인공지능으로 제작된 피싱메일을 차단하는 전문 솔루션
기관과 기업에서는 안전한 환경을 유지하기 위해 많은 노력을 기울이고 있습니다. 하지만 예산 부족과 같이 현실적인 문제에 부딪히거나 정보의 불균형으로 더 나은 선택을 결정하는 것에 어려움을 겪고 있습니다.
보안에 꾸준하게 투자하지만, 이용자가 느끼는 ‘만족스럽지 않은 이유’를 찾기 전에 근본적인 원인을 먼저 짚고 넘어갈 필요가 있습니다.
꾸준하게 시도되는 위협과 보안 흐름의 변화
보안 위협은 누가, 언제, 어떤 목적으로 시도하는지 알기 쉽지 않습니다. 그럼에도 기관과 기업은 많은 비용을 들여 다양한 방식으로 탐지하고 대응합니다.
최근 들어 경계 기반 보안 모델에서 제로 트러스트 보안 모델로 그 트렌드가 변화되고 있습니다. 이 흐름을 다르게 해석하면 오랜기간동안 끊임 없이 위협 받고 있던 기존 경계 기반 보안 모델의 한계가 드러났고 그 한계를 새로운 보안 모델로 해결할 수 있다는 의미입니다.
경계 기반 보안 모델
경계 기반 보안 모델의 한계이자 약점으로 언급되고 있는 요소는 한번 인증된 섹션을 계속해서 신뢰한다는 것에 있습니다. 특히 보안 망 구성을 구현한 환경에서 최초 인증(로그인 등) 이후부터는 내부 망에 존재하는 대부분의 시스템에 접근할 수 있습니다.
제로 트러스트 보안 모델
정상 사용자라도 리소스에 접근할 때마다 인증을 수행해야합니다. 같은 망에 속한 시스템이라도 그 인증 방식을 서로 다르게 설계할 수 있기 때문에 리소스가 필요한 사람 이외에 실수라도 접근할 수 없는 특징을 가집니다.
제로 트러스트 보안 모델을 가까이 살펴보면 경계 기반 보안 모델을 각각의 시스템이나 리소스(정보)에 세밀하고 강력한 인증 기능을 적용한 모델이라 해도 과언이 아닙니다. 이미 구축한 경계 기반 보안 모델이라면 제로 트러스트 보안 모델을 추가하면서 더 강력한 보안 환경을 구성할 수 있습니다. (안방 문의 잠금장치를 설치했다고 해서 집 대문을 허물 필요는 없습니다.)
다시 돌아와서, 누가 언제 어떤 목적으로 정보를 추출하는지 우리는 여전히 알기 어렵습니다. 하지만 적어도 한번 보호막을 뚫었다해서 이전처럼 망 내부 모든 시스템에 접근하기 매우 어려워지는 방향으로 보안 트렌드가 변화하고 있는것은 사실입니다.
보안 망보다 중요한 근본적 원인
알게 모르게 우리 일상에 녹아들어 지금은 흔하게 느껴지는 보안 용어들이 있습니다. 그 중 기관과 기업에 끊임 없이 위협하고 그 피해가 언론 등에 많이 노출되었음에도 불구하고 그 의미를 낮게 평가하는 경향이 있습니다. 바로 ‘피싱(Phishing)'입니다.
이 단어는 이제 누구나 알 정도로 익숙해진 용어로 정상적인 서비스인척 속여 사용자가 특정한 행동을 하도록 유도합니다. 하지만 많은 사람들이 오해하고 있는 내용 중 하나로 피싱은 그 자체로 끝난다는 겁니다.
피싱의 사용 매커니즘을 이해한다면 결코 가볍게 넘기기 어렵습니다. 그 후속 피해가 심하면 국가적 운영 시스템을 마비 시키는 최초의 원인이 되기 때문입니다. 피싱을 대응하는 많은 사람들은 이를 가볍게 넘기지만 않는다면 이전과 비교할 수 없는 수준으로 보안 사고가 줄어들 것입니다.
