KR20240019725A

KR20240019725A - 비승인 이메일 서버 접근 공격 검사를 수행하는 표적형이메일 공격 차단 및 대응을 위한 이메일 보안 시스템 및 그 동작 방법

Info

Publication number: KR20240019725A
Application number: KR1020230092845A
Authority: KR
Inventors: 김충한
Original assignee: (주)기원테크
Priority date: 2022-08-04
Filing date: 2023-07-18
Publication date: 2024-02-14
Also published as: KR20240019669A; KR20240019670A; KR20240019673A

Abstract

본 발명은 비승인 이메일 서버 접근 공격 검사를 수행하는 표적형 이메일 공격 차단 및 대응을 위한 이메일 보안 시스템 및 그 동작 방법에 관한 것으로, 그 방법은 수신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보와 발신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보를 동기화하여 보안 위협 정보 동기화 데이터를 구성하는 단계; 보안 위협 정보 동기화 데이터를 이용하여 신규 수신 메일 또는 신규 발신 메일에 대응하는 표적형 이메일 보안 위협 검사를 수행하는 단계; 및 신규 수신 메일 또는 신규 발신 메일의 상기 표적형 이메일 보안 위협 검사에 따른 표적형 이메일 보안 위협 대응 처리를 수행하는 단계를 포함하고, 표적형 이메일 보안 위협 검사는 이메일 정보 유출 위협 검사항목에 대응하는 비승인 이메일 서버 접근 공격 위협 검사를 포함한다.

Description

비승인 이메일 서버 접근 공격 검사를 수행하는 표적형 이메일 공격 차단 및 대응을 위한 이메일 보안 시스템 및 그 동작 방법{EMAIL SECURITY SYSTEM DETECTING UNAUTHORIZED EMAIL SERVER ACCESS ATTACKS FOR PREVENTING TARGETED EMAIL ATTACKS AND METHOD THEREOF}

본 발명은 표적형 이메일 공격 차단 및 대응을 위한 이메일 보안 시스템 및 그 동작 방법에 관한 것이다.

네트워크 공격 기술의 발달로 현대 사회에서 이메일을 통한 사이버 공격은 점차 진화하고 있다. 멀웨어와 사회 공학을 사용한 복잡한 사이버 공격 전술을 통해 소위 표적 이메일 공격이라고 하는 특정 대상을 겨냥한 악성 이메일의 활동이 증가함에 따라 전 세계의 활동적인 인터넷 사용자와 기업이 피해를 입고 있다.

이러한 표적 이메일 공격은, 불특정 다수를 대상으로 하는 스팸 피싱 공격과 달리 개인이나 기업을 대상으로 설정한 후 특정인을 대상으로 하여 대상 주체의 정보 자산을 훼손하거나 훼손하는 공격을 포함한다.

표적형 이메일 공격을 수행하기 위해 위협 행위자는, 정보를 수집하여 실제처럼 보이는 개인화된 이메일 메시지를 만들어 표적이 이에 응답하도록 설득하고 결국에는 보안 허점을 만든다.

나아가, 수신(인바운드) 및 발신(아웃바운드) 이메일에 사용되는 표적 공격은 헤더 위변조, 유사 이메일 주소 또는 계정 탈취(ATO) 등을 사용하여, 알려지지 않은 지능형 악성코드를 첨부하거나 대상이 신뢰하는 정상적인 발신자를 가장하는 등 정교하고 알려지지 않은 방법을 사용하기 때문에, 피해자는 공격자가 잘못된 송금, 데이터 유출, 컴퓨터 시스템 장애 등을 의도한 첨부 파일을 클릭하거나, 개인 정보가 포함된 답장을 보내는 등 이메일에 응답하게 된다.

이는, 피해자의 정보 자산에 심각한 위험을 초래할 수 있다. 그러나, 이러한 표적형 이메일 공격의 심각성에 비해, 현재까지 제안된 이메일 보안 솔루션은, 단순한 인바운드 스팸 차단, 인바운드 도메인 차단 등의 단편적인 기술에 머물러 있을 뿐이며, 알려진 기술들을 종합적으로 활용하여 표적형 이메일 공격을 효과적으로 방지하거나 차단하는 솔루션들은 제시되지 못하고 있는 실정이다.

특히, 수신(인바운드) 측에 대한 표적형 이메일 공격은, 결국 발신(아웃바운드)에 대한 보안 문제점으로도 이어지며, 발신 보안의 문제점이 다시 수신 보안 문제점으로도 이어지기 때문에, 이를 종합적으로 고려하여 표적형 이메일 공격을 차단하기 위한 체계적인 보안 시스템이 요구되고는 있으나, 적절한 솔루션이 제안되지는 못하고 있는 실정이다.

본 발명은 상기한 바와 같은 문제점들을 해결하고자 안출된 것으로, 인바운드 및 아웃바운드 메일에 대한 단계적 표적형 이메일 공격 위협 검사 프로세스를 통해, 표적형 이메일 공격을 효과적으로 차단하고, 이에 대응하는 적절한 대응 프로세스와 진단 리포팅을 제공할 수 있는 표적형 이메일 공격 차단 및 대응을 위한 이메일 보안 시스템 장치 및 그 동작 방법을 제공하는 데 그 목적이 있다.

상기한 바와 같은 과제를 해결하기 위한 본 발명의 실시 예에 따른 방법은, 이메일 보안 시스템을 이용한 서비스 제공 장치의 동작 방법에 있어서, 수신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보와, 발신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보를 동기화하여, 보안 위협 정보 동기화 데이터를 구성하는 단계; 상기 보안 위협 정보 동기화 데이터를 이용하여, 신규 수신 메일 또는 신규 발신 메일에 대응하는 표적형 이메일 보안 위협 검사를 수행하는 단계; 및 상기 신규 수신 메일 또는 상기 신규 발신 메일의 상기 표적형 이메일 보안 위협 검사에 따른 표적형 이메일 보안 위협 대응 처리를 수행하는 단계를 포함하고, 상기 표적형 이메일 보안 위협 검사는 이메일 정보 유출 위협 검사항목에 대응하는 비승인 이메일 서버 접근 공격 위협 검사를 포함한다.

또한, 상기한 바와 같은 과제를 해결하기 위한 본 발명의 실시 예에 따른 장치는, 수신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보와, 발신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보를 동기화하여, 보안 위협 정보 동기화 데이터를 구성하는 보안 위협 정보 동기화 처리부; 상기 보안 위협 정보 동기화 데이터를 이용하여, 신규 수신 메일 또는 신규 발신 메일에 대응하는 표적형 이메일 보안 위협 검사를 수행하는 표적형 이메일 보안 위협 검사부; 상기 신규 수신 메일 또는 상기 신규 발신 메일의 상기 표적형 이메일 보안 위협 검사에 따른 표적형 이메일 보안 위협 대응 처리를 수행하는 메일 처리부를 포함하고, 상기 표적형 이메일 보안 위협 검사부는 이메일 정보 유출 위협 검사항목에 대응하는 비승인 이메일 서버 접근 공격 위협 검사를 수행한다.

한편, 상기한 바와 같은 과제를 해결하기 위한 본 발명의 실시 예에 따른 방법은, 상기 방법을 컴퓨터에서 실행시키기 위한 프로그램 및 그 프로그램이 기록된 컴퓨터 판독 가능한 기록 매체로 구현될 수 있다.

본 발명의 실시 예에 따르면, 수신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보와, 발신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보를 동기화하여, 보안 위협 정보 동기화 데이터를 구성하고, 상기 보안 위협 정보 동기화 데이터를 이용하여, 신규 수신 메일 또는 신규 발신 메일에 대응하는 표적형 이메일 보안 위협 검사를 단계적으로 수행함에 따라, 효과적인 표적형 이메일 공격 위협 검사 프로세스를 처리할 수 있다.

이에 따라, 본 발명은 인바운드 및 아웃바운드 메일에 대한 단계적 표적형 이메일 공격 위협 검사 프로세스를 통해, 표적형 이메일 공격을 효과적으로 차단하고, 이에 대응하는 적절한 진단 리포팅과 대응 프로세스를 제공할 수 있는 표적형 이메일 공격 차단 및 대응을 위한 이메일 보안 시스템 장치 및 그 동작 방법을 제공할 수 있다.

도 1은 본 발명의 실시 예에 따른 전체 시스템을 개략적으로 도시한 개념도이다.
도 2는 본 발명의 실시 예에 따른 서비스 제공 장치를 설명하기 위한 블록도이다.
도 3 및 도 4는 본 발명의 실시 예에 따른 서비스 제공 장치의 일부 구성을 보다 구체적으로 설명하기 위한 블록도이다.
도 5 및 도 6은 본 발명의 실시 예에 따른 시스템을 이용한 서비스 프로세스를 설명하기 위한 흐름도이다.
도 7은 본 발명의 실시 예에 따른 대용량 파일 유출 검사 프로세스를 설명하기 위한 도면이다.
도 8은 본 발명의 실시 예에 따른 대용량 파일의 정책 기반 승인 프로세스를 설명하기 위한 래더 다이어그램이다.

이하의 내용은 단지 본 발명의 원리를 예시한다. 그러므로 당업자는 비록 본 명세서에 명확히 설명되거나 도시되지 않았지만 본 발명의 원리를 구현하고 본 발명의 개념과 범위에 포함된 다양한 장치와 방법을 발명할 수 있는 것이다. 또한, 본 명세서에 열거된 모든 조건부 용어 및 실시 예들은 원칙적으로, 본 발명의 개념이 이해되도록 하기 위한 목적으로만 명백히 의도되고, 이와 같이 특별히 열거된 실시 예들 및 상태들에 제한적이지 않는 것으로 이해되어야 한다.

또한, 본 발명의 원리, 관점 및 실시 예들 뿐만 아니라 특정 실시 예를 열거하는 모든 상세한 설명은 이러한 사항의 구조적 및 기능적 균등물을 포함하도록 의도되는 것으로 이해되어야 한다. 또한 이러한 균등물들은 현재 공지된 균등물뿐만 아니라 장래에 개발될 균등물 즉 구조와 무관하게 동일한 기능을 수행하도록 발명된 모든 소자를 포함하는 것으로 이해되어야 한다.

따라서, 예를 들어, 본 명세서의 블록도는 본 발명의 원리를 구체화하는 예시적인 회로의 개념적인 관점을 나타내는 것으로 이해되어야 한다. 이와 유사하게, 모든 흐름도, 상태 변환도, 의사 코드 등은 컴퓨터가 판독 가능한 매체에 실질적으로 나타낼 수 있고 컴퓨터 또는 프로세서가 명백히 도시되었는지 여부를 불문하고 컴퓨터 또는 프로세서에 의해 수행되는 다양한 프로세스를 나타내는 것으로 이해되어야 한다.

또한 프로세서, 제어 또는 이와 유사한 개념으로 제시되는 용어의 명확한 사용은 소프트웨어를 실행할 능력을 가진 하드웨어를 배타적으로 인용하여 해석되어서는 아니 되고, 제한 없이 디지털 신호 프로세서(DSP) 하드웨어, 소프트웨어를 저장하기 위한 롬(ROM), 램(RAM) 및 비휘발성 메모리를 암시적으로 포함하는 것으로 이해되어야 한다. 주지관용의 다른 하드웨어도 포함될 수 있다.

상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 실시함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다.

본 출원에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.

이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시 예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.

본 명세서에서 사용되는 '메일(mail)'은 사용자가 단말장치와 이에 설치되는 클라이언트 프로그램 또는 웹사이트를 통해 컴퓨터 통신망을 이용하여 주고 받는 이메일(Electronic mail), 웹메일(Web mail), 전자우편, 전자우편물 등의 용어를 통칭하여 사용할 수 있다.

도 1은 본 발명의 일 실시 예에 따른 전체 시스템을 도시한 개념도이다.

도 1을 참조하면, 본 발명의 일 실시 예에 따른 시스템은 서비스 제공 장치(100), 사용자단말(200), 메일서버(300)를 포함한다.

보다 구체적으로, 서비스 제공 장치(100), 사용자단말(200), 메일서버(300)는 공중망(Public network)과의 연결을 통해 유선 및 무선 중 하나 이상으로 연결되어 데이터를 송수신할 수 있다. 상기 공중망은 국가 혹은 통신 기간 사업자가 구축 및 관리하는 통신망으로, 일반적으로 전화망, 데이터망, CATV망 및 이동 통신망 등을 포함하여 불특정 다수의 일반인이 타 통신망이나 인터넷에 접속 가능하도록 연결 서비스를 제공한다. 본 발명에서는 상기 공중망을 네트워크로 대체하여 표기한다.

또한, 상기 서비스 제공 장치(100), 사용자단말(200), 메일서버(300)는 각 통신망에 상응하는 프로토콜로 통신하기 위한 각각의 통신 모듈을 포함할 수 있다.

상기 서비스 제공 장치(100)는 메일 보안 및 진단 서비스 제공을 위해, 각 사용자단말(200) 및 메일서버(300)와 유/무선 네트워크를 통해 연결될 수 있으며, 각 네트워크에 연결된 장치 또는 단말들은 사전 설정된 네트워크 채널을 통해 상호간 통신을 수행할 수 있다.

