'원치않는 이메일' 기업 비즈니스 위협 수준에 도달,
시큐리티 인텔리전스 기능 갖춘 네트워크 에지 솔루션 고려해야

최근 한 연구발표에 따르면, 전세계적으로 발송되는 이메일의 양은 현재 하루에 750억 건이 넘는다고 한다. 특히 이 수치는 2008년까지는 하루에 무려 천억 건에 달하거나 그 이상이 될 것으로 전망하고 있다. 하지만 문제점은 전세계 모든 이메일의 약 85% 정도는 수신자가 바로 '원치 않는' 메일이라는 점이며, 시간이 지남에 따라 비율면에서도 점진적으로 증가하고 있는 추세이다.
바로 스팸이나 바이러스, 맬웨어, 트로이잔, DoS, 그리고 피싱 공격 같은 것들이 '원치 않는' 이메일의 범주에 속하며, 더욱 심각한 사실은 이러한 '원치 않는' 이메일의 전체 양이 매 6~9개월 주기로 두 배 이상 증가하고 있다는 것이다.

스팸의 양은 통제 불능 상태
전세계 이메일 중 업무용 이메일 보안에 대한 위협 요소들은 기본적으로 다음 4가지 범주로 구분할 수 있다.

▲스팸 (Spam)
스팸은 대개 요청하지도 원하지도 않은 모든 종류의 메시지나 '정크메일'로 정의된다. 대부분의 스팸 메시지는 제품이나 서비스를 팔고자 하는 것으로, 이러한 메시지의 상당 부분이 포르노 관련 내용이거나 받는 사람을 불쾌하게 하는 것들이다.

▲피싱 (Phishing)
피싱은 사기꾼들이 신용 있는 기관을 가장하고 개인정보를 빼돌리는(fish) 스캠의 일종이다. 이런 시도들은 종종 수신자의 계좌에 문제가 생겼으니 신용카드 번호 같은 정보를 알려주고, 확인한 다음 업데이트하라고 요구한다.

▲바이러스 (Virus)
바이러스는 여러가지 형태로 유입되는데, 어떤 것들은 사소한 말썽을 일으키거나 네트워크의 트래픽을 일시적으로 정지시키는 반면에 트로이잔 같은 것들은 중요한 정보를 훔치거나 해커들이 관리하는 바이러스를 생성하는 외부의 서버로 연결시키기도 한다.

▲좀비 (Zombies)
좀비는 기업용 네트워크 보안을 위협하는 가장 최신 형태라고 할 수 있다. 좀비 PC는 원격의 해커들이 정상적인 듯 보이나 사실은 바이러스 파일인 트로이잔을 이용해 접수한 PC로, 트로이잔으로 PC를 탈취해서 그것을 통해 스팸이나 바이러스, DoS 공격 그리고 피싱 스캠 등을 대신 보낸다. 좀비 머신들은 네트워크로 연결되어 있으며, 서로를 이용해 특정 시스템들을 목표로 수천 건의 메시지를 보내는데 사용된다.
이와 같이 각각의 유형들은 이메일 보안만 위협을 가하기도 하지만, 대부분은 다수의 취약점을 동시에 공격하기 위해 서로 다른 유형들과 결합하기도한다.

스팸 검출
공격자들은 주로 기존에 출시된 필터들을 뚫을 만한 스팸이나 피싱 공격, 바이러스, 좀비 같은 것들을 개발할 수 있을 정도로 예산 및 기술적 대담성을 갖춘 전문가들이라서 이 같은 '원치 않는' 이메일들의 검출이 점점 어려워지고 있다. 한밤중에 혼자서 외롭게 해킹하던 시절은 지나갔으며, 이미 많은 해커들이 매우 정교한 설비와 기술력을 갖춘 엔지니어들로 구성되어 팀 단위로 운영되고 있는 실정이다.
뿐만 아니라, 전문적인 해킹 팀들은 보통 기업들과 동일한 보안 소프트웨어들을 모두 갖추고, 자신들의 전략이 필터 보다 더 지능적인지 아닌지 지속적으로 테스트한다. 해시 버스팅 텍스트(Hash Busting Text)가 그 한 예로, 이는 스팸 발신자들이 좀비 네트워크를 보유하고 해시로는 인식할 수 없는 각각의 고유한 이메일들을 보내는 것이다. 또 다른 예는 이미지 기반의 스팸 사용의 증가인데, 모든 텍스트를 이미지 포맷으로 변환시킴은 물론이거니와 심지어 이러한 이미지들을 매우 독특하게 만들고 있다. (보다 심화된 해시 버스팅의 경우) 따라서, 이메일 내용만을 가지고는 악성 이메일을 검출하기가 매우 어렵게 되었다.
따라서 '원치 않는' 이메일을 검출하는 방법으로 발신자의 신뢰도가 더욱 중요해졌다. 신뢰도(Reputation)가 좋은 합법적인 발신자가 스팸을 보낼 확률은 거의 없지만, 만약 그들의 시스템이 좀비에 의해서 손상이 된다면, 그들의 시스템 신뢰도 점수(Reputation Score)가 즉각적으로 이를 반영하고, 신뢰도 점수가 정상으로 복귀될 때까지 '원치 않는' 이메일로 분류한다.