“지금 시대가 어떤 시대인데, 이걸 속는 사람이 있단 말이야?”
지난 오랜시간 동안 피싱을 대하는 사람들은 이런 반응이었습니다. 지금 시대가 어느 시대인데 이런 허접한 글에 속아 넘어가느냐고 핀잔을 들을 때도 있었습니다. 당시만 해도 이 허접한 글에 기관이나 기업의 임직원들의 부주의로 인한 크고 작은 보안사고가 발생하기도 했습니다.
“지금은 어떤 시대입니까? AI가 컨텐츠를 만드는 시대입니다.”
지금의 인공지능의 능력은 글, 그림 그리고 영상까지 만들어 내는 수준까지 성장했습니다. 그리고 많은 사람들이 이를 이용하고 있기도 합니다. 각종 AI 기능을 이용하면 영어를 할 줄 몰라도 원어민 수준의 장문의 글을 쓰고 일본어와 중국어를 할 줄 몰라도 간단한 애니메이션 영상을 제작할 수 있습니다.
그리고 기관과 기업을 흉내내어 가짜 사이트, 가짜 문서, 가짜 인물을 만들어 내는 것이 가능한 시대가 되었습니다. 그리고 우리는 이를 구분해 낼수 있을지 스스로 생각해 보아야합니다.
결국 위협은 사람에게서 나옵니다
우리는 대부분 보안 관리자가 인증 정보처럼 민감한 정보를 안전하게 관리할 것이라 믿습니다. 그들의 중요한 업무 중 하나기 때문입니다.
그렇다면 시스템에 접근할 수 있는 사용자들 어떨까요? 우리 바로 옆에 일하는 동료들도 인증 정보를 안전하게 관리하고 있을까요? 더 나아가 우리 기관 또는 기업 전체 인원이 안전하게 관리하고 있을까요?
누가 어떤 정보를 취급하고 있는지 처음부터 알기 어렵습니다. 하지만 아주 손쉬운 방법이 있습니다. 바로 앞서 설명한 ‘피싱’‘을 이용하는 겁니다.
과거와 같이 허접한 피싱이 아닙니다. 우리가 첩보 영화에서나 볼법한 정밀한 작전을 단계별로 수행하듯이 조금씩 정보를 수집합니다. 그리고 그 끝에는 수집된 정보를 결합하여 인증 정보 등 원하는 정보를 얻어 냅니다.
소셜 엔지니어링
사람의 심리적 약점이나 신뢰를 바탕으로 민감한 정보를 탈취하는 공격 기법으로 알려져 있습니다. 하지만 그 위험 수준이 저평가 되어 있습니다. 치명적인 취약점이나 제로데이 공격 만큼이나 매우 위험한 공격 기법인데도 불구하고 그 중요성을 이해하지 못합니다. 보안 업계 종사자가 이 용어를 모르는 경우도 있습니다.
대신 사기, 사칭 등으로 불리면서 다른 위협(취약점, 제로데이 등) 보다 덜 중요하게 느끼는 표현을 사용합니다. 국가적 보안 사고를 일으킬 수 있는 원인을 마치 잠깐 지나가는 이슈 정도로만 취급해서는 안됩니다.
이 소셜 엔지니어링을 이용한 위협은 언제나 사람을 대상으로 합니다. 그리고 사람으로부터 다양한 정보를 받아냅니다. 그 정보가 개인적인 사생활 정보건 기관(기업)의 기밀 정보건 어떤 종류든 관계 없습니다.
받을 수 있는 정보는 모두 받아 내고 그 속에 수 많은 비용을 들여 구축한 보안 시스템을 통과할 수 있는 정확한 인증 정보가 있는지 확인합니다. 만일 그 인증 정보가 있다면 그때부터 시스템 침투가 이루어 집니다.
피싱 메일이 강력한 공격 도구인 이유
앞선 설명으로 이미 눈치챘을 테지만, 피싱 메일이 강력한 이유를 아래 설명합니다.