여기서 상기 각 네트워크는 근거리 통신망(Local Area Network; LAN), 광역 통신망(Wide Area Network; WAN), 부가가치 통신망(Value Added Network; VAN), 개인 근거리 무선통신(Personal Area Network; PAN), 이동 통신망(Mobile radio communication network) 또는 위성 통신망 등과 같은 모든 종류의 유/무선 네트워크로 구현될 수 있다.

본 명세서에서 설명되는 서비스 제공 장치(100)는 메일을 통하여 의도하지 않은 프로그램의 실행과 메일 관련 시스템의 데이터 처리 능력 저하, 피싱 사기, 등을 야기하는 공격을 탐지하고 차단할 수 있는 메일 보안 서비스를 제공할 수 있다.

나아가, 서비스 제공 장치(100)는 수신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보와, 발신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보를 동기화하여, 보안 위협 정보 동기화 데이터를 구성하고, 상기 보안 위협 정보 동기화 데이터를 이용하여, 신규 수신 메일 또는 신규 발신 메일에 대응하는 표적형 이메일 보안 위협 검사를 수행함에 따라, 상기 신규 수신 메일 또는 상기 신규 발신 메일의 상기 표적형 이메일 보안 위협 검사에 따른 표적형 이메일 보안 위협 대응 처리를 수행하는 메일 보안 서비스를 제공할 수 있다.

여기서, 상기 신규 수신 메일 또는 신규 발신 메일에 대응하는 표적형 이메일 보안 위협 검사는, 상기 보안 위협 정보 동기화 데이터를 이용한, 특정 이메일 계정을 대상으로 하는 스팸 공격 위협 검사, 악성코드 이메일 공격 위협 검사, 사회공학적 이메일 공격 위협 검사, 이메일 정보 유출 위협 검사 중 적어도 하나를 포함할 수 있으며, 보안 레벨에 대응하여 사전 정의된 단계적 검사 프로세스에 따라, 표적형 이메일 검사을 처리하고, 처리된 검사 데이터는 상기 보안 위협 정보 동기화 데이터를 갱신하는 데 이용될 수 있다.

또한, 서비스 제공 장치(100)는, 보안 위협 정보 동기화 데이터와, 표적형 이메일 검사 처리 정보를 이용하여, 표적형 이메일 공격에 대응하는 메일 보안 위협 요소의 정량 분석 기반의 메일 진단 프로세스를 수행하고, 각 이메일 시스템 사용자단말(200)로 상기 진단 프로세스에 기초한 진단 리포팅을 제공하는 메일 진단 서비스를 제공할 수 있다.

그리고 본 명세서에서 설명되는 사용자단말(200)은 PC(personal computer), 노트북 컴퓨터(laptop computer), 휴대폰(Mobile phone), 태블릿 PC(Tablet PC), PDA(Personal Digital Assistants), PMP(Portable Multimedia Player) 등이 포함될 수 있으나, 본 발명은 이에 한정되지 아니하며 공중망 또는 사설망 등을 통해 상기 서비스 제공 장치(100)와 메일서버(300) 등과 연결이 가능한 장치일 수 있다.

이에 더하여 각각의 장치는 애플리케이션 구동 또는 웹 브라우징을 통한 정보의 입출력이 가능한 다양한 장치일 수 있다. 특히, 일반적으로 사용자단말(200)들은 개별적인 보안 네트워크를 통해 상기 서비스 제공 장치(100)와 연결될 수 있다.

한편, 상기 메일서버(300)는 사용자가 사용자단말(200)을 통해 작성한 메일을 발신하거나 상대방이 사용자단말(200)을 통해 작성한 메일을 수신할 수 있도록 전자 우편 내용을 중계 및 보관하는 시스템이다. 상기 메일서버(300)는 메일의 수신과 발신 처리라는 사용 목적에 따라 사전 설정된 프로토콜을 활용하여 상호간 통신을 수행할 수 있다.

일반적으로 상기 프로토콜은 메일의 수신 처리 시, POP3(Post Office Protocol 3), IMAP(Internet Message Access Protocol)이 사용될 수 있다. 또한 상기 프로토콜은 메일의 발신 처리 시, SMTP(Simple Mail Transfer Protocol)가 사용될 수 있다. 이와 같이, 메일서버(300)는 메일 송수신 처리를 위한 서버(server) 시스템으로 구성되어 작동할 수 있다. 또한 상기 메일서버(300)는 메일수신서버와 메일발신서버로 세분화되어 각각의 기능을 제공할 수 있다.

도 2는 본 발명의 실시 예에 따른 서비스 제공 장치를 설명하기 위한 블록도이며, 도 3 및 도 4는 본 발명의 실시 예에 따른 서비스 제공 장치의 일부 구성을 보다 구체적으로 설명하기 위한 블록도이다.

먼저, 도 2를 참조하면, 본 발명의 일 실시 예에 따른 서비스 제공 장치(100)는, 제어부(110), 검사 데이터 수집부(120), 표적형 이메일 보안 위협 검사부(130), 보안 위협 정보 동기화 처리부(140), 수신 메일 처리부(150), 발신 메일 처리부(160), 레코드 관리부(170), 진단 리포팅부(180) 및 통신부(125)를 포함한다.

제어부(110)는 상기 서비스 제공 장치(100) 각 구성요소들의 동작을 전반적으로 제어하기 위한 하나 이상의 하드웨어 프로세서로 구현될 수 있다.

통신부(125)는, 사용자단말(200) 또는 메일서버(300)가 위치한 네트워크와 통신하기 위한 하나 이상의 통신 모듈을 구비할 수 있다.

검사 데이터 수집부(120)는 메일서버(300)를 통해 하나 이상의 사용자단말(200) 간 송수신되는 메일정보를 수집할 수 있다. 상기 메일정보는 이메일 헤더 정보, 이메일 제목, 이메일 내용 본문, 일정 기간 수신 횟수 등을 포함할 수 있다.

구체적으로, 상기 이메일 헤더 정보는 메일 발신 서버 IP 주소, 메일 발신 서버 호스트 이름 정보, 발신자 메일 도메인 정보, 발신자 메일 주소, 메일 수신 서버 IP 주소, 메일 수신 서버 호스트 이름 정보, 수신자 메일 도메인 정보, 수신자 메일 주소, 메일 프로토콜 정보, 메일 수신 시간 정보, 메일 발신 시간 정보 등을 포함할 수 있다.

또한 상기 이메일 헤더는 메일이 송수신 되는 과정에 있어 필요한 네트워크 경로 정보, 메일 교환을 위한 메일 서비스 시스템 간 사용 프로토콜 정보 등을 포함할 수 있다.

추가적으로 상기 메일정보는 첨부파일의 확장자, 첨부파일의 해시정보, 첨부파일명, 첨부파일 내용 본문, URL(Uniform Resource Locator) 정보 등을 포함할 수 있다. 상기 첨부파일은 발신자가 수신자에게 전달하고자 하는 메일 본문 내용에 더하여 추가적인 정보를 전달하거나 또는 정보 회신을 요구하기 위한 추가적인 콘텐츠를 포함할 수 있다.

상기 콘텐츠는 텍스트, 이미지, 동영상 등을 제공할 수 있다. 수신자는 메일에 첨부되어 있는 파일에 대응되는 애플리케이션을 실행시켜 콘텐츠를 확인할 수 있다. 또한 수신자는 메일에 첨부되어 있는 파일을 로컬저장장치에 다운로드하여 저장 및 관리가 가능하다.

상기 첨부파일의 확장자는 파일의 형식이나 종류를 구분할 수 있다. 상기 첨부파일의 확장자는 일반적으로 파일의 속성이나 파일을 생성한 애플리케이션을 나타내는 문자열로 구분될 수 있다. 예를 들어, 텍스트 파일은 [파일명].txt, MS워드 파일은 [파일명].doc(docx), 한글 파일은 [파일명].hwp 등의 확장자로 구분될 수 있다. 또한 이미지 파일은 gif, jpg, png, tif 등으로 확장자가 구분될 수 있다.

추가적으로 코드화 된 명령에 따라 지시된 작업을 수행하도록 하는 컴퓨터 파일인 실행파일은 [파일명].com, [파일명].exe, [파일명].bat, [파일명].dll, [파일명].sys, [파일명].scr 등으로 구분될 수 있다.

상기 첨부파일의 해시정보는 정보의 위변조를 확인하여 정보의 무결성을 보장할 수 있다. 해시정보 또는 해시값은 해시함수를 통해 임의의 길이를 가지는 임의의 데이터에 대해 일정한 길이의 비트열로 매핑될 수 있다.

이를 통해 최초 생성되는 첨부파일에 대하여 해시함수를 통해 출력되는 해시정보는 고유의 값을 가지게 된다. 상기 출력되는 해시정보 또는 해시값은 역으로 함수에 입력되는 데이터를 추출할 수 없는 일방향성을 가진다. 또한 해시함수는 하나의 주어진 입력 데이터에 대하여 출력된 해시정보 또는 해시값과 동일한 출력을 제공하는 또 다른 입력 데이터는 계산적으로 불가능한 충돌 회피성을 보장할 수 있다. 이에 따라, 상기 첨부파일의 데이터를 수정하거나 추가하게 되면 해시함수의 출력값은 상이하게 반환된다.

이와 같이, 상기 첨부파일의 고유한 해시정보는 메일을 통해 주고 받는 파일에 대하여 해시정보 또는 해시값을 비교함으로써 파일의 수정, 위변조 여부를 확인할 수 있다. 또한 상기 해시정보는 고유한 값으로 고정되기 때문에 악의적인 의도를 가지고 생성한 파일에 대한 과거 히스토리의 데이터베이스인 평판 정보를 활용함으로써 사전 방역 조치를 가능하게 할 수 있다. 추가적으로 상기 해시함수는 일방향성과 충돌 회피성을 보장할 수 있는 기술 및 버전으로 이용될 수 있다.

예를 들어, 해시정보는 바이러스토탈 웹사이트나 멀웨어즈 웹사이트를 통해 파일의 악성코드 유무에 대한 검색 정보로 활용될 수 있다. 상기 파일의 해시정보 분석을 제공하는 웹사이트를 통해서 파일의 제공업체, 파일의 해시값 등의 정보를 제공받을 수 있다. 또한 파일의 해시정보에 대한 검색 결과는 다수의 IT 정보 보안 솔루션을 제공하는 글로벌 회사에서 판별한 평판 정보를 크로스 체크할 수 있어 보다 신뢰성 있는 정보로 판단이 가능하다.

표적형 이메일 보안 위협 검사부(130)는 사전 설정된 표적형 이메일 보안 위협 검사 프로세스에 따라, 상기 메일정보에 대응하는 메일보안 검사 프로세스의 단계별 매칭을 처리하고, 상기 매칭 처리된 메일보안 프로세스에 의해 상기 메일정보를 검사하며, 상기 검사결과에 따른 메일보안 검사정보를 저장 및 관리할 수 있다.

여기서, 상기 표적형 이메일 보안 위협 검사 프로세스는, 신규 수신 메일 또는 신규 발신 메일에 대응하여, 상기 보안 위협 정보 동기화 데이터를 이용한, 특정 이메일 계정을 대상으로 하는 스팸 공격 위협 검사, 악성코드 이메일 공격 위협 검사, 사회공학적 이메일 공격 위협 검사, 이메일 정보 유출 위협 검사 중 적어도 하나를 포함할 수 있다.

또한, 이러한 스팸 공격 위협 검사, 악성코드 이메일 공격 위협 검사, 사회공학적 이메일 공격 위협 검사, 이메일 정보 유출 위협 검사는 각 보안 위협 유형에 따라, 사전 설정된 단계적 우선 순위가 설정되고, 순차적으로 처리될 수 있다.

또한, 상기 표적형 이메일 보안 위협 검사 프로세스는, 신규 수신 메일 또는 신규 발신 메일에 대응하는 서로 다른 메일보안 프로세스가 결정될 수 있다. 또한 상기 메일보안 프로세스의 검사 대상, 검사 순서 또는 검사 방식은, 동기화된 보안 위협 정보 동기화 데이터에 의해 미리 결정될 수 있다.

상기 표적형 이메일 보안 위협 검사 프로세스는, 수신(인바운드) 또는 발신(아웃바운드)을 위한 메일정보가 사용자 단말(200)에서 전송되면 독립적으로 구분 된 프로세스를 리소스로 할당하고, 상기 메일정보에서 할당된 검사영역에서 즉각적으로 실행될 수 있다. 유동적 리소스 할당 방식은 가상공간 개념으로 설명될 수 있다. 상기 가상공간으로 리소스를 할당하는 방식에서 메일보안 프로세스는 처리가 완료 시, 순차적으로 유입되는 메일정보에서 할당된 검사영역에서 작업을 즉각적으로 처리할 수 있다.

