이메일 보안을 담당하는 리더와 실무자는 매일 몇 가지 진실을 마주하게 됩니다. 자신의 이메일이 클라우드를 통해 전달되고 스팸 및 상용 맬웨어를 적절히 차단하는 보호 기능이 내장되어 있다는 것은 아마도 진실일 것입니다. 피싱, 맬웨어 및 기타 이메일 기반 위협을 차단하기 위해 SEG (Secure Email Gateway)에 상당한 시간과 비용 및 인력을 투입한 것도 아마 진실일 것입니다. 그럼에도 불구하고 이메일이 여전히 가장 빈번히 악용되는 인터넷 위협 소스인 것도 진실이며, Deloitte의 조사에서는 모든 사이버 공격의 91%가 피싱에서 시작된다는 결과가 드러났습니다.
피싱 방지와 SEG 서비스가 이렇게 오래전부터 사용되었는데, 왜 그렇게 많은 피싱이 여전히 성공하고 있을까요? 이와 관련하여 오컴의 면도날 이론에 동감한다면, SEG가 오늘날의 이메일 환경을 보호하도록 설계되지 않았고 오늘날의 피싱 공격을 안정적으로 차단하는 데도 효과적이지 않기 때문일 것입니다.
하지만 오컴의 면도날보다 더욱 확실한 근거가 필요하다면 아래의 내용을 읽어보세요.
세계가 SEG를 떠나는 이유
이메일 시장에서 일어난 가장 큰 변화 또한 전통적인 SEG를 무용지물로 만듭니다. 바로 클라우드 네이티브 이메일 서비스로 이동하는 현상 때문입니다. Gartner®에 따르면 2025년경에는 조직의 85% 이상이 '클라우드 중심' 전략을 도입할 것입니다. SEG와 같은 기존의 기기에서는 조직이 원하는 보안 관리에서 클라우드 네이티브 규모와 회복성, 유연성을 기대할 수 없습니다.
특히 이메일과 관련하여 Gartner®는 "고급 이메일 보안 기능이 게이트웨이가 아닌 통합 클라우드 이메일 보안 솔루션으로 배포되는 사례가 늘고 있습니다."라고 밝혔습니다. 2023년경까지 40% 이상의 조직이 SEG 대신 클라우드 이메일 공급자의 기본 보호 기능을 사용하게 될 것입니다. 오늘날 이메일은 사방에서 날아오고 온갖 곳으로 이동합니다. Exchange 서버 앞에 SEG를 배치하는 것은 시대착오적이고, 모바일과 원격 중심의 시대에 클라우드 받은 편지함 앞에 SEG를 배치하는 것은 곤란합니다. 오늘날 이메일 보안은 사용자를 따라가고, 받은 편지함과 가까이 있어야 하며, "어디에나 존재"해야 합니다.
SEG는 구조적으로 시대에 뒤떨어지기도 했지만 고급 피싱 및 소셜 엔지니어링 공격을 감지하는 기능도 부족합니다. 이는 SEG가 원래 스팸을 차단하도록 설계되었기 때문입니다. 감지하고 무효화하려면 대규모 공격 샘플이 필요한 대량 공격 문제를 해결합니다. 그러나 오늘날의 피싱 공격은 난사라기보다는 저격에 가깝습니다. 양으로 승부하지 않고 매우 표적화되어 있으며, 이메일 통신에 대한 암묵적인 신뢰를 악용하여 돈과 데이터를 훔칩니다. 최신 피싱 공격을 감지하려면 SEG가 대규모로 수행할 수 없는 컴퓨팅 집약적인 고급 이메일 분석 및 위협 감지 알고리즘이 필요합니다.
관리자가 수없이 많은 이메일 위협 정책을 생성하고 조정해야 하는 순간에 직면했을 때 SEG의 구식 감지 원리가 그대로 드러나게 됩니다. 대부분의 다른 사이버 공격과 달리, 이메일 피싱과 비즈니스 이메일 손상(BEC)는 "모호한" 신호가 너무 많아서 결정론적인 if-then 문만으로는 감지할 수 없습니다. 또한, 공격자는 이메일 위협 정책을 만드는 동안 가만히 있는 대신 발 빠르게 움직여 기술을 수정하고 여러분이 방금 만든 규칙을 우회합니다. SEG를 조정해서 피싱을 막으려 하는 것은 공격자에게 유리하게 조작된 두더지 잡기 게임을 하는 것과 같습니다.
