​
[그림 1] 정부 기관을 사칭한 악성 이메일

최신 이메일 공격 대응을 위한 콘텐츠 필터링 강화

안랩은 최신 이메일 위협 동향을 면밀히 분석해 MDS의 이메일 위협 대응 기능에 적용했다. 우선, 기업 환경에 따라 의심 메일에 대한 탐지 및 차단을 유연하게 확대할 수 있도록 ‘콘텐츠 필터’를 강화했다. 보안 관리자는 이메일 헤더, 제목, 본문, 첨부 파일 등으로 콘텐츠 필터를 상세하게 설정할 수 있다. 이와 함께 야라(YARA) 룰 생성 옵션을 확대해 기업 환경에 따라 이메일 탐지 조건과 조치를 설정할 수 있게 됐다.

다양한 포맷의 첨부 파일을 이용하는 최신 이메일 공격에 대응하기 위해 압축 파일을 비롯해 파일 확장자의 탐지 및 분석 대상을 확대했다. 탐지된 압축 파일 및 첨부 파일이 포함된 이메일 파일(듸)에 대한 위험도 표시를 개선했다. 또한, 이메일 제목 내 암호화 키워드에 대한 파싱과 본문 내 암호화 피싱 탐지 조건을 강화해 보안 솔루션의 탐지를 우회하기 위해 암호가 설정된 파일을 보다 정밀하게 탐지한다. 이 밖에도 개선된 MDS는 이메일 예외 처리 옵션을 확대하는 등 보안 관리자가 더욱 편리하고 능동적으로 이메일을 관리하고 위협에 대응할 수 있게 지원한다.

　

​
[그림 2] 압축 파일에 대한 위험도 표시 및 정보 제공

새로운 분석 엔진 프레임워크 적용…취약점 기반 공격 탐지율 향상

안랩의 독자적인 동적 콘텐츠 분석 기술(DICA, Dynamic Intelligent Content Analysis)이 적용된 MDS는 샌드박스를 기반으로 다양한 포맷의 문서 파일, 즉 비실행형(Non-PE) 파일에 대한 동적 분석을 제공해왔다. 안랩은 MDS의 비실행형 파일 탐지 성능을 강화하는 동시에 샌드박스 효율화를 위해 새로운 비실행형 파일 분석 엔진 프레임워크를 개발, MDS 최신 버전에 적용했다.
　

​
[그림 3] 문서 파일(비실행형) 내부에 포함된 악성 파일 탐지 및 분석 결과

MDS는 새롭게 적용된 비실행형 파일 분석 프레임워크를 통해 가상머신(샌드박스) 기반으로 탐지하기 어려운 취약점 기반의 악성 문서 파일 등에 대한 고도화된 정적 분석을 제공한다. 이로 인해 문서 파일 내부에 포함된 악성 파일에 대한 탐지율이 향상되었으며, 첨부된 문서 파일 내의 링크를 클릭하도록 유도하는 피싱 공격이나 파일 자체는 악성이 아니지만 사용자의 반응 행동(interaction)을 통해 악의적인 행위를 수행하는 공격에 효과적으로 대응할 수 있게 되었다. 정적 분석을 통해 비실행형 파일에 대해 보다 정밀하게 대응하는 동시에 더욱 효율적인 샌드박스 기반의 분석도 가능해졌다.

　

​
[그림 4] 사용자의 반응 행동을 유도하는 악성 파일

　

내부 위협 정보 및 클라우드 기반 TI 활용으로 효율적인 대응 가능

안랩은 올해 1월, 효율적인 위협 대응을 위해 MDS 장비를 통합 관리하는 MDS 매니저(MDS Manager)에 ‘행위 분석 정보 공유’ 기능을 추가한 바 있다. 네트워크를 비롯해 이메일 구간, 망연계 구간 등에 도입된 다수의 MDS 장비들의 행위 분석 결과를 네트워크 상에서 상호 공유하는 기능이다. 본사와 지사로 구성된 그룹사나 중앙행정부처와 산하 기관으로 구성된 공공기관에서는 최신 버전의 MDS를 통해 ‘행위 분석 정보 공유 기능’을 더욱 안정적으로 활용할 수 있다. 즉, 조직 내부에 설치된 여러 MDS 장비 중 하나에 새로운 위협이 탐지되면 해당 파일의 정보와 함께 행위 분석 결과를 MDS 매니저를 통해 공유함으로써 이후 다른 MDS 장비가 해당 파일을 탐지했을 때 별도의 분석 없이 즉각적으로 대응할 수 있다. 결과적으로 별도의 행위 분석을 수행하지 않아도 정확한 탐지와 대응이 가능하기 때문에 MDS 분석 장비의 성능을 더욱 효율적으로 활용할 수 있다.

또한 최신 버전의 MDS를 사용하는 고객사는 MDS 클라우드를 통해 최신 위협 분석 정보를 활용할 수 있다. 이 밖에도 MDS의 타 장비 연동 기능을 개선, 기업 환경에 따라 MDS를 샌드박스 분석 전용 장비로 활용하는 등 더욱 효율적인 위협 대응이 가능해졌다.

　

[출처 : 안랩(((www.ahnlab.com)]