대조적으로 가상환경, 가상머신과 같이 하나의 리소스 안에서 처리가 제한되는 일정 프로세스가 할당된 환경은 요청되는 작업을 처리 시, 특정 프로세스의 처리가 완료되기 까지 다른 프로세스들이 대기하는 아이들(idle) 타임을 가질 수 있다. 이처럼 프로세스를 통한 분석 방식에 있어서, 유동적 리소스는 고정형 리소스와 비교 시 처리 속도 및 성능에서 우위를 가질 수 있다.

상기 표적형 이메일 보안 위협 검사부(130)는 상기 검사 데이터 수집부(120)에서 수집된 상기 메일정보에 따라 수신 또는 발신 목적으로 메일을 구분할 수 있다. 이 후, 상기 표적형 이메일 보안 위협 검사부(130)는 상기 메일보안 프로세스를 순차적 또는 설정된 우선순위에 근거하여 매칭하고 분석함으로써 각각의 메일에 대한 표적형 이메일 보안 검사 정보를 획득할 수 있다.

여기서, 상기 표적형 이메일 보안 위협 검사부(130)는, 악성코드를 이용한 이메일 위협 유형뿐 아니라 악성코드가 없는 공격 유형에 대한 검사도 처리할 수 있다. 표적형 이메일 공격의 구체적인 유형은, 악성코드 공격 뿐만 아니라, 사칭, 계정 탈취 등과 같은 사회공학적 공격이 있을 수 있으며, 이로 인한 비고의적 정보 유출 또는 고의적 정보 유출 공격 등도 해당될 수 있다.

이에 따라, 표적형 이메일 보안 위협 검사부(130)는, 각각의 유형별 공격을 단계적으로 검출하기 위하여, 스팸 공격 위협 검사부(131), 악성코드 공격 위협 검사부(133), 사회공학적 공격 위협 검사부(135) 및 정보 유출 검사부(137)를 포함한다.

여기서, 표적형 이메일 보안 위협 검사부(130)는, 보안 위협 정보 동기화 처리부(140)에서 사전 구성된 보안 위협 정보 동기화 데이터를 이용할 수 있다.

이를 위해, 보안 위협 정보 동기화 처리부(140)는, 수신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보와, 발신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보를 동기화하여, 보안 위협 정보 동기화 데이터를 구성할 수 있다.

여기서, 보안 위협 정보 동기화 데이터는, 각 검사 프로세스 및 외부의 보안 서버로부터 수집된 악성 파일 정보 및 악성 계정에 대한 식별 정보를 포함할 수 있으며, 수신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보와, 발신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보를 동기화하여, 구성될 수 있다.

예를 들어, 상기 보안 위협 정보 동기화 데이터는 특정 수신 메일의 표적형 이메일 보안 위협 검사에서 악성 위협 레벨이 높은 것으로 검사된 파일 정보나, 사칭이나 계정 탈취 가능성이 높은 것으로 검사된 발신자 계정 정보를 포함할 수 있다.

또한, 상기 보안 위협 정보 동기화 데이터는 특정 발신 메일의 표적형 이메일 보안 위협 검사에서, 정보 유출 위협 레벨이 높은 것으로 검사된 파일 정보나, 사칭이나 계정 탈취 가능성이 높은 것으로 검사된 수신자 계정 정보를 포함할 수 있다.

그리고, 상기 보안 위협 정보 동기화 데이터는, 유사 도메인 공격과 연관된 것으로 검출된 이메일 계정 및 도메인 정보를 포함하는 유사 도메인 검사 정보를 포함할 수 있다.

또한, 상기 보안 위협 정보 동기화 데이터는, 계정 탈취 공격과 연관된 것으로 검출된 이메일 계정 및 도메인 정보를 포함하는 계정 탈취 공격 검사 정보를 포함할 수 있다.

그리고, 상기 보안 위협 동기화 데이터는, URL 링크의 리다이렉션 경로 정보를 메일 수신일 이후에 변경하는 제로 데이 URL 공격 검사 정보와, 시스템 보안 취약점이 발견된 뒤에 이를 막을 수 있는 패치가 발표되기도 전에 이를 이용한 악성코드나 해킹 공격을 처리하는 제로 데이 멀웨어(zero-day malware) 검사 정보를 포함할 수 있다.

또한, 상기 보안 위협 동기화 데이터는, 이메일 서버 정보, 경유지 정보 및 발송자 정보를 포함하는 전송 라우팅 검사 정보(Delivery routing information)를 더 포함할 수 있다.

나아가, 상기 보안 위협 정보 동기화 데이터는, 표적형 이메일 보안 위협 검사부(130)의 각 처리부에서 처리되는 검사 데이터를 이용하여 지속적으로 갱신 처리될 수 있는 바, 이에 따라 발신 및 수신 보안 시스템의 통합적인 보안 관리가 가능하며, 표적형 이메일 공격으로 인한 내부 시스템 손상이나, 외부로의 정보 유출을 사전에 효과적으로 방지할 수 있다.

이러한 보안 위협 정보 동기화 데이터는, 후술할 각 보안 검사 프로세스에서 검사되는 정보로서, 알려지지 않은 악성 코드 정보, 첨부파일 악성 코드 정보, URL 악성 코드 정보, 헤더 위변조 정보, 유사 도메인 정보, 계정 탈취 정보, URL 피싱 정보, 고의적 정보 유출 정보, 비고의적 정보 유출 정보, 비승인된 이메일 서버 접근 정보 등이 예시될 수 있다.

이러한 검사 프로세스를 수행하고 보안 위협 정보 동기화 데이터를 구성하기 위해, 먼저, 상기 표적형 이메일 보안 위협 검사부(130)는 스팸메일 검사부(131)를 포함할 수 있다.

상기 스팸메일 검사부(131)는 상기 메일보안 프로세스가 스팸메일 보안 프로세스인 경우, 메일 헤더 정보, 메일 제목, 메일 내용 본문, 일정 기간 수신 횟수 등을 포함하는 상기 메일정보를 사전 설정한 스팸지표와 단계별로 매칭할 수 있다.

여기서, 상기 스팸메일 보안위협은 관계없는 발신자와 수신자 간에 광고와 홍보 등을 목적으로 일방적, 대량으로 불특정 다수에게 무차별적으로 살포되는 메일 유형을 포함할 수 있다. 또한 대량의 스팸메일은 메일 시스템의 데이터 처리 능력에 부하를 주게 되어 시스템의 처리 능력을 저하시키는 원인이 될 수도 있다. 또한 스팸메일은 내용 본문 등에 포함된 무분별한 정보에 대하여 사용자가 의도하지 않게 연결될 수 있고 잠재적인 피싱 사기를 위한 정보로 위장될 수 있는 위험성이 있다.

따라서, 상기 스팸메일 검사부(131)는 메일 헤더 정보와 메일 제목, 메일 내용 본문 등을 포함하는 메일정보에 대하여 스팸메일로 구분할 수 있는 일정 패턴 검사 등을 통해 스팸지표에서 검사항목으로 이용할 수 있다. 이를 통해 상기 스팸메일 검사부(131)는 상기 스팸지표를 단계별로 매칭하여 스팸메일 검사정보를 획득하고 저장 및 관리할 수 있다.

또한, 상기 표적형 이메일 보안 위협 검사부(130)는 악성코드 공격 위협 검사부(132)를 더 포함할 수 있다.

악성코드는, 피해자의 컴퓨터 시스템에 있는 메모리에 액세스하여 파일과 프로그램을 손상시키거나 삭제할 수 있는 것으로, 여기서, 표적형 이메일 보안 위협 검사 대상인 악성코드 공격은, 크게 3가지 공격으로 그 유형이 구분될 수 있는 바, 악성코드 공격 위협 검사부(133)는, 각 공격 유형별 검사 프로세스를 수행을 위한 동기화된 보안 위협 정보 동기화 데이터를 확인할 수 있으며, 검사 결과에 따른 검사 데이터를 보안 위협 정보 동기화 처리부(140)로 전달하여, 다시 보안 위협 정보 동기화 데이터를 갱신하도록 처리할 수 있다.

먼저, 알려지지 않은 악성코드를 위한 공격 유형은, 빅데이터 데이터베이스에 등록되지 않아 백신 테스트에서 탐지하기 어려운 새로운 알려지지 않은 악성코드를 사용한 공격을 의미한다. 예를 들어, 공격자는 발송 당일이 아닌 일정 시간 이후에 메일 내 URL 링크나 첨부파일의 접속 경로를 리다이렉션하는 방식으로, 악성 코드를 배포하는 제로데이 취약점을 악용하여, 보안 솔루션이 탐지하지 못하는 새로운 악성코드가 포함된 첨부 파일을 삽입하고 사용자의 클릭을 유도하는 이메일을 발송할 수 있다.

또한, 첨부파일의 악성코드 공격은, 악성 이메일 첨부 파일은 공격자가 일반적으로 이메일로 보내는 파일 내부에 악성 코드를 숨기는 위협 유형으로서, 이러한 악성 이메일의 첨부 파일은 문서, 컴파일 및 실행 파일, 심지어 이미지 및 비디오 파일로 위장할 수 있고, 다른 확장자를 사용하여 암호화된 파일일 수도 있다. 나아가, 실행 파일을 사용한 공격에는 악성 문서가 포함된 이메일을 열도록 수신자를 속이기 위해 보낸 사람의 주소를 위조할 수도 있으며, 이미지에 악성코드를 삽입하여 이메일 본문에 첨부하는 공격을 포함할 수 있다.

한편, URL을 이용한 악성코드 공격은 사용자를 악성 웹사이트로 유인할 목적으로 이메일에 악성코드가 포함된 클릭 가능한 링크를 삽입하는 공격 유형일 수 있다. 악성 URL은 대용량 첨부 파일 또는 이메일 본문에 포함될 수 있는 바, 사용자가 이메일 또는 일반 첨부 파일의 URL을 클릭할 때뿐만 아니라 전달 시에만 악성 코드가 실행되도록 하는 공격도 포함될 수 있다.

상기 악성코드 공격 위협 검사부(132)는 전술한 각 유형별 보안 검사 프로세스를 수행하기 위해, 첨부파일의 해시정보, 첨부파일명, 첨부파일 내용 본문, URL(Uniform Resource Locator) 정보 등을 더 포함하는 상기 메일정보를 사전 설정한 악성코드지표와 단계별로 매칭할 수 있다.

상기 악성코드 공격 위협 검사부(132)는 첨부파일의 속성값으로 확인할 수 있는 첨부파일의 확장자, 첨부파일의 해시정보, 첨부파일명 등과 함께 첨부파일 내용 본문과 내용 본문에 포함되는 URL(Uniform Resource Locator) 정보를 악성코드지표 검사 항목으로 이용할 수 있다. 이를 통해 상기 악성코드 공격 위협 검사부(132)는 상기 악성코드지표를 각 유형 및 항목에 따라 단계별로 매칭하여 악성코드 검사정보를 획득하고, 레코드 관리부(170)를 통해 저장 및 관리할 수 있으며, 보안 위협 정보 동기화 처리부(140)로 제공하여, 보안 위협 정보 동기화 데이터의 갱신을 처리할 수 있다.

상기 악성코드지표는 단계별로 메일정보에 포함되는 항목에 기반한 검사항목과 검사를 통한 수준값이 설정될 수 있으며, 각 검사 수준값은 전술한 보안 위협 정보 동기화 데이터에 따라 갱신될 수 있다.

예를 들어, 상기 악성코드지표 Level 1은 보안 위협 정보 동기화 데이터로부터 획득되는 빅데이터 및 평판 정보에 기반하여 메일정보에 포함되는 첨부파일명, 첨부파일의 확장자를 매칭할 수 있다. 이를 통해 상기 악성코드지표 Level 1은 평가된 수준값을 악성코드지표 Level 1의 검사정보로 획득할 수 있다. 예를 들어, 상기 악성코드지표 Level 1의 검사정보는 검사항목인 첨부파일명이 'Trojan', 첨부파일의 확장자가 'exe'를 포함하고 있을 시, 상기 빅데이터 및 평판 정보에서 악성코드로 정의된 정보와 일치되는 경우, 0과 1로 구분된 수준값에서 '1'로 평가될 수 있다. 이를 통해 악성코드지표 Level 1의 검사정보는 '1'로 획득될 수 있다.

추가적으로 상기 악성코드지표 Level 2는 보안 위협 정보 동기화 데이터로부터 획득되는 빅데이터 및 평판 정보에 기반하여 메일 첨부파일의 해시정보를 매칭할 수 있다. 이를 통해 평가된 수준값을 악성코드지표 Level 2의 검사정보로 획득할 수 있다. 예를 들어, 상기 악성코드지표 Level 2의 검사정보는 검사항목인 첨부파일 해시정보가 'a1b2c3d4'로 분석 시, 상기 평판 정보에서 악성코드로 정의된 정보와 일치되는 경우 0과 1로 구분된 수준값에서 '1'로 평가될 수 있다. 이를 통해 악성코드지표 Level 2의 검사정보는 '1'로 획득될 수 있다.