피싱을 막으려면 앞을 내다보세요
기존의 이메일 보안 방어는 평판 데이터, 위협 서명과 같은 과거의 활성 공격 특성에 대한 지식에 의존하여 다음 공격을 감지하기 때문에 지속적으로 진화하는 최신 피싱 공격을 안정적으로 방어할 수 없습니다.
과거의 활성 피싱 페이로드, 웹사이트 및 기술을 알고 있어야 할 뿐만 아니라 위협 행위자의 다음 행동에 대한 인사이트도 갖춘 미래 지향적 보안 기술이 필요합니다. 위협 행위자가 앞으로의 공격에 사용하기 위해 어떤 사이트와 계정을 해킹하거나, 설정하고 있나요? 이러한 공격에는 어떤 페이로드와 기술을 사용하고 있나요? 공격을 가하기 전에 어디를 정찰하고 조사하고 있을까요?
Cloudflare Area 1은 인터넷을 미리 스캔하여 현재 구축 중인 공격자 인프라와 피싱 캠페인을 발견합니다. Area 1의 위협 중심 웹 크롤러는 의심스러운 웹 페이지와 페이로드를 동적으로 분석하고, 공격자 전술이 발전함에 따라 감지 모델을 지속적으로 업데이트하여 피싱 공격이 받은 편지함에 도달하기 며칠 전에 차단합니다.
이 위협 인텔리전스 코퍼스는 Cloudflare Gateway에서 관찰된 1T 이상의 일일 DNS 요청과 결합하면 공격 주기의 매우 초기 단계에서 피싱 위협을 차단할 수 있습니다. 또한, 심층 컨텍스트 분석을 사용하여 메시지에 포함된 심리, 어조, 주제 및 스레드 변형을 이해하면 Area 1에서 유효한 비즈니스 프로세스 메시지와 정교한 사칭 캠페인을 파악하고 구별할 수 있습니다.
계층화 보안에 대한 신뢰가 크기는 하지만, 계층은 중복되어서는 안 됩니다. 이제 SEG에서 제공하는 기능은 대부분 클라우드 이메일 제품과 함께 번들로 제공되는 기능과 겹칩니다. Area 1은 기본 이메일 보안을 (중복이 아니라) 강화하고 초기 방어 계층을 통과하는 피싱 공격을 차단하도록 구축되었습니다.
SEG 교체 프로젝트 계획
SEG 교체 프로젝트를 시작하는 가장 좋은 방법은 바로 교체할 것인지, 보강으로 시작해서 최종적으로 교체할 것인지 결정하는 것입니다. Cloudflare Area 1에는 SEG를 교체한 고객이 많이 있지만(자세한 내용은 나중에 설명), 처음에 SEG의 Cloudflare Area 1 다운스트림을 실행하고 나서 두 서비스의 효과를 평가한 다음에 더욱 최종적인 결정을 내린 사례도 있었습니다. 어느 쪽을 선택하든 교체하는 과정은 간단합니다!
프로젝트를 시작할 때 올바른 이해 관계자를 참여시키는 것이 중요합니다. 적어도, 이메일 전달과 및 생산성에 영향이 생기지 않도록 IT 관리자를 참여시키고 감지 효율성을 모니터링하기 위해 보안 관리자를 참여시켜야 합니다. 그 외에도 선호하는 구매 프로세스가 채널이라면 채널 파트너를 포함할 수 있고, 데이터가 적절히 처리되는지 확인하기 위해 개인정보 보호 및 규정 준수 팀의 누군가를 포함할 수도 있습니다.
이제 원하는 Cloudflare Area 1 배포 아키텍처를 결정해야 합니다. Cloudflare Area 1은 API를 통해 MX 레코드로 배포할 수 있으며 다중 모드 배포에서도 실행할 수 있습니다. 외부 위협에 대한 가장 효과적인 보호를 제공하려면 Cloudflare Area 1을 MX 레코드로 배포하는 것이 좋지만, 비즈니스 로직과 특정 요구 사항에 따른 맞춤형 서비스를 사용할 수도 있습니다.