기업의 메시징 보안 문제
기업의 게이트웨이를 통과하는 모든 메시지들은 대부분의 기업들이 부족하면서도 귀중한 대역폭을 사용하여 유입된다. 메일의 양이 기존에 구축되어 있는 장비들의 수용능력을 초과하면서, IT 부서들은 인프라에 메일 보안 게이트웨이를 구축하거나 메일 서버를 증설하라는 스트레스에 시달리고 있다.
많은 기업들의 메일 수신 양이 주로 악성 이메일들로 인해 3~4개월마다 두 배가 된다는 것을 고려할 때, 급속히 증가하는 이메일 관련 인프라 구성요소를 구매·테스트·설치하는데 있어 IT 부서는 분명히 심각한 어려움에 부딪치게 될 것이다. 게다가 IT 부서의 인력들은 점점 복잡해져 가는 인프라 관리에 그들의 귀중한 시간을 사용하고 있으며, 서로 다른 여러 개의 복잡한 프로그램에 대해서도 배워야만 한다.

반응적 접근법
·예산 증대 요구
·대역폭 증설
·방화벽 성능 추가
·메시징 보안 성능 추가

반응적 접근법이란, 단순히 스팸 메일 검출을 위해 하드웨어를 추가하는 것이다. 수신되는 이메일의 증가 속도를 고려할 때, 하드웨어와 인프라 비용이 6~9개월마다 2~3배로 증가하는 것은 예산상의 문제만이 아니다. 그러므로 보다 능동적으로 대처하기 위해서는 더 많은 관리자들이 발신자의 신뢰도를 확인해 주는 제품이나 서비스를 이용해야만 한다. 그렇게 함으로써 악성 이메일을 유입 단계에서 제거할 수 있다.
Sendmail이나 Postifix, 또는 수많은 비슷한 이메일 게이트웨이 MTA를 구축함으로써, 관리자들은 유입되는 메시지 숫자를 제한하고자 한다. 그러나 불행하게도 이러한 솔루션들은 모두, 받아들일 만한 수준으로 효과적이면서도 정확하게 메시지 양을 줄이고자 한다면 추가적인 보안 레벨을 필요로 한다. 예를 들어, Sendmail 환경에서 스팸 메일을 줄이려면 Spam Assassin에 의존해야 하며, 안티바이러스 보호를 위해서는 Panda Perimeter Scan을, 그리고 이 외에 개별적인 위협에 대처하기 위해서는 또 몇몇의 다른 솔루션들을 구매해야만 한다.
이러한 접근법의 명백한 약점은 이 제품들이 모두 독립적인 애플리케이션으로 설계되어 있어, 다른 업체의 애플리케이션과 상호작용이 가능하도록 설계된 제품은 있다고 해도 아주 드물다는 것이다. 따라서 전반적인 보안이 유효성을 갖는데 필요한 상호간의 정보수집 절차에 커다란 문제점으로 남는다. 각각의 메시지 내용 필터는 메시지 데이터를 이전의 게이트웨이에서 다운로드 받으며, 이를 위해서 귀중한 대역폭을 사용한다. 또한 하나의 편지함에 쌓이는 각 애플리케이션은 추가적인 처리능력을 필요로 하며, 발신자가 네트워크에 접속하려고 할 때마다 최신 정보를 얻기 위해 다수의 외부 소스에 확인해야만 한다.