다음 단계로 상기 악성코드지표 Level 3은 보안 위협 정보 동기화 데이터로부터 획득되는 URL 평판 정보에 기반하여 첨부파일 또는 메일 내용 본문에 포함된 URL(Uniform Resource Locator) 정보를 매칭할 수 있다. 이를 통해 평가된 수준값을 악성코드지표 Level 3의 검사정보로 획득할 수 있다. 예를 들어, 상기 악성코드지표 Level 3의 검사정보는 검사항목인 URL 정보가 'www.malicious-code.com'으로 확인 시, 상기 URL 평판 정보에서 악성코드 파일이 포함되는 유해 사이트로 정의된 정보와 일치되는 경우 0과 1로 구분된 수준값에서 '1'로 평가될 수 있다. 이를 통해 악성코드지표 Level 3의 검사정보는 '1'로 획득될 수 있다. 그리고 상기 악성코드 공격 위협 검사부(132)는 URL 평판 정보에서 누락될 수 있는 제로데이 공격에 대응할 수 있다. 상기 악성코드 공격 위협 검사부(132)는 평판 정보가 없는 URL에 대한 링크 IP 주소를 특정 시스템의 IP 주소로 변경하고 변경된 IP 주소를 사용자단말(200)에 제공할 수 있다. 상기 사용자단말(200)은 상기 URL에 접속하고자 할 시, 상기 악성코드 공격 위협 검사부(132)가 변경한 특정 시스템의 IP 주소로 접속될 수 있다. 이 전에 상기 URL에 대한 링크 IP 주소로 변경된 특정 시스템은 지속적으로 URL의 엔드포인트까지 악성코드 포함 여부를 검사할 수 있다.

한편, 악성코드 공격 위협 검사부(133)는, 알려지지 않은 악성코드를 식별하기 위해, 보안 위협 정보 동기화 데이터를 이용한 악성코드 분류 관리를 통해, 관리자가 악성파일로 식별된 이메일을 분류 구성할 수 있도록 하며, 이에 따라 사용자가 재전송을 요청하더라도 바이러스 등이 전달되지 않도록 처리할 수 있다.

또한, 악성코드 공격 위협 검사부(133)는, 알려지지 않은 악성코드의 검사를 위해, 다중 분석 검사를 수행할 수 있으며, 다중 분석 검사는 정적 검사와 동적 검사를 결합하여, 시스템에 대한 악성 코드의 행동을 검사하여 1차 검사에서 탐지되지 않은 새로운 바이러스를 탐지할 수있다. 행동 검사 결과는 예를 들어 '위조', '메모리 접근', '후킹 경고', '파일 생성', '파일 삭제', '프로세스 실행'으로 구분될 수 있으며, 이에 따라 악성코드 공격 위협 검사부(133)는 행동 검사 수행 결과 정보로부터 악성코드 공격 위협을 검사하고, 검사 결과를 보안 위협 정보 동기화 처리부(140)로 전달하여, 보안 위협 정보 동기화 데이터의 갱신에 이용할 수 있다.

예를 들어, 악성코드 공격 위협 검사부(133)는, 3단계로 구성된 바이러스 테스트를 수행할 수 있는 바, 1차 검사(백신 검사), 2차 테스트(환경적 운영체제 변경 테스트) 및 3차 테스트(행동 기반 분석 테스트)를 단계적으로 처리하여, 각 단계별 검사 결과를 이용한 악성코드 공격 위협을 검사할 수 있다.

그리고, 악성코드 공격 위협 검사부(133)는, 보안 위협 정보 동기화 데이터및 빅데이터 기반의 검사를 수행하기 위해, 클라우드 서비스를 통해 사용자의 모든 수신(인바운드) 및 발신(아웃바운드) 이메일 데이터를 정기적으로 스캔하여 추가 검사가 필요한 악성 첨부 파일을 추출할 수 있다.

그리고, 악성코드 공격 위협 검사부(133)는, 보안 위협 정보 동기화 데이터에 의해, 보안 위협 정보 동기화 처리부(140)에서 빅데이터로 구축된 데이터를 기반으로 표적 이메일 공격 위험 여부를 판단할 수 있다. 빅데이터 분석 기능은 위조된 확장자(예: .doc, .docx, .ppt, .pptx, .pdf, .txt, .rtf 등)까지도 악성 코드 분석 대상으로 식별하고 감지할 수 있다.

한편, 악성코드 공격 위협 검사부(133)는, URL의 악성코드가 검출된 경우, 수신 메일 처리부(150)로 전달되는 메일 정보의 URL 데이터를 이미지로 변환 처리할 수 있다. 이에 따라, 첨부된 악성 URL이 인식되는 위험한 감지 환경에서 URL 링크를 열 수 없도록 방지 처리될 수 있다.

또한, 악성코드 공격 위협 검사부(133)는, 전술한 엔드포인트 URL 모니터링을 통해 잠재적인 위험을 모니터링하고, 이메일 본문 또는 문서 파일 내 모든 URL의 최종 목적지를 지속적으로 추적 처리할 수 있다. 여기서, 악성코드 공격 위협 검사부(133)는, 모든 URL을 상호 연결된 n번째 URL로서 추적할 수 있다. 또한, 악성코드 공격 위협 검사부(133)는, 이메일 본문에 포함된 문서 파일을 URL에서 확인하며, 특히 대용량 첨부 파일의 경우, 이메일 본문의 URL을 우회하여 다운로드되는 대용량 첨부 파일에 대하여도, 다운로드 후 악성 첨부 파일 또는 문서 파일에 대한 모든 URL을 추적할 수 있다.

그리고, 악성코드 공격 위협 검사부(133)는, 사용자가 이메일 수신 후 URL 링크 클릭 시도 시 파일 및 엔드포인트 스캐닝을 통해 실시간으로 URL에 대한 접근을 재점검하고, 위험이 감지되면 접근을 제한하는 URL 사후 테스팅을 수행할 수 있다. 이에 따른 URL 사후 테스팅 정보는 보안 위협 정보 동기화 데이터에 실시간으로 갱신될 수 있으며, 수신 메일 처리부(150) 및 발신 메일 처리부(160)는 이러한 보안 위협 정보 동기화 데이터에 의해 확인된 URL 사후 테스팅 결과를 참조하여, 표적형 이메일 공격에 대한 차단, 사용자 알림 등의 처리를 수행할 수 있다.

또한, 악성코드 공격 위협 검사부(133)는, 악성 코드 공격을 검사하기 위한 이미지 기반 필터링을 수행할 수 있는 바, 이는 텍스트 기반 필터링 또는 악성 첨부 파일 필터링을 피하기 위해 구성된 텍스트 악성 그래픽 이미지를 감지할 수 있다.

이와 같이 상기 악성코드 보안 프로세스를 통해 악성코드지표 레벨 단위로 획득된 검사정보는 최종적으로 합산('3')되어 악성코드 검사정보로 저장 및 관리될 수 있다. 이렇게 합산된 악성코드 검사정보는 보안 위협 정보 동기화 처리부(140)로 제공되어, 보안 위협 정보 동기화 데이터의 갱신에 이용될 수 있다.

상기한 바와 같은 악성코드 이메일 공격(Malware email attacks)의 제1 유형으로서, 제로-데이 악성코드(Zero-day malware)는 빅데이터 데이터베이스에 등록되어 있지 않기 때문에, 공격자가 사용하는 알려지지 않은 악성코드는 보안 시스템에서 탐지하기 어렵다. 이와 같은 제로-데이 악성코드에 대한 취약점은, 보안 시스템이 탐지할 수 없는 알려지지 않은 악성코드를 포함한 첨부 파일이나 클릭 가능한 링크를 삽입하고, 사용자가 클릭하지 말아야 할 곳을 클릭하도록 유도하는 이메일을 보내는 데 악용될 수 있다. 또한, 제로-데이 악성코드는 사용자의 컴퓨터 시스템에 있는 메모리에 액세스하여 파일과 프로그램을 손상시키거나 삭제할 수도 있다.

한편, 상기한 바와 같은 제로-데이 악성코드 공격에 대응하기 위한 보안 요구 사항으로서, 새로운 악성코드 공격의 위협에 대응하기 위해 패턴에 등록되지 않은 새로운 바이러스를 탐지하기 위한 행위 기반 분석 검사(behavior-based analysis inspection)가 수행되어야 한다. 그리고 새로 발견되거나 탐지된 악성코드의 동작에 대한 설명을 수동 또는 자동 프로세스를 통해 보고하여야 한다.

또한, 상기한 바와 같은 제로-데이 악성코드에 대한 대응책으로서, 악성코드 분류 관리(Malware classification management) 및 다중 분석 검사(Multi-analysis inspection)가 수행된다. 악성코드 분류 관리를 통해 보안 관리자는 악성 파일로 식별된 이메일들을 설정할 수 있으며, 사용자가 재전송을 요청하더라도 바이러스는 전달되지 않는다. 그리고 다중 분석 검사는, 정적 테스트(static testing)와 동적 테스트(dynamic testing)의 조합으로 시스템에 대한 악성코드의 동작을 검사하는 환경적 운영 시스템 변경 테스트(environmental operating system change testing)를 통해, 기본 테스트(primary testing)에서 탐지되지 않은 알려지지 않은 악성코드를 탐지한다. 행위 결과(behaviour results)는, 예를 들어, '위조(forgery)', '메모리 액세스(memory access)', '후킹 경고(hooking warning)', '파일 생성(create file)', '파일 삭제(delete file)' 또는 '프로세스 실행(run process)'으로 나뉜다.

상기한 바와 같은 악성코드 이메일 공격의 제2 유형으로서, 첨부파일 악성코드(Malware in attachment)는 공격자가 악성코드를 일반적으로 이메일로 전송되는 파일 내부에 숨기는 공격 유형이다. 이러한 악성 이메일 내부의 첨부 파일은 문서, 실행 파일 또는 이미지 및 비디오 파일로 위장할 수 있다. 이러한 파일들은 다른 확장자로 암호화될 수도 있다. 실행 파일을 사용한 공격에는 발신자의 주소를 위장(spoofing)go 수신자를 속여 악성 문서가 포함된 이메일을 열도록 하는 것이 포함될 수 있다.

한편, 상기한 바와 같은 첨부파일 악성코드 공격에 대응하기 위한 보안 요구 사항으로서, 다양한 파일 형식의 위조 파일 확장자를 검출하고, 이메일 평판 분석(email reputation analysis)을 제공할 수 있다.

또한, 상기한 바와 같은 첨부파일 악성코드에 대한 대응책으로서, 빅데이터 기반 검사(bigdata based inspection)가 수행된다. 빅데이터 기반 검사는 클라우드 서비스를 통해 사용자의 모든 인바운드 및 아웃바운드 이메일 데이터를 정기적으로 스캔하여 추가 검사가 필요한 악성 첨부 파일을 추출하며, 빅데이터 시스템에 저장된 데이터를 기반으로 표적 이메일 공격의 위험이 있는지 여부를 결정한다. 또한, 이 기능은 위조된 파일 확장자를 식별하고 검출한다.

상기한 바와 같은 악성코드 이메일 공격의 제3 유형으로서, URL 악성코드(Malware in URL) 공격은, 사용자가 악성 웹 사이트를 방문하도록 유도하기 위해, 악성코드가 포함된 클릭 가능한 링크를 이메일에 삽입하는 공격이다. 또한, 악성 URL은 대용량 첨부 파일 및/또는 이메일 본문에 포함될 수도 있다. 이는, 전송 시뿐만 아니라, 사용자가 이메일이나 일반 첨부 파일의 URL을 클릭할 때, 악성코드가 실행되도록 하는 공격일 수 있다.

한편, 상기한 바와 같은 URL 악성코드 공격에 대응하기 위한 보안 요구 사항으로서, 모든 URL에 악성코드가 있는지 확인하면서 복수의 연결된 URL들 내에서 URL들의 최종 목적지(final destination)를 추적하여야 한다. 또한, 사용자가 메일을 수신한 후 URL을 실행할 때, 악성코드 공격을 방지하기 위해 포스트-URL(post-URL)을 확인하여야 한다. 그리고 사용자가 실수로 악성 URL을 클릭하지 않도록, URL 링크 열기를 비활성화할 수도 있다.

또한, 상기한 바와 같은 URL 악성코드에 대한 대응책으로서, URL 이미지 변환(URL image conversion), 엔드포인트 URL 모니터링(Endpoint URL monitoring) 및 URL 포스트 테스트(URL post testing)가 수행된다. URL 이미지 변환은 첨부된 악성 URL이 인식되는 위험한 환경에서 URL 링크를 열 수 없도록 한다. 엔드포인트 URL 모니터링은, 잠재적인 위험을 모니터링하여, 이메일의 본문 또는 문서 파일 내에 있는 모든 URL들의 최종 목적지(final destination)를 지속적으로 추적한다. 예를 들어, 이메일 본문의 URL을 우회(bypass)하여 다운로드되는 대용량 첨부 파일에 대해서는, 다운로드 후 악성 첨부 파일 또는 문서 파일에 대한 모든 URL들을 추적할 수 있어야 한다. 그리고 URL 포스트 테스트는, 사용자가 이메일을 수신한 후 URL 링크를 클릭하려고 시도할 때 파일 및 엔드포인트(endpoint)에 대한 스캔을 통해 실시간으로 URL 접근(access)를 재검사하고, 위험이 감지되면 접근를 제한한다. 또한, 접근할 때마다 인바운드 이메일 보안을 통해 새로운 URL이 검사를 위해 생성되며, 문제가 없는 경우 사용자를 원래 URL로 이동할 수 있습니다.

