스팸메일을 막던 이메일 보안 솔루션이 지능형지속위협을 방어하는 APT 대응 솔루션 첨병으로 부상했다. 단순 이메일 단에서 탐지·차단을 넘어 인텔리전스, 문서보안, 샌드박스 등 기술과 연계도 제공한다.
지란지교시큐리티와 다우기술, 이월리서치, 디프소프트 등은 지난해 APT 대응 기능을 강화한 메일APT 제품군을 연이어 출시했다. 통합 보안관제 전문업체인 이글루시큐리티와 문서보안에 강점을 가진 소프트캠프도 각각 자체 기술을 기반으로 메일APT 솔루션을 선보였다.
업무와 사회관계, 취향 등을 파악해 특정 대상을 공격 목표로 삼는 APT 공격은 ‘스피어피싱’을 침투 창구로 이용한다. 업무메일 등을 사칭해 악성 첨부파일 실행을 유도하는 식이다.
메일보안 솔루션은 2000년대 초반부터 스팸메일과 바이러스 차단 기능을 중심으로 시장을 형성했다. 2000년대 중후반 들어 시장 포화상태를 맞았다. 최근 APT 공격이 대두되며 주요 대응 솔루션 중 하나로 재조명됐다.
지란지교시큐리티는 메일보안 제품 ‘스팸스나이퍼’에 APT 대응 기능을 넣은 ‘스팸스나이퍼 APT에디션’을 출시했다. 샌드박스 기반 APT 전문 솔루션과 연계한 제품이다. 스팸메일 필터링으로 1차 대응하고 가상환경에서 2차 분석한다. 시스템 과부화를 줄여 가상머신 분석에 걸리는 시간을 최소화했다. 출시 이후 기존 고객을 비롯해 여러 대형 그룹사에 공급했다.
다우기술은 ‘테라스메일와쳐’에 APT에디션을 추가했다. 사용자 수신메일 이력에 기반을 둔 패턴 분석으로 감염 의심 메일을 사전 검역한다. 안전보기 기능으로 검역된 메일 본문에 포함된 스크립트 실행을 방지한다. HTML 컨버터로 의심 첨부파일은 실행하지 않고 내용 확인이 가능하다.
이월리서치 ‘스매시 APT’는 이메일에 포함된 해킹 사이트 URL과 유해 스크립트, 첨부파일 등을 제거한 후 정상 콘텐츠만 수신자에게 전송한다. 행위 동적 분석과 기관·데이터베이스(DB) 정보 등을 바탕으로 다양한 악성코드를 막는다. 메일에 첨부된 압축파일 특성 추출 기술로 악성코드 검사에 따른 PC·서버 속도 저하를 해결했다.
디프소프트는 ‘더블블럭 APT’로 APT와 랜섬웨어 차단을 제공한다. 메일 서버 앞단에 구축해 스팸이나 바이러스 의심 메일은 차단하고 APT·랜섬웨어 추정 메일은 텍스트나 이미지로 변환해 전송한다. 기존 메일보안제품 ‘더블블럭G5’와 APT 방어솔루션을 결합했다.
이글루시큐리티는 보안관제에서 쌓은 역량을 메일APT에 더했다. ‘이스코트3.0’은 행위분석 엔진과 소프트웨어(SW) 취약점 분석엔진을 결합한 APT 이메일보안 솔루션이다. 이메일 본문에 삽입된 URL 링크를 제거하고 알려진 악성코드는 패턴기반 탐지, 알려지지 않은 악성코드는 행위기반으로 차단한다. 이메일 APT 공격 관련 실시간 위협 인텔리전스도 함께 제공한다.
소프트캠프는 ‘문서 방화벽’ 개념으로 접근했다. 메일 첨부파일에 포함된 텍스트와 이미지 등을 추출, 재구성해 콘텐츠 내용만 별도 가상화된 영역에서 보게 한다. APT 대응 솔루션 ‘실덱스’를 이메일 첨부파일 관리용으로 특화한 ‘실덱스 포 메일’이다. 악용 가능성이 높은 첨부파일 문제 해결에 초점을 맞췄다.
보안업계 관계자는 “지난해 다양한 메일 APT 솔루션 출시 이후 현장 적용 사례가 속속 이어졌다”며 “메일을 이용한 APT 공격 수법이 고도화되는 만큼 대응 솔루션 역할도 커졌다”고 말했다.
박정은기자 jepark@etnews.com