소셜 엔지니어링의 강력한 도구 : 피싱 메일
피싱 메일은 수많은 스팸 메일 사이에 교묘하게 숨어서 발송됩니다. 마치 광고 메일인 것처럼 발송되거나 관공서나 협력 기업 또는 유명 서비스 담당자로 위장하여 접근합니다.
단순하게 비슷한 도메인을 이용하는 방식의 공격이 아닙니다. 피싱 공격에는 정상적인 도메인 링크를 사용하다 사용자가 익숙해질 때쯤, 다른 도메인으로 연결하는 방법 등 다양한 방법이 존재합니다. 사람을 속이기 위한 모든 방법이 IT 보안 영역에만 있는 것이 아니기 때문입니다. (신뢰를 쌓기 위해 소통하는 과정은 어디에서나 사용하는 방법입니다.)
장시간 사건없이 조용하게
기관과 기업이 장시간 사건이 없다고 안심할 수 없습니다. 대부분의 보안 사고는 이미 공격이 끝나고 중요한 정보나 피해가 발행한 결과입니다. 내부 정보를 충분히 수집하고 어떤 보안 장치를 우회할지 계획을 준비하고 실행하기 전까지는 사건없이 조용히 시간이 흐를 수 밖에 없습니다.
한쪽으로만 쏠린 보안 투자
피싱 메일은 이름에서도 알 수 있듯이 이메일 시스템을 통해 전송됩니다. 다르게 말하면 언제든지 보낼 수 있는 공격 통로를 이용한다는 의미입니다. AI 기술로 더욱 여유로워진 공격자와 달리 기관과 기업은 강력한 보안 시스템을 전방위로 확장합니다. 그리고 악성코드와 시스템 해킹에 완벽하게 대응하기 위해 천문학적인 비용을 들입니다.
분명 악성코드와 시스템 해킹을 대응하는 것은 올바른 보안 투자가 맞습니다. 다만 한쪽으로 치우친 결과 내부 임직원을 통해 정보가 유출되는 것에도 효과가 있을지 생각해 봐야할 문제입니다.
피싱 메일 대응을 위한 균형있는 보안 투자 전략 (AI based 스팸메일 차단)
피싱 메일을 포함한 수준 높은 스팸메일 차단 시스템을 도입하는 것은 시스템 보안 그 이상의 효과를 가져다 줍니다. 앞서 설명한 것과 같이 기관과 기업의 내부 정보 특히 중요한 정보 유출을 사전에 차단하는 효과를 가지기 때문입니다.
- AI 기술을 이용한 국가별 자연스럽게 번역된 피싱 메일
- 기관/유명 서비스 담당자를 위장해서 전송되는 피싱 메일
- 일반 이메일 소통으로 신뢰를 쌓은 후 발송되는 피싱 메일
그리고 한글을 모르는 공격자가 AI 기술을 이용해 전세계 일괄적으로 발송하는 피싱 메일부터 기관이나 유명 서비스 담당자로 위장해서 접근하는 피싱 메일 그리고 신뢰를 바탕으로 발송되는 피싱 메일까지 이메일을 통해 발생 가능한 위협을 전문적으로 대응할 필요가 있습니다.
인공지능 기술이 스팸차단 솔루션과 결합하여 해결할 수 있는 것들
기존 스팸차단 솔루션은 스팸메일을 찾는 것에 중점을 둔 제품들이 대부분입니다. 하지만 스팸메일로 판단하기 모호한을 메일들이 크고 작은 문제를 일으키고 있습니다.
인공지능 기술은 '업무 메일'과 '비업무 메일'을 분류하는 새로운 방법으로 기존 스팸차단 솔루션의 고질적인 문제를 해결합니다.