한편, 상기 표적형 이메일 보안 위협 검사부(130)는 사회공학적 공격 위협 검사부(133)를 더 포함할 수 있다. 상기 사회공학적 공격 위협 검사부(133)는 메일보안 검사 프로세스가 사회공학적 공격 위협 보안 프로세스인 경우 실행되며, 보안 위협 정보 동기화 데이터 및 사전 설정된 사회공학적 공격 보안 위협 항목에 기초하여, 메일 정보로부터 획득되는 사회공학적 공격 분석 데이터를 항목별로 매칭할 수 있다. 상기 사회공학적 공격 분석 데이터는 메일정보에 대응하는 각 공격 유형별 분석 프로세스를 수행하여 획득될 수 있다.

예를 들어, 상기 사회공학적 공격 위협 검사부(133)는 정상으로 판별된 메일에서 추출될 수 있는 수신 메일 도메인, 발신 메일 도메인, 수신 메일 주소, 발신 메일 주소, 메일 라우팅, 메일 내용 본문 정보 등을 사회공학적 공격 위협 검사항목으로 이용할 수 있다. 이를 통해 상기 사회공학적 공격 위협 검사부(133)는 상기 사회공학적 공격 위협 검사항목별 유형 검사를 수행하여, 사회공학적 공격 위협 검사정보를 획득하고 저장 및 관리할 수 있다.

보다 구체적으로, 사회공학적 공격 위협 검사부(135)는, 사회공학적 공격 위협 검사항목별 공격 유형 검사를 수행함에 있어서, 헤더 위변조 검사, 유사 도메인 검사, 계정 탈취 검사 및 URL 피싱 검사를 수행할 수 있다.

위조 헤더(Forged header)는 헤더(header)의 계정 정보(account information)를 위조하여 검출을 피하는 사회공학적 공격의 한 유형이다. 공격자는, 이메일 헤더 위조를 사용하여, 사용자가 회신을 보낼 때 이메일의 목적지를 우회(bypass) 하도록 한다. 위조 헤더 공격을 통해, 공격자는 회사의 자격 증명 정보(credential information) 및 개인 정보(personal information)를 포함할 수 있는 정상 사용자의 이메일을 가로챌 수 있다. 이러한 헤더 위변조에 대한 검사는, 공격자가 사용자의 답장시의 메일 목적지를 우회하도록 하는 이메일 헤더의 위조를 검출하는 검사를 포함할 수 있다. 헤더가 위변조 된 경우, 공격자는 회사의 자격 증명 정보 및 개인 정보가 포함될 수 있는 일반 사용자 이메일 등을 가로챌 수 있는 위험이 존재한다.

상기한 바와 같은 위조 헤더 공격에 대응하기 위한 보안 요구 사항으로서, 인바운드 이메일에 회신할 때 회신할 이메일 주소가 다른 경우 사용자를 차단하거나 경고해야 하며, 이메일 통신 프로토콜을 준수하는지 확인한다. 이에 따라, 사회공학적 공격 위협 검사부(135)는, 헤더 위변조 검사를 통해, 이러한 헤더 위변조 공격을 사전에 검출하고, 차단할 수 있도록 한다. 사회공학적 공격 위협 검사부(135)의 검사 정보에 따라, 발신 메일 처리부(160)는, 수신메일에 회신할 때 회신할 이메일 주소가 다른 경우 미리 차단하거나, 발신 사용자에게 경고 처리를 수행할 수 있다. 이러한 처리를 위해, 사회공학적 공격 위협 검사부(135)는, 이메일 통신 프로토콜의 인증 여부를 미리 확인할 수 있다.

헤더 위변조 검사에 있어서, 사회공학적 공격 위협 검사부(135)는, 이메일 통신 프로토콜 인증은 통신 프로토콜 인증은 발신자의 이메일이 통신 프로토콜(예: SPF, DKIM, DMARC) 준수 여부를 확인하여 이메일에서 위조된 발신자 주소를 감지할 수 있다.

헤더 위변조 검사에 있어서, 또한, 사회공학적 공격 위협 검사부(135)는, IP 주소 및 도메인의 발신자 평판을 관리하고 이메일 주소에 신뢰할 수 있는 도메인이 있는지 확인할 수 있다.

또한, 상기한 바와 같은 위조 헤더 공격에 대한 대응책으로, 이메일 헤더 정보(Email header information)에 대한 분석과 통신 프로토콜 인증(Communication protocol authentication)이 수행된다. 이메일 헤더 정보를 분석하여 수신 메일의 발신자 헤더 값(From: <id@domain>)과 회신 주소 헤더 값(Reply-To: <id@domain>)이 동일한지 다른지 확인하고, 각 헤더 값의 어느 부분이 다른지 확인하여 필터링 결과를 제공한다. 그리고 통신 프로토콜 인증은, 통신 프로토콜(예를 들어, SPF(Sender Policy Framework), DKIM(DomainKeys Identified Mail))을 준수하는지 여부에 대해 발신자의 이메일을 검증하여 이메일에서 위조된 발신자 주소를 검출하고, IP 주소 및 도메인의 발신자 평판(sender reputation)을 관리하며, 이메일 주소가 신뢰할 수 있는 도메인을 가지는지 확인한다. 예를 들어, 헤더 위변조 검사를 위해, 사회공학적 공격 위협 검사부(135)는, 이메일 헤더 정보를 분석하여 인바운드 이메일의 발신자 헤더 값(From: <id@domain>)과 회신 주소 헤더 값(Reply-To: <id@domain>)이 다른지 확인할 수 있다.

그리고, 사회공학적 공격 위협 검사부(135)는, 각 헤더 값 중 어느 부분이 다른지 판단하여 단계별 필터링 결과를 검사 결과로서 출력할 수 있다. 예를 들어, 아이디 위변조의 경우, 발신자 헤더 값(From: <ABC@XYZ.com>)과 회신 주소 헤더 값(Reply-To: <BAC@XYZ.com>)의 'ID'가 다른 이메일인 경우에 해당할 수 있다. 또한, 도메인 위변조의경우, 발신자 헤더 값(From: <ABC@XYZ.com>)과 회신 주소 헤더 값(Reply-To: <ABC@YXZ.com>)의 'Domain'이 다른 이메일인 경우에 해당할 수 있다. 그리고, 주소 위변조의 경우, 회신시 발신자 주소가 다른 이메일인 경우에 해당할 수 있으며, 서명 위변조의 경우, 이메일 내용의 서명 부분이 다른 이메일인 경우에 해당할 수 있다.

유사 도메인(Look-alike domain) 검사는, 공격자가 이메일 주소에서 악성 이메일을 보내는 공격 유형을 검사하는 것으로, 사람의 눈으로는 일반적이고 친숙한 발신자와 구별할 수 없을 정도로 매우 유사하나, 공격자의 악성 도메인인 경우를 포함할 수 있다. 예를 들어, 대문자 'I'와 소문자 'l'은 모양이 유사하여, 이러한 유사성이 공격에 악용될 수 있다.

상기한 바와 같은 유사 도메인 공격에 대응하기 위한 보안 요구 사항으로서, 누적된 이메일 이력(email history)을 기초로 발신자의 도메인이 유사 도메인으로 탐지되는 경우 사용자에게 위험 유사도 수준(level of risk similarity)을 알리고 차단해야 한다. 또한, 이메일 주소 수(number of email addresses)의 차이를 유사 이메일 사기 공격을 판단하는 기준으로 적용해야 하며, 최상위 도메인(top-level domain, TLD)이 다른 경우 별도로 관리해야 한다. 그리고 보안 관리자가 의심스러워 보이는 사기성 유사 이메일 주소를 직접 등록할 수 있도록 한다. 이에 따라, 사회공학적 공격 위협 검사부(135)는, 누적된 이메일 이력을 기반으로 발신자의 이메일 주소 또는 도메인이 유사 도메인인지 검사할 수 있으며, 수신 메일 처리부(150)는, 위험 유사도 수준을 사용자에게 알리고 해당 이메일을 차단할 수 있다.

여기서, 사회공학적 공격 위협 검사부(135)는, 신규 메일의 유사 메일 사기 공격 여부와 사회공학적 공격 위협 가능성을 판단하는 기준으로, 보안 위협 정보 동기화 데이터에 누적 관리된 이메일 이력의 메일 주소와, 신규 메일의 헤더 정보에 포함된 메일 주소 사이에, 서로 동일하지는 않으면서 유사한 글자의 개수 정보를 이용할 수 있다. 예를 들어, 사회공학적 공격 위협 검사부(135)는 서로 동일하지는 않으면서 유사한 글자의 개수가 적을 수록 사회공학적 공격 위협 가능성을 높게 판단하고, 판단 결과를 위험 레벨로 산출하여 검사 결과로서 출력할 수 있다.

또한, 이메일 보안 관리자가 직접 의심되는 유사 이메일 주소를 보안 위협 정보 동기화 데이터에 등록할 수도 있으며, 이메일 주소는 비슷하되 TLD(top level domain)만 다를 경우, 별도로 분류하여 관리 처리될 수 있다.

보다 구체적으로, 사회공학적 공격 위협 검사부(135)는, 신규 메일의 헤더 정보에 포함된 도메인 정보와, 보안 위협 정보 동기화 처리부(140)에서 동기화 처리된 보안 위협 정보 동기화 데이터의 메일 이력에 포함된 누적 도메인 정보 간 유사도 계산을 통해, 사용자가 일반적으로 구분하기 어려운 특정 글자(예를 들어, 3글자) 이하의 유사 글자 개수를 포함하는 유사 도메인의 메일을 사회공학적 공격 위협 메일로 검출할 수 있다.

이에 따라, 수신 메일 처리부(150) 또는 발신 메일 처리부(160)는 신규 메일에 대응하는 사회공학적 공격 위협 검사 결과에 따라, 메일의 수신 또는 전송 차단, 메일의 수신 또는 전송 지연 또는 메일의 삭제, 사용자 경고 알림 메시지 전송 등을 포함하는 표적형 이메일 보안 위협 대응 처리를 수행할 수 있다.

상기한 바와 같은 유사 도메인 공격에 대한 대응책으로 도메인 유사도 계산(Domain similarity calculation)이 수행된다. 도메인 유사도 계산은 인바운드 이메일의 발신자 도메인들을 누적하고, 새로 수신된 이메일을 누적된 도메인과 비교하여 분석한다. 한편, 식별하기 어려운 3 글자(characters) 이하의 유사한 도메인들을 차단할 수 있다. 인바운드 이메일은, 최상위 도메인(TLD)이 수정되거나, 문자열 배열의 순서가 변경되거나, 또는 문자열 중 하나가 유사한 문자 또는 문자로 변경되어 문자열 집합을 생성하는 경우, 일시 중단되거나 차단된다. 다만, 오탐(false positives)이 발생하지 않도록, 문자 수(number of characters)의 단순한 차이만으로 도메인 유사성이 결정되지는 않을 수 있다. 예를 들어, 사회공학적 공격 위협 검사부(135)는, 신규 수신 메일의 발신자 도메인의 TLD(top level domain)이, 보안 위협 정보 동기화 데이터에 포함된 기존의 다른 메일 히스토리 정보에 비해, 일부 수정이 있거나, 문자열 배열이 일부 재정렬되어 있거나, 문자열 중 하나가 유사 문자 또는 다른 문자로 변경되어 있는 경우, 사회공학적 공격 위협 레벨을 검출할 수 있으며, 검출된 위협 레벨을 검사 결과로서 수신 메일 처리부(150)로 출력할 수 있다. 수신 메일 처리부(150)는, 사전 설정된 유사 도메인 처리 정책에 따라, 상기 위협 레벨에 따른 신규 수신 메일의 수신 차단, 수신 지연 또는 삭제 처리 및 사용자 경고 알림 메시지 처리 등을 선택적으로 수행할 수 있다.

이러한 사회공학적 공격 위협의 유사 도메인 위험 레벨은 보안 위협 정보 동기화 데이터에 포함된 기존의 다른 메일 히스토리 정보에 대비한 일치하지 않지만 유사한 유사 문자의 변경 정도에 따라, 아래와 같이 5가지 단계로 구분되는 것이 예시될 수 있다.

즉, 사회공학적 공격 위협 검사부(135)는, 상기 유사 도메인 검사 수행을 통해, 상기 보안 위협 정보 동기화 데이터로부터 획득되는 누적 도메인 정보를 이용하여, 상기 신규 수신 메일에 포함된 발신자 도메인이 누적 도메인 정보에 포함된 도메인과 일치하지 않으면서, 유사한지 여부를 단계적으로 검사하는 검사 프로세스를 수행할 수 있으며, 아래와 같이 5가지 단계로 구분되는 사회공학적 공격 위협의 유사 도메인 공격 위험 단계 레벨을 검사 결과로서 출력할 수 있다.

