[디지털투데이 황치규 기자]클라우드 보안 업체 멘로시큐티는 5일 기존 악성 URL 링크 분석 엔진을 우회하는 회피성이 뛰어난 지능형 위협(Highly Evasive Adaptive Threats: HEAT)’ 공격을 방어할 수 있는 클라우드 기반 제로-트러스트 보안 서비스인 ‘멘로 클라우드 보안 플랫폼(Menlo Cloud Security Platform)’을 출시했다.

멘로시큐리티는 5일 여의도 콘래드 호텔에서 ‘멘로 클라우드 보안 서밋(Menlo Cloud Security Summit) 2022 아시아 로드쇼’ 한국 행사를 개최하고 멘로 클라우드 보안 플랫폼을 선보였다.
회사측에 따르면 사이버 위협 행위자들이 기존 악성 URL 링크 분석 엔진을 우회하는 HEAT 공격을 활용하는 사례가 늘고 있다.

HEAT는 이메일 뿐만 아니라, 소셜 미디어 및 메시징 플랫폼, 슬랙과 같은 협업 플랫폼, SMS 등을 비롯한 다양한 커뮤니케이션 영역들을 공격 대상으로 한다. 이 링크를 클릭하게 되면 접속 로그인 정보를 훔치거나 멀웨어가 배포된다.

악성 URL 링크 분석 엔진 우회하는 HEAT 공격은 APT와 멀웨어를 포함한 다양하게 사용이 가능하며  2021년 하반기에만 224% 증가했다. 

그러나 현재 사용 중인 전통적인 네트워크 보안 스택인 안티 바이러스, 도메인 분류, 침해 지표(IOC) 및 HTTP 검사. 샌드박스 기술 등은 도입 된지 10년이 넘어 치밀한 악성 행위자들의 위협을 방어하기엔 부족하다는게 멘로 시큐리티 지적이다.

멘로 랩(Menlo Labs) 연구팀 조사 결과에 따르면, 기업들은 일일 업무시간 75%에 웹 브라우저 사용하고 있는 것으로 나타났다. 이는 공격자가 원격 직원이 집중적으로 작업하는 웹 브라우저를 공격벡터(해커가 불법적으로 컴퓨터나 네트워크를 공격하기 위해 사용하는 경로)로 삼아 공격할 것임을 의미한다.

지역별 주간 랜섬웨어 공격 현황을 살펴보면 전세계에서 아태지역(APAC)이 가장 많은 공격 대상이 되고 있었으며, 1주일에 평균 51번 랜섬웨어 공격을 받고 있었다. 산업별로는 공공, 채굴(마이닝), 일반 기업 등의 순이었다.

공격자들은 랜섬웨어 실행 전에 이미 데이터를 유출했다. 랜섬웨어 공격이 있다고 해서 처음부터 랜섬웨어만을 목적으로 사이버 공격이 시작되지는 않는다. 여러 목적으로 침해가 일어나고, 데이터 유출, 계정 탈취, 원격 스텔스 모니터링 등이 끝난 마지막 단계에서 랜섬웨어 공격이 발생한다. 

멘로시큐리티는 3월  동안 엔비디아, 삼성전자, LG전자, 마이크로소프트, 옥타, 카스퍼스키 등 글로벌 대형 IT기업을 연달아 해킹해 악명을 높인 신생 해커그룹인 랩서스(Lapsus$)도 사례로 들었다.

멘로시큐리티는 "랩서스는 단순한 랜섬웨어 범죄 집단이 아니다. 랩서스는 단순히 데이터를 유출한 것이 아니라, 타겟 시스템을 암호화하여 돈을 지불하지 않으면 탈취한 정보를 유출할 것이라 협박했다. 즉 랩서스는 피싱 공격을 통해 피해자에 대한 접근 권한을 얻은 다음 데이터 암호화 멀웨어를 바로 배포하는 것이 아니라 가장 민감한 데이터를 찾아 훔쳤다"고 전했다.

멘로시큐리티는 클라우드 기반 보안 서비스인 ‘멘로 클라우드 보안 플랫폼(Menlo Cloud Security Platform)’은 레거시 네트워크 보안을 우회하는 HEAT 공격을 사전에 방어한다는 점을 부각했다.

모든 인터넷 콘텐츠를 먼저 클라우드에서 격리시켜 실행하는 특허받은 인터넷 격리(Internet Isolation) 기술인 '엘라스틱 아이솔레이션 코어(Elastic Isolation Core)’를 통해 웹과 이메일 링크 사용시 기존 방어 방식을 우회하는 멀웨어와 랜섬웨어, 피싱 공격 등으로부터 보호해 감염 위험을 제거한다는게 회사측 설명이다.

멘로시큐리티는 "네트워크 전송 속도를 개선한 렌더링 기술인 ACR(Adaptive Clientless Rendering)을 활용해 에이전트 설치 없이 인터넷 모든 콘텐츠를 일회용 가상 컨테이너에서 실행해 악용 가능한 활성 콘텐츠와 스크립트를 제거해 사이트의 깨끗하고 안전한 버전만 사용자에게 전달된다. 이 기술은 모든 브라우저와 장치, OS에서 동작된다. 결과적으로 사용자는 악성 콘텐츠가 전혀 없는 렌더링(실제와 같은 이미지 화면으로 보여줌)된 사이트를 확인할 수 있다"고 강조했다.

멘로시큐리티 스테파니 부(Stephanie Boo) 부사장은 “HEAT는 웹 브라우저를 공격 벡터로 활용하고 다양하고 정교한 기술을 사용하여 기존 보안 스택 여러 계층에 의한 탐지를 회피해 퍼블릭 클라우드 시대 가장 치명적이면서도 정교한 위협이다”면서 “멘로시큐리티는 모든 인터넷 콘텐츠를 먼저 클라우드 상에서 격리시켜 실행하여 최종사용자 경험에 영향을 미치지 않으면서도 끊김 없는 강력한 보안 환경을 구축할 수 있도록 지원한다 현재 멘로시큐리티는 전세계 공공기관과 대기업, 금융 서비스, 의료, 중요 인프라 등을 고객으로 확보하고 있으며, 하루에 5억개 이상 웹 사이트를 격리하고 있다”고 말했다.

멘로시큐리티 코리아 김성래 지사장은 “보안 위협이 더욱 정교해지고, 새로운 위협이 지속적으로 등장하고 있어 IT 관리자들은 랜섬웨어, 멀웨어, 피싱을 비롯한 지능형 위협을 빠르게 식별하여 완벽하게 대응할 수 있는 클라우드 기반 보안 플랫폼 도입에 나서고 있다”면서 “멘로시큐리티 격리 기술을 활용하면 모든 인터넷 콘텐츠와 웹사이트가 악의적이라고 가정해 보안상 안전한 곳이 없다는 정책 기반 제로 트러스트 인터넷(Zero Trust Internet) 환경 구축이 가능하다”고 말했다.