보안 우려 없이 안전한 연구활동 지원
[데이터넷] 우리나라 최초 연구중심대학을 표방하면서 1986년 ‘포항공과대학교’로 출범한 포스텍은 세계적으로 많은 인재를 배출해왔으며, 소재산업 연구에 있어 세계적인 중심지로 발전하고 있다. 포스텍은 ‘인류 삶에 기여하는 가치를 창출하는 대학’이라는 비전을 달성하기 위해 수준높은 교육을 통한 국제적 수준의 고급 인재를 양성하고 있다. <편집자>
포스텍(총장 김성근)은 우리나라와 인류사회 발전에 필수적인 과학과 기술을 연구하고, 산·학·연 협동을 통해 연구 결과를 사회에 전파하면서 사회와 인류에 봉사하고 있다. 또한 세계적인 대학과 긴밀히 협력해 기초과학과 응용과학 및 첨단과학 분야 연구에 매진하고 있다.
포스텍은 국내외 여러 교육·연구기관 및 산업과 협업활동을 전개하고 있기 때문에 이메일을 이용한 커뮤니케이션이 활발하다. 포스텍은 매일 10만건 이상 메일을 수신하고 있으며, 특히 해외 대학·연구기관 혹은 전문가와 소통하는 빈도가 높다.
포스텍 연구교수진과 학생들은 해외 연구논문과 각종 자료를 메일로 공유하고 있는데, 이로 인해 사칭메일 공격 피해를 당할 가능성이 있다. 공격자는 사용자에 맞춤화된 공격을 전개하기 때문에 교수나 연구원, 학생은 타깃 공격에 노출되기 쉽다.
예를 들어 특정 분야 연구를 진행하는 연구원에게 관련된 연구 결과를 공유한다는 내용의 메일을 보내면 해당 연구원은 이 메일에 관심을 가질 가능성이 높다. 발신인이 이전에 교류가 있었던 해외 연구원의 이름이지만, 연구소의 공식 메일 계정이 아닌 개인 웹메일 주소로 보내면서 “메일 용량 때문에 개인 메일로 보낸다”고 설명하면 의심 없이 첨부 파일을 열어보게 된다.
첨부파일에 삽입된 악성코드가 연구원을 감염시키고, 연구소 내 연결된 기기를 모두 감염시켜 연구중인 중요 정보를 빼내고, 데이터를 암호화한 후 협박하면 공격자와 타협을 고려할 수밖에 없게 된다. 데이터가 삭제되거나 공개된다면 오랜 기간 노력해 온 연구 성과가 사라질 수 있으며, 중요한 기술이 유출되는 등의 피해를 입을 수도 있다.
김기종 포스텍 팀장은 “포스텍은 연구중심 학교의 특성상, 국내뿐만 아니라 해외와 자주 메일로 소통하기 때문에 사칭메일과 출처가 불분명한 메일에 영향을 받고 있다. 이 때문에 메일 보안을 위해 각별한 노력을 기울이고 있다. 세밀한 메일보안 정책을 운영하고, 보안교육을 실시하며, 보안 시스템 구축과 운영에 많은 투자를 기울이고 있다”고 말했다.
우회공격 원천 차단 기술 필요
포스텍은 메일 보안을 위한 다양한 대책을 마련해 둔 상태이지만, 정교하게 신뢰할 수 있는 발신자로 사칭하는 메일을 차단하는 것은 한계가 있다고 판단했다.
메일에 첨부된 악성링크나 악성 첨부파일은 APT 방어 솔루션 등을 통해 차단할 수 있다. 그런데 공격자는 알려진 악성파일을 이용하지 않으며, 이메일·웹 보안 게이트웨이를 통해 차단하는 악성링크도 사용하지 않는다.
악성메일 공격자는 구글 드라이브 등 파일공유 서비스를 이용해 정상적으로 인식되는 파일을 다운로드 받도록 유도한다. 일반적으로 많이 사용되는 파일공유 서비스는 보안 게이트웨이로 차단되지 않기 때문이다.
악성 첨부파일 탐지를 피하기 위해 공격자는 정상적인 문서 파일에 정상 이미지를 삽입하고, 그 안에 악성링크 혹은 악성 스크립트를 숨겨둔다. 그러면 백신·샌드박스는 물론이고 문서의 악성행위를 차단하는 솔루션도 성공적으로 우회 가능하다.
이 같은 지능화된 공격을 막기 위한 이메일 보안 기술도 지속적으로 발전하고 있지만, 공격자는 새로운 보안 기술 우회기법도 빠르게 개발하기 때문에 모든 유형의 최신 공격까지 완벽하게 선제적으로 차단하는 것은 사실상 어려운 일이다.