TLD 레벨: 이메일 도메인의 마지막 세그먼트(예를 들어, .com, .net, .org 등)가 유사 문자로 변경된 경우

낮음 레벨: 이메일 주소 알파벳이 구분 가능한 유사 문자로 3개 이상 변경된 경우

보통 레벨: 이메일 주소 알파벳이 구분 가능한 유사 문자로 2개 변경된 경우

높음 레벨: 이메일 주소 알파벳이 구분 가능한 유사 문자로 1개 변경된 경우

위험 레벨: 이메일 주소 알파벳이 구분하기 어려운(예를 들어, l(소문자 엘)과 I(대문자 아이) 등) 유사 문자로만 구성된 경우

이와 같은 구성에 따라, 사회공학적 공격 위협 검사부(135)는, 상기 단계적으로 검사하는 검사 프로세스를 통해, 누적 도메인 정보에 포함된 도메인과 일치하지 않으면서, 유사한 것으로 검출된 유사 도메인의, 유사 글자 수 기반 유사 정도를 단계적으로 산출하며, 상기 유사 글자 수 기반 유사 정도에 기초하여, 상기 신규 발신 메일 또는 신규 수신 메일의 유사 도메인 기반 사회공학적 이메일 공격 위협 레벨을 결정할 수 있다.

이러한 유사 도메인 기반 사회공학적 이메일 공격 위협 레벨 정보는, 신규 메일의 표적형 이메일 보안 위협 검사 데이터로 구성되어, 수신 메일 처리부(150) 또는 발신 메일 처리부(160)로 전달되며, 이에 대응하는 전술한 메일의 차단, 지연 또는 삭제와, 사용자 경고 알림 프로세스가 수행될 수 있다.

한편, 사회공학적 공격 위협 검사부(135)는, 계정 탈취(ATO, Account Takeover) 검사를 수행하여, 실제 사용자의 계정을 사용하는 사회 공학적 공격 위협을 검출할 수 있다.

계정 탈취 공격을 통해, 공격자는 도난당한 이메일 계정에 로그인을 시도한 후 사용자의 메일 기록을 탐색하여 기밀 정보와 잠재적인 2차 피해자를 찾을 수 있다. 예를 들어, 공격자는, 피싱 사이트에서 훔친 계정 정보를 이용하여, 송금 계좌 변경을 요청하거나 계정에 저장된 기밀 정보를 외부로 전달하도록 요청하는 이메일을 보낼 수 있다.

상기한 바와 같은 계정 탈취(ATO) 공격에 대응하기 위한 보안 요구 사항으로서, 메일의 발신자 위치가 기존에 수신한 메일과 다른 경우 사용자에게 경고하거나 메일을 차단해야 한다. 또한, 이메일 서버의 IP 주소가 이전에 수신한 이메일과 다른 경우 사용자에게 경고하거나 이메일을 차단해야 하며, 이메일 전송 경로가 이전에 받은 이메일과 다른 경우 사용자에게 경고하거나 이메일을 차단한다. 이를 위해, 본 발명의 실시 예에 따른 사회공학적 공격 위협 검사부(135)는, 보안 위협 정보 동기화 처리부(140)의 상기 보안 위협 정보 동기화 데이터로부터 획득되는 계정 탈취 검사 항목별 학습 데이터를 이용하여, 계정 탈취를 이용한 사회공학적 공격 위협을 검출하는 계정 탈취 검사를 수행할 수 있다.

이를 위해, 보안 위협 정보 동기화 처리부(140)는 계정 탈취 검사 항목별 누적 학습 데이터를 구성할 수 있으며, 상기 구성된 학습 데이터와 실제 계정 탈취 사례의 이메일 항목 데이터간의 인공지능 모델 학습 처리에 따라, 상기 신규 발신 메일 또는 상기 신규 수신 메일이 탈취된 계정에 의해 발송되는 메일 인지의 가능성을 출력하는 학습 모델을 구성할 수 있다. 여기서, 인공지능 모델 학습 처리는 알려진 인공지능 딥러닝 신경망 기술로서, CNN, DNN, RNN, LSTM, 회귀분석 등의 다양하게 알려진 학습 기술들이 응용될 수 있다.

그리고, 사회공학적 공격 위협 검사부(135)는, 계정 탈취 검사 항목별 누적 학습 데이터의 학습 모델에 신규 발신 메일 또는 신규 수신 메일의 계정 탈취 검사 항목 데이터를 적용함에 따라, 상기 신규 발신 메일 또는 상기 신규 수신 메일이 탈취된 계정에 의해 발송되는 메일 인지 여부를 검사하는 검사 프로세스를 수행할 수 있다.

예를 들어, 전술한 학습 모델에 따라, 보안 위협 정보 동기화 처리부(140)는, 계정 탈취 검사를 위한 메일 정보의 헤더 구조 정보를 학습할 수 있으며, 사회공학적 공격 위협 검사부(135)는, 구성된 헤더 구조 학습 모델에 신규 수신 메일 또는 신규 발신 메일의 헤더 구조 정보를 입력하여, 계정 탈취 검사에 대응하는 유효성을 검사할 수 있다. 이러한 계정 탈취 검사 방식은, 이메일에 대한 과거 데이터의 인공지능 기반 학습 기록과, 현재 신규 데이터간의 비교 분석을 포함한다.

또한, 사회공학적 공격 위협 검사부(135)는, 학습 모델 뿐만 아니라, 발신자 히스토리 정보를 이용하여, 사전 설정된 검사 프로세스에 따른 계정 탈취 검사를 수행할 수 있다.

보다 구체적으로, 상기 계정 탈취 검사 항목별 누적 학습 데이터는, 수신 메일 또는 발신 메일의 메일 헤더로부터 획득되는 발신자 히스토리 정보를 포함할 수 있으며, 사회공학적 공격 위협 검사부(135)의 상기 계정 탈취 검사는, 상기 발신자 히스토리 정보의 누적 학습 데이터와, 상기 신규 발신 메일 또는 상기 신규 수신 메일의 발신자 위치 정보 또는 발신자 IP 정보를 비교하여, 상기 신규 발신 메일 또는 상기 신규 수신 메일이 탈취된 계정에 의해 발송되는 메일 인지 여부를 검사하는 검사 프로세스를 포함할 수 있다.

여기서, 상기 발신자 히스토리 정보는, 메일 발송 IP 및 메일 서버 IP 에 기초하여 구성되는, 초기 목적지(destination) 정보, 경유지(waypoint) 정보 및 최종 목적지(destination) 정보를 포함하고, 상기 계정 탈취 검사는, 상기 신규 발신 메일 또는 상기 신규 수신 메일의 헤더로부터 획득되는 초기 목적지(destination) 정보, 경유지(waypoint) 정보 또는 최종 목적지(destination) 정보를 비교하여, 상기 신규 발신 메일 또는 상기 신규 수신 메일이 탈취된 계정에 의해 발송되는 메일 인지 여부를 검사하는 검사 프로세스를 포함할 수 있다.

보다 구체적으로, 계정 탈취가 발생된 경우, 발신자의 위치 또는 IP 주소가 변경될 가능성이 높다. 이에 따라, 보안 위협 정보 동기화 처리부(140)는 보안 위협 정보 동기화 데이터에 발신자의 위치 정보와 IP 이력 정보를 매핑하여 누적 관리할 수 있으며, 사회공학적 공격 위협 검사부(135)는, 계정 탈취 검사를 위해, 메일 정보의 헤더 정보를 분석하여, 발신자의 위치 정보와 IP 이력 정보가 변경되었는지 여부를 검사할 수 있다.

여기서, 발신자의 위치 정보와 IP 이력 정보는, 발신자의 국가 정보, 발신자 IP 주소 정보, 서버 IP 주소 정보를 포함할 수 있다. 특히, 이메일의 헤더 정보에는 이메일이 처음 작성되어 발신된 IP 정보(초기 목적지 정보, Initial destination)보와, 메일이 중간 전달된 서버 IP 주소(경유지 정보, waypoint)와, 최종적으로 이메일을 발송한 서버의 IP(최종 목적지 정보, final destination) 포함될 수 있다.

즉, 이메일 헤더 정보에는 메일 전송을 위한 발신 서버의 IP 주소 히스토리로서, 초기 목적지 정보, 경유지 정보 및 최종 목적지 정보가 포함되는 바 보안 위협 정보 동기화 처리부(140)는 보안 위협 정보 동기화 데이터에, 상기 초기 목적지 정보, 경유지 정보 및 최종 목적지 정보를 포함하는, 발신자의 위치 정보와 IP 이력 정보를 매핑하여 누적 관리할 수 있는 것이다.

그리고, 사회공학적 공격 위협 검사부(135)는, 각 누적 관리된 발신자의 위치 정보와 IP 이력 정보로부터 획득되는 상기 초기 목적지 정보, 경유지 정보 및 최종 목적지 정보와, 신규 메일의 헤더 정보를 비교하여 발신자의 계정이 탈취되었는지 여부를 검사할 수 있다.

보다 구체적으로, 예를 들면 계정 탈취로 결정하는 경우는 아래와 같이 예시될 수 있다.

- 초기 목적지 변경의 경우: 신규 메일의 헤더 정보에 포함된 이메일의 발신자 위치 및 IP의 초기 목적지(최초 이메일이 발송 요청된 메일 서버의 IP주소)가, 각 누적 관리된 발신자의 위치 정보와 IP 이력 정보와는 다른, 변경된 국가로 식별되는 경우, (예: 누적 관리된 발신자의 초기 목적지가 1.1.1.1(국가 A)이고, 최종 목적지가 2.2.2.2(국가 A)인데, 신규 메일의 헤더는 초기 목적지가 3.3.3.3(국가 B)이고, 최종 목적지가 2.2.2.2(국가 A) 인 경우)

- 최종 목적지 변경의 경우: 신규 메일의 헤더 정보에 포함된 이메일의 발신자 위치 및 IP의 최종 목적지(마지막으로 이메일을 최종 발송 처리한 메일 서버의 IP 주소)가, 각 누적 관리된 발신자의 위치 정보와 IP 이력 정보와는 다른, 변경된 국가로 식별되는 경우(예: 누적 관리된 발신자의 경유지가 1.1.1.1(국가 A)이고, 최종 목적지가 2.2.2.2(국가 A)인데, 신규 메일의 헤더는 경유지가 3.3.3.3(국가 B)이고, 최종 목적지가 3.3.3.3(국가 B) 로 변경된 경우)

또한, 상기한 바와 같은 계정 탈취(ATO) 공격에 대한 대응책으로, 동일 발신자 이메일 데이터(email data for the same sender)에 대한 학습 및 검증과, 발신인 위치 변경 검출(sender location change detection) 분석이 수행된다. 동일한 발신자에 대한 이메일 데이터가 학습된 후 수신된 메일을 실시간으로 분석하여 학습 데이터 및 검증을 수행해야 한다. 여기서, 학습 데이터 유효성 검사는, 구성된 헤더 구조와 소셜 그래프(social graph)를 학습하고, 이메일을 보낼 때 과거 학습 기록과 현재 데이터를 비교 및 분석한다. 발신인 위치 변경 검출은 수신 메일의 헤더 정보를 분석하여 발신자 위치 IP 이력을 누적하고, 새로 수신한 메일을 누적된 이력의 발신지 IP 국가와 비교한다. 메일 헤더에는 메일이 처음 작성된 IP, 발송 시점까지의 서버 IP, 메일이 최종적으로 발송된 서버의 IP 정보가 포함된다. 그에 따라, 모든 수신 이메일의 목적지들(첫 번째 목적지, 경유지, 최종 목적지)에 대한 IP 이력을 축적하여, 새로운 수신 이메일 발신자 위치 IP의 국가가 이전 수신 이메일과 다른 경우 발신자의 진위 여부를 검출한다. 이에 따라, 사회공학적 공격 위협 검사부(135)는, 계정 탈취 공격 검사를 수행하고, 검사 결과를 수신 메일 처리부(150) 및 발신 메일 처리부(160)로 전달할 수 있다.

예를 들어, 발신 메일 처리부(160)는, 발신자의 현재 위치가 이전에 수신한 이메일과 다를 경우, 계정 탈취 검사 결과를 사용자에게 경고하거나, 발신 이메일을 차단 처리할 수 있다. 또한, 수신 메일 처리부(150)는, 수신된 이메일 서버의 IP 주소가 이전에 수신된 이메일과 다를 경우, 계정 탈취 검사 결과를 사용자에게 경고하거나 이메일을 차단 처리할 수 있다. 나아가, 수신 메일 처리부(150)는, 현재 이메일이 이전에 수신한 이메일과 발송 경로가 다를 경우, 계정 탈취 검사 결과를 사용자에게 경고하거나 이메일 차단을 권장 처리할 수 있다. 또한, 사회공학적 공격 위협 검사부(135)는, 특정 대역 또는 IP 대역에 따라 이메일을 차단하는 인바운드 관리 기능을 수행할 수도 있다.

