지능화된 타겟 공격,

방어는 이메일부터

지란지교시큐리티

메일보안사업부 서양환 부장

2

Agenda

1. 메일보안 시장의 재점화

2. 통합 메일보안 필요성

3. 메일보안위협 동향

4. 메일보안 구축을 위한 제언

3

왜 이메일일까?1. 메일보안 시장의 재점화

(* Osterman Research, 2017)

기업에 랜섬웨어가 유입되는 경로

약 60%

4

수신자가 피싱이메일을 열어볼 확률

수신자가 피싱이메일의 첨부파일/링크를클릭할 확률

1. 메일보안 시장의 재점화

왜 이메일일까?

5

아는 사람협력업체혹은신뢰하는사람/기관주소에서발송된메일은의심 X

구글링이름, 소속, 도메인만검색해도쉽게이메일주소입수가능

중요하다 쉽게 신뢰한다 쉽게 얻는다

80%가장 중요한 업무 커뮤니케이션툴로

‘이메일’을 꼽은 답변 비중

1. 메일보안 시장의 재점화

왜 이메일일까?

6

(출처 : 연합뉴스, SBS뉴스, krebsonsecurity.com, DARKReading)

사이버 공격의 91%는 피싱 이메일에서 시작

FBI “CEO 사칭 이메일로 인한 피해액23억달러”

1. 메일보안 시장의 재점화

2016년 주요 보안사고

7

정보통신망법

개인정보보호법

전자금융거래법

산업기술보호법

기타

정보통신망 이용촉진 및 정보보호 등에 관한 법률개인정보의 기술적, 관리적 보호조치 기준정보보호 관리체계 인증 등에 관한 고시

개인정보의 안정성 확보조치 기준표준 개인정보 보호지침

증권회사 영업행위준칙해설금융회사 정보기술(IT) 부문 보호업무 모범규준금융회사 정보처리 및 전산설비 위탁 관한 규정전자금융 감독규정

산업기술의 유출방지 및 보호에 관한 법률

내부회계 관리제도 (K-SOX)방문판매법 (금융권 모바일오피스 관련)

· 정보통신망법 개인정보 유출시

관련 매출액 3% 이하 과징금(2014년 개정)

· 전자금융거래법 금융거래 기록

유출시 50억 이하의 과징금5년 보존 위반시 천만원 과태료

(2014년 개정)

· 금융회사 정보기술(IT)부문 보호업무 中

이메일 등 비금융 전산시스템취약점 분석·평가 대상 포함

(2014. 6월 시행)

1. 메일보안 시장의 재점화

이메일 관련 정보보안 컴플라이언스

8

1. 메일보안 시장의 재점화

이메일 시장을 향한 기업들의 움직임

9

WHY메일보안, 왜 해야 하는가

10

2. 통합메일보안 필요성

악성코드 유포채널홈페이지 → 이메일중심으로 변화

전세계 일일 스팸메일발송량

미래부, 15년 자료

약 4.5억건전체 이메일 중 65%

랜섬웨어 유입 통로

이메일 첨부파일·링크

60%

국내 스팸메일 비중

50% 이상

(Cisco, 2016. 9)

(지란지교시큐리티, 2016. 3Q)

(Osterman Research, 2016. 8)

메일 통한 외부위협의 증가

11

약 60억원유출 건당 손실액

기업 데이터 유출경험

데이터유출로 인한 피해

아시아 기업 中

65% 이상

기업데이터 유출사고 주체

80% 이상내부 임직원

@

기업데이터 유출 통로

1위 이동식저장장치

2위 E-mail

2. 통합메일보안 필요성

메일 통한 내부유출의 증가

12

2. 통합메일보안 필요성

메일은 ‘안팎으로 통하는 채널이자 구멍’

13

WHAT메일보안, 무엇이 타겟이 되는가

14

2014, 2015년

H공공, S기업특정 타겟/ 랜섬웨어본격 등장

지능화·고도화된스피어피싱 스팸

2016년

I기업 이메일APT 통한 정보 유출/ 랜섬웨어 급증

직접 금전 획득이 가능한랜섬웨어 유포 메일 급증

2017년

스팸+랜섬웨어+APT‘한국형’으로 진화

공격대상자 맞춤형랜섬웨어 다량 유포

1차 공격 대상 통해전사범위로 영역 확대

3. 메일보안 위협 동향

메일보안 위협 최신 동향

15

글로벌 스팸 타겟 주요 산업군

엔터테인먼트·IT·부동산 분야글로벌 피싱 타겟 주요 산업군

금융·엔터테인먼트·IT 분야

다크웹에서 높은 값에 팔릴 수 있는 정보가 있는 곳에 공격도 몰린다

(* RSA Conference 2017)