마지막 준비 단계에서는 이메일 흐름을 매핑해야 합니다. 여러 도메인이 있는 경우 각 도메인의 이메일이 어디로 라우팅되는지 알아냅니다. 각각의 라우팅 계층을 확인합니다(예: 인바운드 메시지를 릴레이하는 MTA가 있습니까?). 조직 내의 논리적, 물리적 SMTP 계층을 잘 이해하면 메시지를 적절히 라우팅할 수 있습니다. Cloudflare Area 1이 스캔해야 하는 이메일 트래픽(노스/사우스, 이스트/웨스트, 두 가지 모두)이 무엇이고, 어떻게 기존 이메일 정책과 맞출 수 있을지 논의합니다.
전환 계획 실행
1단계: 이메일 보호 구현
Cloudflare Area 1을 MX 레코드로 구성하는 경우 따라야 하는 간략한 절차는 다음과 같습니다(예상 시간: ~30분).
- Cloudflare Area 1에서 메일을 수락하도록 다운스트림 서비스를 구성합니다.
- Cloudflare Area 1의 송신 IP가 메시지 전달에 영향을 미칠 수 있으므로 속도가 제한되거나 차단되지 않았는지 확인합니다.
- 이메일 서버가 온프레미스인 경우 Cloudflare Area 1이 이러한 시스템에 제공될 수 있도록 방화벽 규칙을 업데이트합니다.
- 수정 규칙을 구성합니다(예: 격리, 제목 또는 메시지 본문 접두사 추가 등).
- Cloudflare Area 1에 메시지를 삽입하여 메시지 흐름을 테스트하고 적절히 전달되는지 확인합니다. (저희 팀이 이 단계를 지원할 수 있습니다.)
- Cloudflare Area 1을 가리키도록 MX 레코드를 업데이트합니다.
Cloudflare Area 1이 기존 이메일 보안 솔루션에서 다운스트림으로 배포되는 경우의 절차는 다음과 같습니다(예상 시간: ~30분).
- Cloudflare Area 1이 원래 발신자 IP 주소를 감지할 수 있도록 Cloudflare Area 1에서 적절한 룩백 홉을 구성합니다.
- 이메일 서버가 온프레미스인 경우 Cloudflare Area 1이 이메일 서버에 제공될 수 있도록 방화벽 규칙을 업데이트합니다.
- 수정 규칙을 구성합니다(예: 격리, 제목 또는 메시지 본문 접두사 추가 등).
- Cloudflare Area 1에 메시지를 삽입하여 메시지 흐름을 테스트하고 적절히 전달되는지 확인합니다. (저희 팀이 이 단계를 지원할 수 있습니다.)
- 모든 메일이 이메일 서버가 아니라 Cloudflare Area 1으로 전달되도록 SEG의 전달 경로를 업데이트합니다.
2단계: DNS 통합
고객이 이메일을 받고 나서 따르는 가장 일반적인 단계 중 하나는 Cloudflare Area 1을 DNS 서비스와 통합하는 것입니다. Cloudflare Gateway 고객에게 좋은 소식이 있습니다. Cloudflare Area 1이 이제 Cloudflare Gateway를 재귀 DNS로 사용하여 최종 사용자가 이메일 링크나 웹 브라우징을 통해 피싱 및 악성 사이트에 액세스하지 못하도록 보호할 수 있게 되었습니다.
3단계: 다운스트림 보안 모니터링 및 복원 서비스와 통합
Cloudflare Area 1의 상세한 맞춤형 보고를 통해 위협에 대한 정보를 한눈에 확인할 수 있습니다. 강력한 API를 통해 SIEM과 통합하면 Cloudflare Area 1에서 감지한 결과를 네트워크, 엔드포인트 및 기타 보안 도구의 이벤트와 쉽게 연관시켜 인시던트 관리를 단순화할 수 있습니다.
Cloudflare Area 1은 고객이 Cloudflare Area 1 대시보드 내에서 직접 위협에 대응할 수 있도록 기본적인 복원 및 메시지 회수 기능을 제공하지만, 맞춤형 대응 플레이북을 만들기 위해 오케스트레이션 도구와 통합하는 방법을 선택하는 조직도 많습니다. 많은 고객이 Cloudflare의 API 후크를 활용하여 SOAR 서비스와 통합하고, 조직 전체의 응답 프로세스를 관리합니다.
