[FCF] Cybersecurity 2.0 - Lesson 05 : Secure Email Gateway(보안 이메일 게이트웨이)

A. 보안 이메일 게이트 웨이 개요

1. 이메일의 등장

이메일은 1990년대 전 세계가 온라인에 접속했을 때 사람들이 했던 첫 번째 활동 중 하나였습니다. 기술이 거의 허용하지 않았기 때문에 대역폭이 거의 필요하지 않았습니다. 그것은 또한 쉽고 빠르며 우표 비용도 들지 않았습니다! 너무 쉽고 저렴해서 적은 비용으로 많은 사람들에게 메시지를 전할 수 있는 수단이 되었습니다.

이러한 대량 우편물 중 일부는 합법적인 사업체에서 발송되었으며 우편으로 발송된 광고 전단지와 동일했지만 다른 대량 우편물은 더 사악한 인물에 의해 발송되었습니다. 이것이 스팸의 시작이었습니다. 즉, 인터넷에서 수많은 수신자에게 관련이 없고 원치 않는 메시지를 보내는 행위였습니다.

개인은 확인이나 책임이 거의 없이 메시지를 보내고 받을 수 있습니다. 따라서 그들은 익명성을 제공했습니다. 처음에 사람들은 스팸을 위협이라기보다는 성가신 존재로 여겼습니다.

 

2. 피싱의 위험성

그러나 1996년 America Online(AOL)은 개인이 개인 정보를 공개하도록 유도하기 위해 평판이 좋은 출처에서 보낸 것처럼 사칭하여 이메일을 보내는 사기 행위를 설명하기 위해 피싱이라는 용어를 만들었습니다.예를 들어, 여러분 중 일부는 자신의 부를 여러분과 공유하고 싶어하는 아바도도의 솔로몬 왕자나 다른 교활한 인물을 만났을 수도 있습니다.

다른 범죄자들은 합법적인 기업이나 조직의 이름과 매우 유사한 도메인 이름을 등록하고 이메일에서 해당 기업으로 가장하여 악성 코드가 포함된 링크나 첨부 파일을 클릭하도록 유도했습니다.피싱 기술은 인간의 순진함, 부주의 또는 산만함을 활용하여 작동합니다.

기업의 첫 번째 대응 중 하나는 피싱 전략에 대해 직원을 교육하는 것이었습니다. 그러나 교육을 통해 피싱 공격이 줄어들 수는 있지만 위협이 제거되지는 않았습니다.

 

3. 스팸필터 와 SPF

메일 서버와 ISP(인터넷 서비스 공급자) 수준에 서 뭔가 작업을 수행해야 했습니다. 이에 대응하여 기업에서는 스팸 및 피싱 이메일을 차단하기 위해 메일 서버에 스팸 필터를 설치했습니다. 스팸 필터는 메시지 헤더나 본문에서 특정 단어나 패턴을 식별하는데 의존합니다. 간단한 예를 사용하면 현금이라는 단어는 이메일 스팸에 일반적으로 사용됩니다. IT 전문가가 회사 메일 서버의 스팸 필터에 현금이라는 단어를 추가하면 필터는 해당 단어가 포함된 모든 이메일을 제거합니다.

ISP는 스팸 필터도 배포했습니다. 필터링 외에도 ISP는 인증 방법을 강화하는데 주력했습니다. 21세기의 첫 10년 말까지 ISP는 SPF(Sender Policy Framework)를 구현하기 시작했습니다. SPF는 10년 동안 천천히 구체화되었지만 2014년까지 표준으로 제안되지 않았습니다.

SPF는 가짜 보낸 사람 주소와 이메일을 탐지하는 이메일 인증 방법입니다. 그러나 합법적인 기업, 조직, ISP가 구현하는 모든 방어 조치에 대해 악의적인 행위자는 최신 방어를 우회하는 대응책을 도입했습니다. 간단한 예로 돌아가면 스패머는 필터링된 단어인 cash를 c@sh 또는 다른 변형으로 렌더링하여 쉽게 우회할 수 있습니다. 필터는 스팸 패턴을 탐지하는 데 있어 더욱 정교해졌지만 너무 정적이어서 쉽게 대처할 수 있었습니다.

스팸과 피싱은 악의적인 행위자가 쉽게 포기하기에는 수익성이 너무 높습니다. 실제로 피싱 공격 건수는 시간이 지날수록 엄청나게 증가했습니다. 2004년에는 176건의 고유한 피싱 공격이 기록되었던 반면 2012년에는 이 숫자가 28,000명으로 늘어났습니다. 이러한 공격들로 인해 금전 손실과 손해 손실이 발생하여 기업과 개인에게 5억 달러의 손실이 발생했습니다. 최근에는 2020년 1분기 동안 APWG(Anti-Phishing Working Group)에서 감지된 피싱 사이트가 165,772개에 달했습니다.

 

4. 보안 이메일 게이트웨이(SEG)의 등장

더 나은 방어가 필요했습니다. 보다 엄격한 방어를 제공하기 위해 보안 이메일 게이트웨이(SEG)가 등장했습니다. SEG는 스팸 필터 외에도 바이러스 백신 스캐너, 위협 에뮬레이션, 샌드박싱을 추가하여 악성 코드가 포함되어 있는지 첨부파일과 링크를 실시간으로 탐지합니다.

직원 교육과 스팸 필터가 실패하더라도 이러한 다른 도구 중 하나를 사용하면 위협을 탐지하고 무력화할 수 있습니다. 그러나 오탐지 수와 공격의 양이 너무 많아서 보안 팀이 감당할 수 없을 만큼 커져서 수동으로 해결해야 하는 수렁에 빠졌습니다.

SEG는 위협이 진화함에 따라 계속 진화합니다. 오늘날 SEG에는 더 큰 자동화와 기계 학습이 내장되어 SOC(보안 운영 센터)에 대한 요구를 완화합니다. 데이터 손실 방지(DLP)를 사용하여 민감한 데이터의 유출을 감지하고 중지할 수도 있습니다. 경우에 따라 SEG는 에지 및 분할 방화벽과 같은 다른 네트워크 보안 장치와 통합됩니다. 이러한 장치는 보안 전문가가 단일 창에서 중앙 집중식으로 관리하고 새로운 방법과 감염이 알려짐에 따라 위협 인텔리전스를 사용하여 지속적으로 업데이트할 수 있는 통합 보안 패브릭을 집합적으로 형성합니다.

Fortinet에는 FortiMail®이라는 SEG가 있습니다. FortiMail®에는 여기에 설명된 모든 기능이 포함되어 있을 뿐만 아니라 방화벽 및 샌드박싱 솔루션과도 통합됩니다. FortiManager®를 사 용하여 이러한 모든 장치를 중앙에서 관리하고 Fortinet의 글로벌 위협 인텔리전스 및 연구 센터인 FortiGuard® Labs를 사용하여 위협 인텔리전스를 업데이트할 수 있습니다.