파이어아이(https://www.fireeye.com)는 ‘이메일 보안 서버 에디션(Email Security – Server Edition)’에 다수의 새로운 보안기능을 추가했다고 10일 발표했다.

켄 배그널(Ken Bagnall) 파이어아이 이메일 보안제품 관리 부서 부사장은 “파이어아이 사고 대응 전문가들이 최전선에서 얻은 지식으로, 파이어아이는 공격과 보안우회 시도를 감지하기 위한 기술을 개발한다. 이메일 보안 솔루션이 얼마나 빨리, 유연하게 적응해나가는지가 최고의 업체를 가르는 기준이다. 파이어아이 이메일 보안 서버 에디션은 고객당 월별 평균 1만 4000건 이상의 악성 이메일을 감지하며, 이는 다른 이메일 보안 서비스를 능가한다”라고 말했다.

◆경영진 사칭 보안기능 추가 = 악성코드가 없는 공격은 점차 더 큰 우려를 일으키고 있다.

실제로 파이어아이는 지난 수 년 간 경영진 사칭 공격(executive impersonation attacks)에 의해 기업 이메일 피해사례가 늘어나는 것을 목격했다.

가장 최근에 발표된 파이어아이 이메일 위협 보고서(FireEye Email Threat Report)에 따르면, 2018년 상반기에 악성코드가 없는 공격의 19%가 이와 같은 형태로 이뤄진 것으로 나타났다.

공격자들은 사람들이 경영진이 보낸 것으로 보이는 이메일에 자주 반응한다는 사실을 확인하고 있으며 이에 따라 가장 공격들이 계속해서 중요해지고 있다.

배그널 부사장은 “경영진 사칭 보안은 클라우드 기반 이메일 보안 솔루션의 일반적인 기능으로 등장하고 있지만 사내 이메일의 경우에는 그렇지 않다. 우리가 경영진 사칭 보안기능을 파이어아이 이메일 보안 서버 에디션에 추가한 것은 기존의 보안서비스를 통해 점점 더 많은 사칭 이메일이 온다는 고객들의 피드백에 직접 대응하기 위한 것이다. 이번 업데이트는 다른 보안 솔루션들이 놓치고 있는 점을 보완하기 위해 설계됐다”고 덧붙였다.

사칭 이메일은 흔히 경영진의 이름을 발신자 표시이름(display name)으로 표기해 직원들을 속이고 악의적인 행위로 유인하려 한다.

파이어아이의 새 보호기능은 발신자 표시이름과 헤더 위조로부터 직원들을 보호한다.

사내 메일의 헤더를 분석, 관리자가 만든 리스크웨어(Riskware) 정책과 상호 참조하는 과정을 거치게 되며, 그 결과 정책에 맞지 않거나 사칭활동의 징후를 나타내는 메일 헤더에는 플래그 (flag) 표시를 할 수 있다.

경영진 사칭 보안기능 이외에도 파이어아이 이메일 보안 서버 에디션은 새로운 위협요소들(threat vectors)을 차단하면서 동시에 성능을 향상시키기 위한 다수의 다른 새로운 기능들을 포함하고 있다.

◆첨부파일 폭발 사용자 지정 (Guest Images) = 샌드 박스 탐지를 피하기 위해 특정 상황에서 실행하도록 프로그램 된 악성코드가 점차 증가하고 있다.

이러한 보안 우회(evasion) 기술은 일반적으로 파일 실행을 타깃 조직과 관련된 동작으로 제한한다.

관리자는 이제 브라우저 기록을 생성하거나 ‘최근에 열었던 파일’을 정의하는 등 파일이 실행되도록 ‘속일 수 있는’ 게스트 이미지를 만들 수 있다.

◆URL 재작성(Full URL Rewrite) = 이 새로운 보안기능은 이메일에 포함된 모든 URL을 재기록함으로써 최종 사용자들을 악성 링크로부터 보다 안전하게 보호한다.

◆이미지형 비밀번호 = 파이어아이 사고대응 팀이 경험한 최신 공격기술들에 대한 직접 대응과 신속한 이노베이션 사이클 관리를 위해 멀티벡터 가상 실행(Multi-Vector Virtual Execution: MVX) 엔진이 한층 고급화돼 이메일에 이미지 형태로 내장된 비밀번호의 분석에 이용될 수 있게 됐다.

대부분의 샌드박스(sandbox)는 비밀번호로 보호되는 파일을 분석할 수 없다.

◆새로운 머신러닝 엔진 = 파이어아이가 최근 출시한 머신러닝 엔진 멀웨어가드(MalwareGuard)는 파이어아이 이메일 보안 서버 에디션에 추가됐다.

2년의 개발기간을 거친 이 침입탐지 엔진은 기존의 보안 솔루션을 우회하는 새로운 위협요소들의 차단에 도움을 준다.

멀웨어가드는 파이어아이와 맨디언트(Mandiant)의 연구원이 실제 공격사례에서 수집한 데이터 세트들을 이용, 훈련받은 머신러닝 모델들을 통해 사람의 참여없이 악성코드의 시그니처(signature)가 나타나기도 전에 지능적으로 악성코드를 구분한다.

새로운 기능들은 파이어아이 이메일 보안 서버 에디션의 최신 버전(8.2)을 통해 제공된다.

무료 이메일 위험 분석은 전세계 파이어아이 공인 파트너들을 통해 받을 수 있다.

클라우드 사용자들은 이 모든 기능과 그 이상의 기능들을 파이어아이 이메일 보안 서버 및 클라우드 에디션으로 지원받을 수 있다.

<김동기 기자>kdk@bikorea.net