성공을 측정하는 지표
SEG 교체 프로젝트가 성공적이었고 원하는 효과를 얻었는지 어떻게 알 수 있을까요? 감지 효과와 운영 단순성과 관련된 지표를 측정하는 것이 좋습니다.
감지 측면에 확실히 측정해야 할 지표로는 프로젝트 전후에 차단된 피싱 공격의 수와 특성이 있습니다. 이전에는 볼 수 없었던 새로운 유형의 피싱 공격이 차단되고 있나요? 여러 사서함에 도착한 캠페인에 대한 정보를 확보하고 있나요? 그 외에 유의해야 할 다른 감지 기반 지표로는 긍정 오류 횟수가 있습니다.
운영 측면에서는 이메일 생산성이 영향을 받지 않는 것이 중요합니다. 대표적인 모범적 예시로는 이메일 전달과 관련된 IT 티켓 수를 측정하는 사례가 있습니다. 이메일 보안 서비스의 가용성과 가동 시간도 주시해야 할 핵심 요소입니다.
마지막으로, 가장 중요한 점은 보안 팀이 이메일 보안에 얼마나 많은 시간을 할애하고 있는지 측정하는 것입니다. 그 시간이 이전보다 많이 단축되었기를 바랍니다! SEG는 지속적인 유지 관리가 대단히 많이 필요한 서비스로 유명합니다. Cloudflare Area 1을 통해 팀에서 다른 긴급한 보안 문제를 해결할 시간을 확보할 수 있다면 피싱 자체를 차단하는 것만큼이나 의미가 있습니다.
여러분에게는 많은 동료가 있습니다
이 글을 통해 SEG 교체 계획을 설명하는 이유는 이미 많은 고객이 이 길을 걸었고 결과에 만족하기 때문입니다.
예를 들어, 60개 이상의 국가에서 9,000만 명의 고객에게 서비스를 제공하고 Fortune 50대 기업에 속하는 어떤 글로벌 보험사는 SEG만으로는 공격을 차단할 수 없다는 것을 발견했습니다. 특히, 이메일이 SEG를 거쳐 받은 편지함에 도달한 후 "누락된 피싱"을 검색하는 과정이 무척이나 번거로웠습니다. 이런 피싱 공격을 포착할 수 있고 클라우드 및 온프레미스 메일함이 모두 포함된 하이브리드 아키텍처를 지원할 수 있는 이메일 보안 서비스가 필요했습니다.
이 고객은 Microsoft 365 및 SEG 계층의 Cloudflare Area 1 다운스트림을 배포한 후, 첫 한 달 내에 14,000개 이상의 피싱 위협을 차단했습니다. 그중 어떤 피싱 메시지도 사용자의 받은 편지함에는 도달하지 않았습니다. 기존 이메일 인프라와의 원스텝 통합 덕분에 유지 관리 및 운영 문제는 거의 발생하지 않았습니다. Cloudflare Area 1의 자동화된 메시지 회수 및 전달 후 보호 기능을 통해 이 고객은 놓친 피싱도 쉽게 검색하고 수정할 수 있었습니다.
SEG를 Cloudflare Area 1으로 확장하거나 교체한 고객과의 대화를 나누어 보고 싶다면 Cloudflare 고객팀에 연락하여 자세히 알아보세요! Cloudflare Area 1을 사용하는 모습을 보고 싶다면 여기에서 피싱 위험 평가에 등록하세요.
SEG 교체는 전반적인 Zero Trust 로드맵에도 잘 맞는 훌륭한 프로젝트입니다. Cloudflare One Week에 대한 전체 요약과 새로운 소식을 보려면 요약 웹 세미나를 시청하세요.
-
1Gartner 보도 자료, “Gartner, 클라우드가 새로운 디지털 경험의 중심이 될 것”, 2021년 11월 11일
2Gartner, “이메일 보안 시장 가이드”, 2021년 10월 7일, Mark Harris, Peter Firstbrook, Ravisha Chugh, Mario de Boer
GARTNER는 Gartner, Inc. 및/또는 미국 내 계열사의 등록 상표 및 서비스 마크이며 허가를 받고 본 문서에 사용하였습니다. 모든 권리는 저작권자에게 있습니다.