'업무 메일'과 '비업무 메일' 분류
'업무 메일'과 '비업무 메일'은 사용자 중심의 분류 방식입니다. 기존 스팸차단 솔루션이 '정상 메일'과 '스팸 메일'로 메일 데이터 중심의 분류 방식과 큰 차이가 있으며 인공지능 기술과 결합된 스팸차단 솔루션은 평소 사용자가 업무를 위해 이용하는 메일을 학습하고 사용자의 업무와 관련 없는 비업무 메일을 탐지합니다.
분류가 어려웠던 메일 (1) - 광고 메일
일괄적으로 '스팸'으로 분류하지 않고 사용자에 따라 '업무 메일', '비업무 메일'로 구분되어 관리됩니다.
- 광고 메일이 업무에 필요한 사용자는 '업무 메일'로 분류되어 정상 사용
- 광고 메일이 업무에 불필요한 사용자는 '비업무 메일'로 분류되어 자동 탐지 및 격리
분류가 어려웠던 메일 (2) - 비동의 메일
사용자의 업무 메일을 학습한 인공지능은 '업무' 특성을 가진 안전한 메일을 차단하지 않고 사용자의 메일함으로 전달합니다. 반대로 위험한 데이터와 비정상적인 요소는 없지만 '업무' 특성과 거리가 먼 메일은 '비업무 메일'로 차단 및 격리하여 쾌적한 사용자 메일 사용 경험을 제공합니다.
- 사용자 업무 메일 '특성'을 가진 메일은 메일함에 수신 또는 발신
- 사용자 업무 메일 '특성'과 거리가 먼 메일은 '비업무 메일'로 차단 및 격리
분류가 어려웠던 메일 (3) - 사기 메일
인공지능 기술은 기존 사기 메일 탐지 기술과 결합하여 진일보한 탐지 효과를 제공합니다. 특히 사용자의 메일 특성과 인문학적, 심리학적 특성 등을 고려하여 고차원적인 탐지 요소를 확인하고 판단합니다.
- 인공지능 기술과 기존 사기 메일 탐지 기술의 결합으로 진일보한 사기메일 탐지 기능 제공
기업을 위한 AI 스팸차단 솔루션 (메일프리즘 AI)
메일 프리즘 AI는 인공지능 기반으로 제작되는 피싱 메일을 탐지 및 차단하고 기업의 쾌적한 이메일 환경을 제공합니다.
기업만을 위한 독립적인 업무 메일 학습 인공지능을 제공하고 모든 임직원은 원활한 '업무 메일'과 이외 '비업무 메일'의 차단 및 안전 격리를 통해 안전하고 쾌적한 기업 이메일 환경을 경험할 수 있습니다.
기업 이메일 학습 AI 모델 기반으로,
오직 솔루션을 도입한 기업만을 위한 독립적인 이메일 학습 인공지능을 제공합니다. 도입 기업 시스템 망에서만 업무메일을 학습하고 관리자는 언제든 학습 현황을 직접 확인할 수 있습니다.
- 이메일 AI 모델
- 기업메일 독립학습
차세대 메일보안 기능으로,
현재 최상위 이메일 보안기술이 포함된 차세대 메일보안 기능은 제로데이, 메일 해킹 등 위험한 메일을 탐지하고 안전하게 격리합니다.
- APT 상시보호 수행
- 이메일 CDR (무해화)
- 램섬웨어 샌드박스
- 웹 안전 링크(세이프 링크)
고성능 스팸차단 기능으로,
현재 최상위 스팸차단 기술 모두 포함된 고성능 스팸차단 기능은 수많은 악성코드와 초급부터 고급 수준의 메일 공격 위협을 대응합니다.
- 멀티백신
- 스팸 시각화 분석탐지
- 3자 개입 분석탐지
- 무작위 발송 스팸탐지
레거시 스팸차단 기능으로,
오랜기간동안 개선되고 현재까지 간단한 스팸메일을 확실하게 탐지하는 기술들이 포함된 레거시 스팸차단 기능은 전통적인 스팸차단 필터 기술로 현재까지도 그 유효한 효과를 제공합니다.
- SPF
- DKIM
- DMARC
- 정규식 필터(이메일 DLP)