3. 메일보안 위협 동향

메일보안 위협 최신 동향

16

피싱메일 멀웨어

암호화 메일

• 기업 타겟 피싱·암호화메일

타기관 대비 약 3배 이상

• 비영리 및 교육 단체

멀웨어 타겟 가능성 2배 이상

“국가 및 산업 유형 등 타겟은 점차 세분화될 것, 또 보안 취약할 것으로 예상되는 타겟 대상으로 더욱 포커스“

(* RSA Conference 2017)

3. 메일보안 위협 동향

메일보안 위협 최신 동향

17(* Cisco 2017)

2016년 스팸/피싱 메일을 통해 유입된 위협 발생 순위

대다수 zip 파일이 첨부된 인보이스·지불·주문 관련 사칭 메일

3. 메일보안 위협 동향

메일보안 위협 최신 동향

18

#1 랜섬웨어

• 국가, 기업, 타겟대상의 직무, 성향, 특징 등을 고려한 타겟화된랜섬웨어 확산

• 집요하고 장기적인 APT와 대량유포되는 스팸의 성격을 모두갖고 있어 사용자들의 주의 요망

(* 한국일보, 보안뉴스, 2017)

3. 메일보안 위협 동향

메일보안 위협 최신 동향

19

• 이메일 계정 탈취 후 거래처 등에 해당 기업 사칭한 가짜인보이스 발행

• 해당 기업 사칭해서 피해 업체가 해커 계정으로 돈을 입금하게만들기 때문에 금전 손해 뿐 아니라 기업 이미지 훼손 등의 2차피해까지 발생

#2 BEC(Business Email Compromise) – 가짜 인보이스 사칭

(* Trendmicro, 2016)

3. 메일보안 위협 동향

메일보안 위협 최신 동향

20

#3 BEC(Business Email Compromise) – CEO 사칭

• 기업 임원진에 대한 정보 습득 혹은 계정 탈취 후 재무 담당직원에게 임원진을 사칭해 이체 지시

• 임직원이 의심없이 해커 계정으로 돈을 입금하게 됨

(* Trendmicro, 2016)

3. 메일보안 위협 동향

메일보안 위협 최신 동향

21

#4 BEC(Business Email Compromise) – 데이터 탈취

• 기업 임직원 계정 정보 탈취 후 다른 직원 및 임원에 대한개인정보(PII, Personally Identifiable Information) 탈취

• 탈취된 개인정보를 다크웹 등에서 판매하거나 추가적인 공격에악용하기 때문에 2차 피해 확산 가능

(* Trendmicro, 2016)

3. 메일보안 위협 동향

메일보안 위협 최신 동향

22

HOW메일보안, 어떻게 해야하는가

23

최신보안위협에

대응가능한가?

유연하고안정적으로운영되는가?

해당시장의언어, 문화

특성 이해도높은가?

지속적인기술지원

및 업데이트가능한가?

특수화된환경에 적용가능한가?

(* Gartner 분석 참고)

4. 메일보안 구축을 위한 제언

메일보안 고려 요소

24

4. 메일보안 구축을 위한 제언

SpamSniper APT 구조도

Deep Discovery

25

• APT 의심 메일 첨부파일 미리 보기 기능

• 문서 내 스크립트 제거기능

• APT 의심 메일 사용자 알림 기능

• 유연한 메일 라우팅 정책

• APT장비 장애 시 Bypass 기능

• SpamSniper에서 모든 메일 통합 관리

악성코드 분석은 분석 전문 솔루션을 통해…그리고!

4. 메일보안 구축을 위한 제언

SpamSniper APT로 확장

26

JiranSecurity 통합메일보안 라인업

인터넷

In-bound Mail

Out-bound MailEmail Archive

• Compliance 준수

• 백업 & 복구기능 향상

• 압축저장 메일용량 대책

• 메일 자료 검색 기능

• 중요메일 결재 기능

• 유출 메일 감사 기능

• 첨부파일 링크전송 기능

• 메일 압축 암호화 기능

• 스팸메일 필터링

• 악성코드

필터링(APT연동)

• 메일서버 보호기능

• 서버 부하 분산

4. 메일보안 구축을 위한 제언

27

통합 메일보안, 답은 지란지교시큐리티

감사합니다지란지교시큐리티

서양환