특히 신뢰할 수 있는 발신자로 위장한 사칭메일은 기존 메일 보안 솔루션으로는 차단하기가 매우 어렵다. 스팸메일 차단 솔루션은 스팸메일 발신자로 분류된 메일을 차단하는데, 사칭메일 발신자는 블랙리스트에 등록된 스팸메일 계정으로 보내지 않는다.
강력한 메일 보안 시스템을 구축한 대기업 L사는 사칭메일 공격을 막지 못해 240억원의 피해를 입었으며, 높은 수준의 보안 기술을 적용한 방산기업 K사는 사칭메일로 인해 50억원의 피해를 입었다.
김기종 팀장은 “단 하나의 보안 시스템만으로 정교한 공격을 막을 수 없다. 빠르게 진화하는 공격에 대응하는 한편, 기술과 환경, 업무 변화에 맞는 보안 기술과 정책을 적용해야 한다. 포스텍을 비롯한 많은 기술 관련 연구·교육기관이 다양한 보안 정책을 통해 연구 성과를 보호하고 있지만, 사용 편의성과 강력한 보안이라는 두 가지 요구를 다 만족하는 데 어려움을 겪고 있는 것이 사실”이라고 밝혔다.
화이트리스트 기반 사칭메일 탐지
포스텍은 기존에 도입한 보안 및 메일 보안 시스템이 탐지하지 못하는 사칭메일에 대한 대안이 시급하다고 판단했다. 교수진과 연구진, 학생의 연구활동에 영향을 주지 않으면서 보안을 강화하기 위해 신뢰할 수 있는 사용자를 사칭하는 메일을 선제적으로 탐지하는 것이 최우선으로 적용돼야 한다고 판단했다.
기존 메일보안 솔루션은 알려진 악성메일 발신인을 차단하는 방식을 적용하지만, 사설메일 서버를 통해 발송하는 사칭메일은 이 방식으로 차단하지 못한다. SPF, DKIM, DMARC 등 강력한 메일인증 시스템을 사용할 수도 있지만, 수·발신 모두에 적용돼 있어야 하고 운영이 복잡해 범용적으로 사용되지 않고 있다.
다양한 기술 연구에 중점을 두는 포스텍의 특성 상 보안이 잘 갖춰진 기업·기관의 메일뿐만 아니라 개인 기여자, 보안 설정이 제대로 되지 않은 조직으로부터 메일을 수신할 수 있다. 세계 여러 국가 전문가와 소통하는 과정에서 신뢰가 검증되지 않은 메일을 수신해야 할 일도 생긴다. 그래서 포스텍은 사칭메일을 정밀하게 탐지하는 리얼시큐의 ‘리얼메일’을 도입해 사칭메일을 이용한 피해를 막고자 했다.
리얼메일은 사칭메일이나 출처가 불분명한 메일을 발송하는 사설메일 서버를 인식한다. 이메일 역추적 기술과 SMTP 에러코드 해석을 통해 사설메일 서버에서 발송된 악성메일을 정확히 검증한다. 대부분의 사칭메일 발송자가 사설메일 서버를 이용한다는 데 착안한 것이다.
리얼메일의 사칭메일 탐지 기술은 다양한 발신 정보를 연관분석해 메일 서버의 설정과 메일 서비스에 따라 분류하고, 제로 트러스트 기반 화이트리스트 보안 기술을 이용해 발신정보를 검증, 수신 여부를 결정한다.
김기종 팀장은 “리얼시큐의 리얼메일은 기존 메일보안과 APT 방어 솔루션이 차단하지 못한 사칭메일을 선제적으로 탐지해 안전한 메일 커뮤니케이션 환경을 구축할 수 있도록 한다. 사용자의 편의성을 해치지 않으면서 사칭메일만을 걸러내 보안을 한층 높일 수 있다”고 말했다.
오탐없이 정확한 사칭메일 차단
포스텍이 사칭메일 차단 시스템을 도입할 때 가장 중점적으로 검토한 것이 ‘사용 편의성’이다. 포스텍은 일반 기업과 달리 외부와 중요한 대용량 데이터를 공유하는 일이 많다. 그래서 기업에서 주로 사용하는 패턴의 메일 보안 정책은 포스텍에 맞지 않았다.
리얼메일은 커스터마이징을 통해 포스텍 메일 환경에 맞는 보안 탐지를 적용했으며, 오·미탐 가능성을 제거해 정상 메일의 수신을 방해하지 않았다. 실제로 POC 결과, 기존에 구축된 솔루션에서 차단하지 못한 메일을 효과적으로 차단하는 것을 확인했다.
포스텍은 리얼메일의 SMTP 에러코드 분석 기술을 통해 사설메일서버에서 발송된 출처가 불분명한 메일을 원천적으로 탐지하는 1차 전략을 적용했다. 그리고 사설메일서버를 통해 들어오는 메일을 발신정보 연관분석기술을 이용해 메일서버 설정과 메일 서비스에 따라 분류하고 관리해 피싱 메일을 탐지하는 2차 전략을 구사하고 있다.
