"사이버 위협 탐지를 넘어 위협 가능 요소까지 제거한다"

"기업 내부 임직원이 보낸 이메일에도 악성코드가 들어있을 수 있다. 직원이 보낸 이메일도 신뢰하지 않고 검증해야만 사이버 위협을 최소화할 수 있다." 시큐레터는 '아무도 믿지 않는다'는 '제로 트러스트(Zero Trust)' 개념을 적용한 클라우드 네이티브 이메일 보안 서비스 '디스암(DISARM) 콘텐츠 시큐리티 포 이메일(Content Security for Email)'을 내놨다. 이 제품은 클라우드 기반 오피스 프로그램 마이크로소프트365에 최적화됐다. 마이크로소프트 마켓플레이스에서 '디스암' 서비스를 구매하면 바로 사용할 수 있다. 마이크로소프트 익스체인지 온라인(Exchange Online)을 사용하는 글로벌 고객을 타깃으로 한다. MS 익스체인지 온라인을 시작으로 쉐어포인트(SharePoint), 팀즈(Teams), 원드라이브(OneDrive) 등 MS 365 전 제품을 위한 보안으로 서비스로 확장한다. 이승원 시큐레터 CTO는 “많은 기업이 클라우드 기반 오피스 프로그램인 MS365를 도입하고 있는데 문서를 활용한 사이버 공격은 여전히 고도화되고 있다"면서 "내부 임직원이 보냈거나 보안 솔루션이 정상이라고 판단한 이메일이나 문서조차도 신뢰하지 않고 검증한다는 제로 트러스트 철학을 디스암에 적용했다”고 설명했다. 공격자는 이메일에 악성 문서나 URL을 첨부해 보낸다. 고전적인 방법이지만 여전히 가장 많이 쓰이는 공격방식이다. 공격자는 사회적으로 관심있을 소재나 회사의 특성을 반영해 공격 이메일을 보낸다. 정상적으로 보이는 문서 내부에 공격 요소를 숨긴다. 전체 사이버 공격 중 이메일을 통해 감행되는 지능형 보안 위협은 75%이며, 이 중 72%의 공격이 비실행 파일인 문서로 이뤄진다. 디스암은 기존 보안 위협 탐지를 뛰어넘어 위협 요소를 제거하는데 집중한 기술이다. 대부분 보안 솔루션은 악성 파일은 차단하고 정상은 통과시킨다. 디스암은 악성이나 정상을 판단하지 않고 위협 가능 요소를 모두 제거한다. 이 CTO는 "시큐레터는 문서 악용 공격의 8가지 근본 원인을 분류했다"면서 "마치 공항에서 보안검색대를 통과하는 것처럼 모든 문서의 위협성을 제거한다"고 말했다. 그는 "모든 사람은 생수를 휴대한 채로 공항검색대를 통과할 수 없다"면서 "공항에서 일일히 생수가 액체폭탄인지 조사하지 않고 일정 용량이 넘는 액체는 아예 검색대를 지나갈 수 없게 조치한다"고 설명했다. 시큐레터 디스암은 공항검색대처럼 이메일로 들어오는 모든 문서와 텍스트에 유해한 요소를 모두 제거한다. 시큐레터는 콘텐츠 무해화(CDR) 엔진을 디버거 엔진과 통합 제공한다. 기업 내부로 유입되는 보안 위협을 지속적으로 탐지·분석하고 피싱 이메일, 랜섬웨어, 이메일 사기 공격(BEC) 등으로부터 사용자를 보호한다. CDR 엔진으로 첨부 문서 내 악성 액티브 콘텐츠를 제거하고 디버거 엔진으로 문서 프로그램 취약점을 이용한 공격까지 차단한다. 이 CTO는 "디스암은 글로벌 기준에 특화된 통합 클라우드 이메일 보안 서비스"라면서 "MS 365 플랫폼에서 서비스를 구독하면 5분 안에 쉽고 빠르게 연동할 수 있다"고 말했다. 기존 이메일 보안 서비스와 달리 MS API를 활용하기 때문에 MX 레코드 값 변경이 필요 없고 이메일 유실 위험도 없다. 그는 "탐지만 하던 보안 기술에서 제거의 영역으로 기술의 진화를 보여주는 제품"이라면서 "글로벌 시장에서 성과를 내는데 집중한다"고 덧붙였다.