한편, 사회공학적 공격 위협 검사부(135)는, URL 피싱 검사를 더 수행할 수 있다. URL 피싱(URL phishing)은 피해자의 아이디와 비밀번호를 훔치는 공격을 말하며, 공격자는 피싱 페이지나 웹사이트를 만들어 이메일에 포함된 악성 URL이나 파일을 이용해 피해자가 계정 정보를 입력하도록 유도한다.

상기한 바와 같은 URL 피싱 공격에 대응하기 위한 보안 요구 사항으로서, 개인정보 입력을 유도하는 웹페이지가 포함된 URL의 최종 목적지를 지속적으로 추적해야 한다. 예를 들어, 피싱 검사를 위해, 사회공학적 공격 위협 검사부(135)는, 이메일 사용자가 피싱 사이트에 접속하여 아이디와 비밀번호를 입력할 때 해당 URL 내에서 해당 URL의 최종 목적지를 추적하되, URL에 개인정보 입력을 유도하는 웹페이지가 포함되어 있는지 확인할 수 있다.

또한, URL 피싱 공격에 대한 대응책으로, URL의 엔드포인트에 대한 추적(Endpoints of URL tracking)과, 웹 페이지의 HTML 소스 코드(HTML source code)에 대한 분석이 수행된다. URL의 엔드포인트에 대한 추적을 위해, 모든 URL들의 최종 목적지를 추적하여 정보 입력 유도(information input guidance)의 가능성을 모니터링해야 한다. 그리고 웹 페이지의 HTML 소스 코드를 분석하여, 사용자가 자신의 개인 정보나 ID, 비밀번호 등의 계정 정보를 제공하도록 유도하는 입력 텍스트 박스(input text box)가 있는지 확인하고, 입력 정보가 외부(third-party) 서버로 전달되는지 여부를 검사해야 한다.

이와 같이 상기 사회공학적 공격 위협 검사 프로세스를 통해 검사정보는 최종적으로 합산('3')되어 사회공학적 공격 위협 검사정보로 저장 및 관리될 수 있다. 이렇게 합산된 사회공학적 공격 위협 검사정보는, 보안 위협 정보 동기화 처리부(140)로 전달되어, 보안 위협 정보 동기화 데이터의 갱신 저장 및 관리에 이용될 수 있고, 수신 메일 처리부(150) 및 발신 메일 처리부(160)로 전달되어, 보안위협 판별정보로 활용될 수 있다.

한편, 표적형 이메일 보안 위협 검사부(130)는, 내부정보 유출 보안 위협에 대응할 수 있도록 정보 유출 검사부(137)를 포함할 수 있다. 여기서, 정보 유출 검사부는, 보안 위협 정보 동기화 데이터 및 메일정보의 속성정보를 활용하여, 발신 메일의 정보 유출 여부를 검사하고, 검사 정보를 발신 메일 처리부(160)로 전달하여, 발신을 차단하거나, 발신 메일의 메일서버(300)를 통한 전송 승인이 거절되도록 처리될 수 있다.

정보 유출 검사부(137)는, 사용자에 의한 아웃바운드 이메일 위협(Outbound email threats by user), 즉 사용자의 이메일 발신으로부터 발생되는 표적형 이메일 공격 보안 위협으로서의 정보 유출을 검사할 수 있다.

먼저, 정보 유출 검사부(137)는, 고의적(의도적) 정보 유출(intentional information leakage)을 탐지할 수 있다. 고의적 정보 유출은, 사내 보안 정책의 부재로 인해, 임직원이 회사의 기밀 정보 및/또는 임직원의 개인 정보를 업무 또는 개인 이메일을 통해 고의로 외부에 유출하는 행위이다. 정보 유출 검사부(137)는, 발신 메일에 대응하여 보안 관리자가 설정한 고의적(의도적) 정보 유출에 대응하는 특정 유출 조건이 일치하는 경우, 발신 메일 처리부(160)로 검사 정보를 전달하여, 메일 발송의 보류 또는 차단 처리를 수행하게 할 수 있다. 또한, 발신 메일 처리부(160)는, 특정 유출 조건에 해당하는 경우, 발신자가 발신 이메일에 대한 전송 지연 시간을 설정하게 하는 알림 메시지와 경고 알림 메시지 등을 사용자단말(200)로 전송 처리할 수 있다.

한편, 상기한 바와 같은 사용자에 의한 아웃바운드 이메일 위협 중 고의적 정보 유출에 대응하기 위한 보안 요구 사항으로서, 보안 관리자는 이메일 전송에 대한 조건들을 설정할 수 있어야 하며, 설정된 조건이 만족되지 않는 경우에는 이메일 전송을 재고할 수 있는 기능을 사용할 수 있어야 한다.

그리고, 정보 유출 검사부(137)는, 비고의적(의도하지 않은) 정보 유출(unintentional information leakage)을 탐지하고, 탐지 정보를 발신 메일 처리부(160)로 전달하여, 비고의적 정보 유출을 차단하거나, 경고하거나, 지연시킬 수 있다. 비고의적 정보 유출은 내부 직원의 부주의 또는 과실로 인해 발생할 수 있다, 한편, 내부망 분리(internal network isolation)를 사용하는 계정 사용자가 분리된 내부망(isolated internal network)에 있는 대용량 첨부파일을 외부로 보낼 때, 첨부파일이 회사의 중요 정보나 다른 직원의 개인정보 등을 담고 있을 경우, 심각한 정보 유출 문제가 발생할 수 있다.

한편, 상기한 바와 같은 사용자에 의한 아웃바운드 이메일 위협 중 비고의적 정보 유출에 대응하기 위한 보안 요구 사항으로서, 악성 이메일 주소로 분류된 이메일 주소로 회신하거나 이메일을 보내는 것에 대해, 사용자에게 경고를 발행하거나 자동으로 차단해야 한다. 또한, 대용량 첨부 파일을 분리된 내부망으로부터 외부망으로 안전하게 전송하기 위해 이메일을 변환해야 하며, 대용량 첨부파일을 분리된 내부망으로부터 외부망으로 안전하게 전달하기 위해 변환된 이메일을 복원해야 한다. 그리고 정보 유출을 방지하기 위해 발신자가 보낸 이메일을 회수(recall)할 수 있도록 하여야 하며, 메일을 확인한 IP 주소와 이메일을 연 횟수 등과 같은 특정 조건에 부합하는 아웃바운드 이메일에 대해서는 그 내용을 암호화한다.

정보 유출 검사부(137)는, 보안 위협 동기화 데이터로부터 획득되는 악성 계정 데이터에서, 유사 이메일 주소로 분류된 이메일 주소로 사용자가 회신 또는 발신하는 경우를 탐지하여, 비고의적 정보 유출 정보를 구성하고, 발신 메일 처리부(160)로 전달할 수 있다. 발신 메일 처리부(160)는, 비고의적 정보 유출 정보에 따라, 발신 메일에 대한 경고를 제공하거나, 자동 차단하거나, 지연 처리할 수 있다.

또한, 정보 유출 검사부(137)는, 내부망과 외부망이 격리된 보안망에서, 대용량 첨부파일을 외부망으로 안전하게 전송하기 위해, 이메일의 대용량 첨부파일을 일반 첨부파일로 변환하여 망 연계 시스템을 통과시키는 경우, 상기 대용량 첨부파일에 대응하는 비고의적 또는 고의적 정보 유출 탐지를 위한 보안 리스크를 검사할 수 있다. 이는 사전 설정된 이메일 전송 정책에 따라, 대용량 첨부파일이 망 연계 시스템의 승인을 통과할 수 있도록 일반 첨부파일로 변환된 경우를 의미하는 것으로, 이 경우 일반 첨부파일로 변환 삽입된 대용량 첨부파일에 대한 악성코드 검사, 바이러스 검사 및 내부 정보 유출 리스크 검사를 포함할 수 있다. 여기서 내부 정보 유출 리스크 검사는, 사전 설정된 보안 정책 데이터에 따라, 특정 보안 키워드 또는 특정 보안 문구 등이 포함되어 있는지 여부와 빈도 수 등을 체크하는 내부 정보의 유출 리스크 검사를 포함할 수 있다.

그리고, 정보 유출 검사부(137)는, 내부망과 외부망이 격리된 보안망에서, 외부망으로부터 내부망으로 변환 전달된 대용량 첨부파일을 복원한 경우,악성코드 검사, 바이러스 검사 및 내부 정보 유출 리스크 검사를 수행할 수 있다. 특히, 대용량 첨부 파일의 암호화된 외부 네트워크 경로 정보가 URL 정보로 첨부되거나, 대용량 첨부파일의 암호화된 외부 네트워크 경로 정보에 접근할 수 있는 웹페이지 파일이 일반 첨부파일로 첨부된 경우에 해당할 수 있다.

또한, 정보 유출 검사부(137)는, 메일을 확인한 IP 주소, 메일을 열어본 횟수 등이 일정 조건을 만족하는 경우, 해당 발신 메일의 내용 암호화를 수행하게 할 수 있으며, 발신 완료된 메일의 회수는 개별 사용자가 접근할 수 없도록 처리되는 것이 바람직하다.

상기한 바와 같은 사용자에 의한 아웃바운드 이메일 위협에 대한 대응책으로서, 보안 이메일(secure email)에 대한 관리, 승인 이메일(approval email)을 위한 애플리케이션의 구성, 이메일 전송 제한(Email delivery restriction)에 대한 설정이 수행된다. 수신자에게 실제 이메일을 보내는 대신, 보안 웹 포털(secure web portal)에서 이메일 정보(예를 들어, 발신자, 제목)를 미리 볼 수 있는 링크를 가진 보안 이메일을 보내며, 이때 사용자는 전송된 보안 이메일을 관리할 수 있어야 한다. 또한, 승인 이메일은, 허가 요청에 대한 승인 또는 거부를 위해 보류 중인 작업이 있을 때, 승인자가 사용자에게 이를 알리는 이메일을 보내도록 하는 식별 애플리케이션(identity applications)을 구성할 수 있도록 한다. 한편, 메일에 특정 키워드와 첨부 파일 타입이 포함되어 있는 경우, 승인자는 조직도(organization chart)에 따라 승인 프로세스를 설정한다. 제목, 첨부 파일 또는 파일 확장자에 승인이 필요한 특정 키워드가 포함된 이메일의 전송을 승인자가 허용하거나 거부할 때, 이러한 이메일이 전송될 수 있다. 그리고 이메일 전송 제한을 사용하면, 한 번에 보낼 수 있는 최대 이메일 수에 대한 제한을 설정할 수 있으며, 하루에 보낼 수 있는 사용자 수와 이메일당 받는 사람 수를 제한하여, 이메일 서버의 상태와 계정 보안을 유지한다.

한편, 사용자에 의한 아웃바운드 이메일 위협 중 고의적인 정보 유출에 대한 대응책으로서, 아웃바운드 차단 정책(Outbound blocking policy)이 설정되고, 발신 이메일 지연 및 검색/삭제(Outbound email delay and retrieval/delete) 기능이 제공된다. 아웃바운드 차단 정책은, 기업에 맞는 아웃바운드 정책을 설정하여, 이메일을 통해 정보 및 데이터를 유출하려는 시도를 차단한다. 차단 정책 조건(blocking policy conditions)은, 첨부 파일, 아웃바운드 이메일 용량(대용량 데이터 유출 시도 차단), 대용량 파일에 대한 용량 제한(capacity limitations)과, 이메일 본문 내에서의 이미지 크기 제한(limit image size)과, 대상에 대한 예외 발신자 목록(exception sender list)의 설정과, 개인 정보를 반영하는 숫자 또는 단어의 형태인 키워드(keyword)와, 첨부 파일의 파일명 또는 파일명 확장자를 포함한다. 그리고 이메일 지연 및 검색/삭제는, 이메일 발송 시간(sending time)과 전달 시간(delivered time) 사이에 지연 시간을 설정할 수 있으며, 지연 시간 동안 이메일 발송은 취소할 수 있다. 지연 시간 내에 메일을 취소할 수 있는 권한은 보안 관리자와 사용자에게 부여되며, 한 번 취소된 메일은 다시 전달할 수 없으며, 메일을 다시 작성해야 한다.

또한, 사용자에 의한 아웃바운드 이메일 위협 중 비고의적인 정보 유출에 대한 대응책으로서, 이메일 암호화(email encryption), 이메일 변환(email convert) 및 이메일 복원(email retrieve)이 수행된다. 이메일 암호화는 이메일과 첨부 파일의 내용을 암호화하거나 위장하여 의도한 수신자 이외의 다른 사람이 중요한 정보를 읽지 못하도록 보호한다. 한편, 이메일 변환 조건(email convert consitions) 으로서, 대용량 첨부파일을 가지는 이메일을 분리된 내부망으로부터 외부망으로 안전하게 전송하기 위하여, 이메일 변환에 대한 다음의 조건들을 만족하는 것이 필요하다. 미리 설정된 이메일 전달 정책에 따라 일반 첨부 파일로 분류되도록 삽입된 대용량 첨부 파일에 대한 보안 위험을 검사하고, 승인 후에 변환된 이메일을 전송한다. 그리고 이메일 복원 조건(email retrieve conditions)으로서, 대용량 첨부파일을 가지는 이메일을 분리된 내부망으로부터 외부망으로 안전하게 전송하기 위하여, 변환된 이메일의 복원에 대한 다음의 조건들을 만족하는 것이 필요하다. 미리 설정된 이메일 전송 정책에 따라 일반 첨부 파일로 분류되도록 삽입된 대용량 첨부 파일에 대한 보안 위험을 검사하고, 변환된 메일로부터 복원된 대용량 첨부 파일에 대한 암호화된 외부망 경로 정보(encrypted external network path information)가 URL 정보로 첨부되어야 하며, 대용량 첨부파일의 암호화된 외부망 경로 정보에 접근할 수 있는 웹페이지 파일(web page file)이 일반 첨부 파일로 첨부되어야 한다.