기본적으로 사설메일서버로부터 온 메일은 위험도가 높다. 포스텍은 이러한 메일을 별도로 분류하고 관리해 사용자에게 위험도가 높게 분류된 메일에 대해 알림을 전달하고 제로 트러스트 원칙을 적용한 안전한 메일 환경을 구축했다.
김 팀장은 “오탐으로 인해 정상 메일이 수신되지 않거나 사용자가 메일을 전달받지 않는 상황이 되면 연구와 업무 진행에 큰 어려움을 겪게 된다. 그래서 사칭메일 차단 시스템 검토시, 사용자 편의성과 오·미탐 여부를 상세히 검토했다”며 “리얼메일은 사용자 환경 변화 없이, 오·미탐 없이 사칭메일을 찾아냈으며, 유연한 커스터마이징을 통해 포스텍 메일 환경에 맞는 솔루션을 구축했다”고 말했다.
다양한 보안 기술 유연하게 연계
메일은 업무와 직접적인 연관이 있기 때문에 업무 프로세스를 크게 변경시키거나, 포스텍의 보안 시스템을 개편하는 등의 변화가 있으면 업무 연속성에 지장을 준다. 리얼메일은 기존 업무 프로세스에 변화를 주지 않으면서, 기존 솔루션과 원활하게 호환돼 구축·운영에 어려움 없이 즉각적인 메일 보안 환경을 구축할 수 있었다. 또한 구축 후 운영 과정에서 실제로 많은 사칭메일이 탐지되는 것을 확인할 수 있었다.
김기종 팀장은 “리얼메일은 포스텍의 요구에 가장 잘 맞는 사칭메일 탐지 시스템이다. 리얼메일을 통해 사칭메일을 원천 탐지해 안전한 업무 환경 구현이 가능해졌다. 그러나 리얼메일만으로 모든 보안위협을 막을 수 있는 것이 아닌 만큼, 다양한 보안 정책과 기술을 연계해 안전한 업무 환경 마련에 나서고 있다”고 말했다.
"정확한 사칭메일 차단으로 안전한 이메일 커뮤니케이션 지원"
Q: 포스텍이 사칭메일 탐지 시스템을 도입한 배경은.
A: 포스텍은 산업발전을 위한 연구를 수행하고 차세대 기술 인력을 양성하는 전문 교육기관이다. 특히 첨단 기술과 소재 관련 분야에서 세계적인 수준의 연구 성과를 달성하고 있으며, 글로벌 인재를 배출하면서 전문교육기관으로서의 위상을 세우고 있다.
포스텍 교수진과 연구원, 학생들은 전 세계 기술 발전에 기여하기 위해 다양한 연구와 학습을 진행하고 있다. 그 과정에서 국내외 다양한 연구소 및 기업·기관, 개인 기여자 등과 여러 종류의 자료를 공유하게 된다. 이러한 특수성 때문에 신뢰할 수 있는 발신자로 위장한 메일의 피해를 입을 수 있다는 위기감이 생겼다.
공격자는 정교하게 조작된 메일 도메인을 이용하고, 사용자에게 맞춤형으로 제작된 정상적인 메일을 이용해 공격한다. 기존 메일 보안 시스템은 교묘하게 위장한 사칭메일을 탐지하는 데 한계가 있기 때문에 이를 전문적으로 차단하는 솔루션이 필요했다.
Q: 리얼시큐의 ‘리얼메일’을 선택한 이유는.
A: 사칭메일 차단 전문 솔루션은 국내외에서 리얼시큐가 유일하다. 리얼메일은 사설메일서버 등 신뢰가 확인되지 않은 메일 서버에서 발송된 메일을 검증하며, 제로 트러스트 원칙에 따라 신뢰가 확인된 메일만 수신하도록 지원하는 기술을 제공한다. 또한 리얼메일은 사용자의 업무 환경을 변경시키지 않고, 기존 보안 시스템과 유연하게 연동되기 때문에 구축·운영의 어려움이 없다.
더불어 리얼시큐에서 포스텍의 상황에 맞게 리얼메일에 대한 커스터마이징과 설정·구성 최적화를 지원해 포스텍이 안전한 메일 시스템을 운영할 수 있게 했다.
Q: 리얼메일 도입 후 효과는.
A: POC 과정에서도 확인했지만, 실제 운영 과정에서 사칭메일이 차단되고 있다는 것을 알 수 있었다. 포스텍은 하루 10만건 이상 메일을 수신하고 있는데, 이 중 한 건이라도 악성메일일 경우 돌이킬 수 없는 심각한 피해를 입을 수 있다.
리얼메일은 악의적인 사칭메일을 수신되지 않도록 해 안전한 이메일 커뮤니케이션을 돕고 있다. 더불어 다른 보안 시스템과 연동해 실제 보안위협 차단 수준을 높이는 것을 확인할 수 있다.
