱메일, 악성메일에 대하여

안녕하세요 다온기술입니다. 지난 포스팅에서 왜 이메일은 아직도 공격에 유용하게 사용되고 있는건지 설명해드렸습니다. 오늘은, 그래서 어떤 이메일 보안 솔루션을 사용해야하나? 에 대한 주제로 발표 내용을 리뷰해보려합니다. ​

>지난 포스팅:

왜 이메일은 아직도 공격에 유용하게 사용되고 있나?_사칭메일

보러가기

​

현재 기업에서 사용하고있는 이메일 대응 솔루션이 적절하게, 또는 정확하게 작동하고 있는지 살펴볼 필요가 있습니다. 예를들어

1. 멀웨어나 피싱사이트로 유도하는 URl을 잘 막고 있는가?

2. 경영진을 대상으로 하고 있는 타겟팅된 스피어피싱을 잘 막고 있는가?

3. 이메일 공격을 우리 기업의 인프라 안에서 함께 대응할 수 있도록 다양한 이벤트들을 수렴하고 있는가?

4. 이메일 공격 대응 시 과탐 또는 오탐은 하고 있지 않은가?

5. 기존에 사용하던 온프레미스에 있는 시스템을 클라우드로 마이그레이션 하는 과정에서 서포트 할 수 있는가?

이렇게 다양한 부분에 직면해있는 위협에 현재 사용중인 솔루션이 적절하게 대응하고 있는지 한번 살펴보아야 합니다. 이메일 위협에 '제대로' 대응하기 위해선 모든 과제에 대한 해법이 필요할 것입니다. ​ ​

• 일반적으로 스팸메일 서비스라고 하면 스팸이나 악성코드를 어느정도 잘 잡아줍니다.

• 그러나 우리가 원하는 공격에 대응하고 있는가? 뛰어난 탐지기능을 제공하고 있는가?

• 우리가 마이그레이션 해야하는 클라우드 서비스와 통합적으로 쉽게 연동이 되는가?

에 대한 고민도 필요합니다.

​ 이런면에서 Trellix의 Email security는 다양한 악성코드 위협, 또는 악성 URL 에 대응할 수 있는 솔루션입니다. ​ ​ ​ 악성코드와 악성 URL을 직접 분석해서 탐지효율을 극대화시키고 여러분들께 안전한 이메일을 제공할 수 있도록 합니다. ​ 또한 탐지되는 내용을 가지고 대응하는 과정에서 조금 더 혁신적인 대응을 하기 위해 실제 악성메일이 탐지되기 전에 조치를 취할 수 있는 기능을 제공하기도 합니다. ​ 다양한 솔루션들과 통합 관리할 수 있도록 정보를 제공하기도 하고 기본적으로 이메일 게이트웨이 역할을 할 수 있는 클라우드 saas서비스를 제공하기 때문에 인바운드, 아웃바운드 이메일 모두 관리가 가능합니다. 특히 인바운드 메일은 악성코드 분석을. 그리고 아웃바운드 이메일은 다양한 이메일에 대한 DLP 기능을 수행할 수 있습니다. ​ ​ ​

​ URL은 상황에 따라 장비가 분석하기 어려운 경우도 있습니다. 흔히 생각해서 대용량 첨부파일을 분석하는 과정을 예를 들었을 때 사람은 클릭-다운로드-분석 이라는 단순한 과정일 뿐이지만 사람이 아닌 기계로서는 이것이 URL인지 분석하는 것 부터 어렵습니다. ​ ​

딥러닝 기능들을 활용해서 사용자들을 로그인하게 만드는 url 피싱페이지를 사전에 분석하고 그 정보를 통해 대응하는 시스템입니다. M365 로그인페이지를 보면 픽셀이 깨지거나 이미지가 이상한 경우가 발생하는데 이게 바로 피싱, 악성페이지입니다. ​ 피시비전이 사전에 학습해서 이 페이지가 악성이구나 또는 피싱에 가깝구나 라는것을 사전에 탐지하고 제어하는 기능을 제공하고 있습니다. ​

크라켄Kraken 이라는 머신러닝을 기반으로하며 기존에 알려져 있던 정보들을 토대로 사전분석을 진행합니다. 어느 정도 데이터베이스를 가지고 있는 상태에서 새로운 페이지가 릴리즈 되었을 때 이미 알려졌던 피싱사이트와 유사성이 있는지 분석합니다 (URL ,사이트 이미지, 사이트 코드 등이 포함) ​ 분석하고 비교하여 사용자나 솔루션이 놓치는 것을 최소화하기 위한 머신러닝 알고리즘입니다. ​

앞서 말씀드린 머신러닝의 데이트 소스입니다. 트렐릭스에서 수집하는 URL 만을 분석하지 않는 것이 아닌, 트위터, 바이러스토탈, 다양한 인텔리전스 서비스를 활용하여 분석하고 분석된 데이터는 학습된 엔진에 투입됨으로 학습된 엔진이 좀 더 지능화된 악성코드를 잘 탐지할 수 있도록 기능을 개선하고 있습니다. ​ 이렇게 만들어진 데이터들을 우리가 알고있는 멀웨어나 피싱들과 매칭함으로서 정확도를 높여 이런 정보를 고객들에게 제공함으로서 좀 더 안전하게 메일을 사용할 수 있도록 서비스를 구현하고 있습니다. ​ ​

​

우에서 소개들인 기능들에서 실제 가장 많이 하는 것이 사칭탐지 입니다. 사칭탐지라는 것은 단순히 URL에서 좀 더 나아가야합니다. ​ 왜냐면 사칭이라는 말은 결국 어떤 컨텐츠 안에 숨어들었다는 것이고, 컨텐츠 안에 우리가 놓치는게 무엇인지 좀 더 면밀하게 살펴보아야합니다. ​ 예를들어 이메일 주소의 한글자, 중간글자를 숫자로 바꾼 형태의 메일이 유입되었을 때 이 도메인 자체가 새로 만들어진 것인지 확인해볼 수 있고 모양이나 발음이 유사한지 체크해볼 수 있습니다. 또는 메일의 회신 주소를 확인해서 사칭메일을 탐지하기도 합니다. ​ ​ 간혹 메일에 보이는 이름과 실제이름이 다른경우도 많습니다. 이름이 John이지만 J0(숫자)hn 으로 사용하기도 하는것이죠. ​ 이런 식으로 사용자가 오해하기 쉬운 내용이 표시되기도 하는데 이런 부분에서 일치 여부를 검색하거나 CEO 사칭은 아닌지 탐지하는 기능이 지금까지 앞서 말씀드린 기능들입니다. ​ ​ ​

​

Trellix는 공격자보다 앞서 있습니다. ​

트렐릭스는 2022년 4분기에만 100만 건 이상의 회피 시도를 보았습니다. 이 공격은 브라우징 IP를 샌드박스 또는 비타겟 지역으로 간주하여 합법적인 사이트를 표시하려고 시도했습니다. 결과적으로 다양한 회피시도들은 우리에게 데이터로 누적이 될 것이고 앞으로도 진화될 것입니다.

​ ​