'보안사고 시작점' 이메일, 발신자 확인 기술로 대응한다

글자 작게 글자 크게 인쇄하기
정희수 리얼시큐 대표
<정희수 리얼시큐 대표>

사이버 공격 10건 가운데 9건이 이메일로 시작되는 가운데 악성 메일에 대응할 새로운 특허 기술이 나왔다. 기존 이메일 통신 방식을 활용, 발신자 정보를 정확히 확인할 수 있다.

리얼시큐는 '사칭 또는 위변조 메일 관리 방법 및 시스템'으로 특허를 획득했다. 이메일 송·수신에 활용되는 간이우편전송프로토콜(SMTP) 응답코드를 재해석, 그동안 불가능하다고 여겨진 '발신자 확인'이라는 이메일 보안 난제를 해결했다.

이메일은 랜섬웨어, 지능형지속위협(APT) 등 각종 사이버 공격 시작점으로 악용된다. 홈페이지 등을 통해 쉽게 수집할 수 있고 고난도 기법 없이 기업 내부에 침투할 수 있기 때문이다. 코로나19 사태 이후 긴급재난지원금, 국세청 등을 사칭한 이메일이 유포됐지만 수신자 입장에서 신원 미상 발신자를 파악할 방법이 없었다. 기존 이메일 보안 기술은 대부분 언어 기반 키워드 필터링과 악성코드 탐지에 의존하는 블랙리스트 기반으로 새로운 공격을 탐지하기 어렵다.

리얼시큐는 발신한 이메일에 대한 유실을 방지하기 위해 개발된 SMTP 에러코드를 활용, 이메일 보안 솔루션 '리얼메일'을 만들었다. △발신정보 △수신메일헤더 △도메인네임시스템(DNS) 등 세 가지 발신 정보를 비교해 일치하지 않으면 악성으로 분류한다.

'리얼메일'은 이메일이 수신되면 발신 이메일 서버에 검증 이메일을 자동 발신한다. 검증요청정보를 생성해 발신자 이메일 주소로 전송한다. 발신자 이메일 서버로부터 검증요청정보가 제공되면 발신자 이메일 주소가 유효한지 확인한다. 발신 이메일이 사칭되지 않았다면 SMTP 에러코드가 발생하지 않는다. 유효하지 않을 경우 사칭으로 판단하고 에러코드를 반환, 이메일을 차단한다. 코드별로 송·수신 오류를 탐지하고 사칭 이메일을 판별한다. 발신자가 확인된 이메일만 통과시키는 제로트러스트 화이트리스트 방식이다.

리얼시큐 특허 기술로는 발신 측이 아닌 수신 측에만 적용해도 발신자 정보를 확인할 수 있다. 메일서버등록제(SPF), 도메인키인증메일(DKIM) 등 국제적으로 통용되는 이메일 보안 기술은 발신자와 수신자가 동일한 기술을 적용해야만 가능하다는 한계가 있었다. 세계 메일 시스템에 이 기술을 동시에 적용해야만 이메일 수발신과 보안이 가능, 사실상 불가능하게 여겨졌다.

정희수 리얼시큐 대표는 “블랙리스트 기반 이메일 보안 기술과 결합하면 간단한 알고리즘으로 악성 이메일 대부분에 대응할 수 있게 된다”면서 “국내외 보안업계와 협력해 이메일 보안을 강화해가겠다”고 말했다.

오다인기자 ohdain@etnews.com