더욱 효과적인 접근법
하드웨어를 추가하거나 인프라에 새로운 계층을 늘리는 것과는 다른 접근법을 생각해보자. 전형적인 메시징 아키텍처는 이메일이 네트워크 에지와 그 뒤의 이메일 보안 게이트웨이를 통과한 다음 마침내 이메일 서버를 통과하도록 구성된다. 이메일 보안 게이트웨이 제품에 들어있는 정보는 안티바이러스 스캐닝, 치밀한 내용 검사, 키워드 필터링과 발견적 방법(heuristics), 그리고 특화된 규칙 같은 다수의 기술을 이용한다.
아주 최근에는, 수신되는 이메일을 구분하고 관리하는 핵심요소로서 발신자의 신뢰도라는 개념이 각 절차에서 매우 중요한 부분으로 부각되고 있다. 고가용성과 이중화를 유지하고 많은 양의 이메일을 처리하기 위해, 대부분의 기업들은 BIG-IP Local Traffic Manager (LTM)과 같은 애플리케이션 딜리버리 네트워킹 컨트롤러(Application Delivery Networking Controller) 뒤에 다수의 보안 게이트웨이와 메일 서버를 가상화한다. 증가하는 이메일의 양을 처리하기 위해서 보안 게이트웨이 하드웨어를 인프라에 계속해서 추가하는 것 보다 시큐리티 인텔리전스(Security Intelligence) 기능을 부가하여 추가적인 검사와 진행을 위해 이메일 보안 게이트웨이와 이메일 서버를 통과하는 메일의 숫자를 줄이는 것이 바람직한 방법이 될 수 있다.
F5 BIG-IP Message Security Module
최근 여러 업체들이 이와 관련한 솔루션들을 시장에 선보이고 있으며, 그 대표적 것으로 F5의 BIG-IP Message Security Module(MSM)을 들 수 있다. 이 제품은 시큐리티 인텔리전스 기능을 보유한 네트워크 에지 솔루션으로 트래픽 관리 결정시에 발신자의 신뢰도를 바탕으로 들어오는 이메일의 트래픽을 필터링하고 관리한다.
이 시스템은 Security Computing의 혁신적인 신뢰도 시스템인 TrustedSource를 기반으로, 기업의 메일 서버로 접속하려는 모든 발신자에 대한 정보를 확인한다. 참고로, TrustedSource는 전세계 40개국 1600개 이상 고객들(이중 3분의 1은 Fortune 500대 안의 기업이다.)의 네트워크를 보유한 Security Computing의 강점을 바탕으로 트래픽 데이터, 화이트리스트(Whitelists), 블랙리스트(Blacklists) 그리고 메일양의 폭주등을 반영하여 만든 세계 최초, 유일한 신뢰도 시스템이다. 또한, 이 시스템은 인터넷을 통한 모든 IP 주소를 숫자로 점수화하는 기능을 가진 유일한 신뢰도 시스템이다.
BIG-IP가 SMTP 접속을 요청 받으면 발신자의 신뢰도가 TrustedSource를 통해 확인될 때까지 발신자에게 응답을 유보하게 된다. 관리자는 신뢰도를 기반으로 무엇을 할 것인지를 유연하게 결정할 수 있다. 이는 검증된 발신자로부터 온 메일에 대해서는 '빠른 트래킹' 코스인 이메일 게이트웨이나 서버로 보내고, 신뢰도에 의심이 가는 발신자들에 대해서는 원하고자 하는 방향으로 재유도할 수 있고, 불량 발신자로 구분된 메일에는 발신자에게 어차피 재차 거부될 것이므로, 재접속을 시도하지 말라는 메시지를 포함한 에러코드를 발신자에게 보내고 연결을 차단해 버리는 등 이메일 트래픽을 다양하게 구분할 수 있다.
기업은 BIG-IP MSM 솔루션을 통해 스팸 발신자들을 걸러냄으로써, 네트워크의 에지 레벨에서 즉시 이메일 양을 무려 70%나 제거할 수 있다. 이는 기업이 보유하고 있는 보안 게이트웨이와 메일 서버들이 MSM을 통해서 걸러지고 남은 30%의 이메일 양을 처리하기에 대역폭 사용량 및 하드웨어 확장 비용을 대폭 절감할 수 있다. 또한, 이미 구축되어 있는 메시징 보안 솔루션이 최대의 성능을 발휘할 수 있는 환경을 조성해 주게 되는 것이다.

BIG-IP MSM 구현의 혜택
BIG-IP MSM은 다양한 부분에서 기업의 이메일 보안 노력에 혜택을 더해준다.

▲네트워크와 보안 장비 그리고 메시징 서버의 부하 감소 - '불량'하다고 알려진 IP 주소를 확인하고 차단함으로써, 네트워크로 유입되는 메시지를 70%까지 줄일 수 있다. 이것은 지속적으로 늘어나는 메일의 양을 처리하는데 매우 중요한 문제이다.

▲인프라 확장 관리 - 메일서버의 부하를 현저하게 감소 시킴으로써 기업들이 메일의 양을 추가로 처리할 수 있게 해주며, 고가의 메일 게이트웨이나 메일서버를 추가하는 비용을 절약해준다.

▲유효성 증가 - 만약 알려진 스팸 발신자가 검출을 피하기 위해 새로운 방법을 시도한다고 해도, MSM은 이 메시지의 출처를 인식하여 차단이 되도록 할 것이다. IP 기반의 신뢰도를 사용하지 않는 이메일 보안 솔루션은 새로운 위험 요소들로부터 자신들의 효력을 유지할 수 없게 된다.

결론
'원치 않는' 이메일의 증가로 네트워크의 부담 및 위험이 증가하고 있다. 단순히 직원들을 귀찮게 하거나 IT담당 직원들에게 부담을 주는 정도가 아니라, 기업의 비즈니스를 위협하는 수준에 이르렀다. 종래의 단일 계층에 대한 치밀한 검사 구조는 더 이상 많은 양의 스팸을 처리하는데 적절하지 못하다. 이제는 확장성이 뛰어나고 메시징 보안 기술에 대한 지속적인 대규모 투자가 없이도 신속하게 메시징 시스템의 부담을 해소할 수 있는 새로운 아키텍처가 절실히 필요한 시점이다.
현재 F5의 MSM은 이러한 모든 문제들을 해결할 수 있는 솔루션으로 시장에서 주목 받고 있으며, 이 솔루션은 BIG-IP 시스템과 TMOS 플랫폼 위에 배치된다.
저작권자 © 아이티데일리 무단전재 및 재배포 금지