그리고 표적형 이메일 공격 위협에는 공격자에 의한 아웃바운드 이메일 위협(Outbound email threats by attackers)이 있을 수 있으며, 그 유형에는 탈취 계정 사용(using taken-over account)과 비승인 이메일 서버 접근(Unauthorized email server access)이 포함된다. 탈취 계정 사용에 있어, 아웃바운드 이메일 공격 방법은 일반적으로 사용자 계정이 도용된 후에 시작되며, 공격자는 훔친 계정을 통해 사용자의 인바운드 및 아웃바운드 이메일에 있는 다른 사람의 개인 정보를 악용하는 후속 이메일을 무작위로 보낸다. 그에 따라, 공격받은 사용자와 관련된 계정은 잠재적으로 2차 피해자가 될 수 있으며 이후 피싱 공격에 재사용된다.

한편, 비승인 이메일 서버 접근은 공격자가 이메일 서버를 장악하여 그에 대한 제어를 획득하는 아웃바운드 이메일 공격 방법으로서, 공격자는 훔친 계정 자격 증명을 사용하여 사용자의 회사 이메일 계정에 무단으로 액세스할 수 있다. 예를 들어, 이메일 서버가 손상되면, 공격자는 사용자의 암호를 검색할 수 있으며, 이를 통해 공격자는 조직 네트워크의 다른 호스트에 대한 액세스 권한을 가질 수 있다.

상기한 바와 같은 공격자에 의한 아웃바운드 이메일 위협에 대응하기 위한 보안 요구 사항으로서, 탈취 계정을 사용한 공격에 대해서는, 보안 관리자와 사용자에게 이메일 계정에 대한 접근을 허용하는 특정 IP 및 국가를 설정하도록 하며, 이메일을 보낼 때 인바운드 이메일 보안 요구 사항이 구현되는 것과 동일한 방식으로 악성코드 검출 기능을 구현한다.

또한, 비승인 이메일 서버 접근 공격에 대해서는, 등록되지 않은 SMTP(Simple Mail Transfer Protocol) 및 국가의 웹메일 서비스에 대한 접근을 차단하여야 한다. 한편, 비승인 이메일 서버 공격을 판별하기 위해 접근에 대한 상세 정보를 파악하는 것이 필요하며, 비승인 이메일 서버 공격에 의한 메일 서버 접근 요청 정보를 이메일 서버로 전달하지 않아야 한다. 그리고 발신자의 SMTP 정보가 수신자의 SMTP 정보와 일치하지 않는 경우, 메일 전달을 차단하여야 한다.

또한, 상기한 바와 같은 외부의 공격자에 의한 아웃바운드 메일 공격에 대한 대응책으로서, 탈취 계정을 이용한 공격에 대해서는 IP 권한 설정(IP permission setting)이 수행된다. IP 권한 설정은, 보안 관리자 및 메일 사용자가 '보안 IP 등록' 또는 '허용된 국가등록'으로 접근할 수 있는 특정 IP 주소 및 국가를 등록하여, 허용된 IP 주소 및 국가로부터의 메일을 수신함으로써 이메일 공격을 차단할 수 있도록 한다.

한편, 비승인 이메일 서버 접근에 대해서는, 이메일 서버/IP 액세스 제어(Email server/IP access control)를 통해, 보안 관리자가 웹 메일 또는 메일 클라이언트에 대한 접근을 제한하여 보안 이메일 링크를 제어할 수 있도록 한다. 그리고 등록된 IP를 통해 웹메일을 차단할 수 있으며, POP3(Client Server Protocol)/SMTP(Mail Transfer Protocol) 기반의 통신 접속을 제어하여 메일 클라이언트 통신을 차단한다. 또한, 이메일은 등록된 IP 주소 및 국가로부터 보내질 수 있으며, IP 주소, 날짜 등과 같은 이메일 서버 액세스 제한 로그를 제공할 수 있다. 이메일 서버 액세스 로그(Email server access log)는 사용자의 접근에 대한 승인 또는 비승인 여부를 결정할 수 있도록 한다.

한편, 수신 메일 처리부(150) 및 발신 메일 처리부(160)는, 상기 메일보안 검사정보 및 상기 메일정보 분석을 통해 획득되는 표적형 이메일 보안위협 판별정보에 따라 메일 상태를 처리할 수 있다.

상기 수신 메일 처리부(150) 및 발신 메일 처리부(160)는, 상기 표적형 이메일 보안위협 판별정보가 비정상 메일로 판별되는 경우, 후속 메일보안 프로세스의 중단여부를 판단하여 메일 상태를 처리할 수 있다. 이를 통해, 상기 수신 메일 처리부(150) 및 발신 메일 처리부(160)는, 우선순위에 따라 먼저 검사 단계에서 문제점이 발견된 경우, 그 단계에서 필요한 처리만을 수행하고 검사종료여부를 판단하여 후속 검사단계는 수행하지 않고 종료할 수 있다. 이를 통해, 메일 보안 서비스의 효율성을 확보하여 시스템의 복잡성을 낮추고 처리효율을 향상시킬 수 있다.

상기 메일보안 검사정보는 상기 표적형 이메일 보안 위협 검사부(130)에서 산출된 스팸메일 공격 위협 검사정보와 악성코드 공격 위협 검사정보, 사회공학적 공격 위협 검사정보 및 정보 유출 검사정보를 종합하여 획득된 정보를 활용할 수 있다. 예를 들어, 상기 표적형 이메일 보안 위협 검사부(130)가 메일정보에 대한 검사 프로세스 수행을 통해, 상기 스팸메일 검사정보로 산출된 스코어가 '3', 악성코드 공격 위협 검사정보로 산출된 스코어가 '2', 사회공학적 공격 위협 검사정보 '1', 정부 유출 공격 위협 검사정보로 산출된 스코어가 '0' 인 경우, 표적형 이메일 공격 위협 검사정보로 합산되는 스코어는 '7'로 획득될 수 있다. 이 때, 사전 설정된 보안위협 판별정보의 기준으로 종합 스코어가 0-3의 범위일 시 정상메일, 4-6의 범위일 시 그레이메일, 7-12의 범위일 시 비정상메일로 분류될 수 있다. 이에 따라, 상기 메일보안 검사정보가 '7'인 메일은 비정상메일로 판별될 수 있다. 그리고 상기 메일정보 검사정보에 포함되는 각각의 검사정보 항목의 결과값은 항목에 따라 절대적인 우선순위가 지정되거나 가중치에 따른 정보로 우선순위가 정해질 수 있다.

그리고, 도 4에 도시된 바와 같이, 수신 메일 처리부(150)는, 상기 보안위협 판별정보에 따라 정상메일로 판별된 메일에 대하여, 상기 사용자단말이 처리 가능한 수신 또는 발신 상태로 처리하는 메일분배 처리부(151)를 포함할 수 있다.

또한 상기 수신 메일 처리부(150)는 상기 보안위협 판별정보에 따라 비정상메일로 판별된 메일에 대하여, 상기 사용자단말의 접근이 불가능한 상태로 처리하는 메일폐기 처리부(152)를 더 포함할 수 있다.

추가적으로 상기 수신 메일 처리부(150)는 상기 보안위협 판별정보에 따라 그레이메일로 판별된 메일에 대하여, 상기 그레이메일을 비실행파일 콘텐츠로 변환 처리하고 상기 사용자단말이 메일 상태를 선택적으로 처리할 수 있도록 제공하는 메일 무해화 처리부(153)를 더 포함할 수 있다.

일반적으로 상기 그레이메일은 스팸메일 또는 정크메일로 구분될 수도 있고 반대로 정상메일로 구분될 수 있다. 본 발명에서는 상기 그레이메일은 보안위협 판별정보가 정상 또는 비정상으로 확정할 수 없는 일정 범위 내에서의 중간 값으로 산출되었을 경우 구분되는 메일 유형으로 정의할 수 있다. 상기 메일 무해화 처리부(153)는 의심되는 내용 본문 등을 포함한 그레이메일을 이미지 파일로 변환하고 사용자단말(200)이 확인 가능한 메일 상태로 제공할 수 있다. 또한 상기 메일 무해화 처리부(153)는 첨부파일 내 악성코드로 의심되는 부문을 제거 또는 수정하여 사용자단말(200)로 제공할 수 있다.

나아가, 이러한 메일 분배 처리부(151), 메일 폐기 처리부(152) 및 메일 무해화 처리부(153)는 발신 메일 처리부(160)에서 처리되는 발신 메일에 대하여도 동일한 프로세스를 수행할 수 있다.

한편, 발신 메일 처리부(160)는, 발신 메일 승인 시스템 연동부(161) 및 발신 메일 필터링 처리부(161)를 포함한다.

발신 메일 승인 시스템 연동부(161)는, 발신 메일의 메일 정보로부터 정보 유출 등의 표적형 이메일 공격 보안위협이 판별될 경우, 메일서버(300)와 연결된 메일 승인 시스템으로 메일 승인을 거절하도록 하는 요청 메시지를 전송하거나, 경고 알림을 처리할 수 있다.

여기서, 발신 메일 승인 시스템 연동부(161)는, 메일 승인 시스템을 통해 보안 관리자가 승인 요청을 승인하거나, 거부 및 보류하는 경우, 각 처리 상태 정보를 사용자에게 알리는 이메일을 전송하도록 구성될 수 있다.

예를 들어, 메일 승인 시스템에서는, 관리자가 설정한 특정 키워드와 첨부파일 형식이 포함된 경우, 조직도에 따라 승인을 결정할 수 있다. 이 경우, 발신 메일 승인 시스템 연동부(161)는, 제목, 첨부파일, 파일 확장자 중 승인이 필요한 특정 키워드가 검출되었을 때, 관리자가 이메일 전송을 허용 또는 거부하는지를 포함하는 처리 상태 정보를 이메일로 구성하여, 발신자 계정으로 발송할 수 있다.

나아가, 발신 메일 승인 시스템 연동부(161)는, 메일 승인 시스템으로의 이메일 전송 제한을 통해 한 번에 보낼 수 있는 최대 이메일 수에 대한 제한을 설정할 수도 있다. 발신 메일 승인 시스템 연동부(161)는, 하루에 보낼 수 있는 사용자 수와 이메일당 받는 사람 수를 제한하여 이메일 서버의 상태와 계정 보안을 유지할 수 있다.

그리고, 발신 메일 필터링 처리부(161)는, 발신 메일의 메일 정보로부터 악성 코드 등의 표적형 이메일 공격 보안위협이 판별될 경우, 발신 메일을 폐기하거나, 무해화 처리하는 등의 필터링 처리를 수행할 수 있다.

예를 들어, 발신 메일 처리부(160)는, 발신 요청된 발신 메일의 표적형 이메일 보안 위협이 판별된 경우, 이메일 수신자에게 실제 이메일을 보내는 대신 무해화 필터링된 이메일을 미리 볼 수 있는 링크가 포함된 보안 이메일을 전송 처리할 수 있다.

또한, 발신 메일 처리부(160)는, 사용자의 메일 발송 이후에도, 발신 메일에 대한 표적형 이메일 공격 보안위협에 대응하는 사후 관리 서비스를 처리할 수 있다. 사후 관리 서비스는, 관리자 등의 특수 계정에서 처리할 수 있도록 제한되며, 발신 메일 처리부(160)는, 사후 관리 서비스를 통해, 이메일 보안을 위한 수신자의 접근 및 조회 확인, 수신자의 보안 이메일 액세스 IP 확인, 수신자의 보안 이메일 액세스 날짜 및 시간 확인, 보안 이메일에 대한 수신자의 액세스 제어(허용/차단) 처리를 수행할 수 있다.

또한, 발신 메일 처리부(160)는, 보안 위협 동기화 데이터로부터 획득되는 악성 계정 정보의 로그 모니터링 및 알림을 수행할 수 있는 바, 모니터링되는 로그는 아이디, 위치(국가), IP 주소, 날짜, 상태(성공 또는 실패)와 같은 상세한 로그 정보를 포함할 수 있다.

발신 메일 처리부(160)는, 사용자 계정에 대한 악성 로그인 시도를 파악하여 사용자 단말로 알림을 제공하고, 해당 알림을 메일 또는 대시보드 인터페이스상에 디스플레이하는 방식으로, 이메일 서버 내의 악성 계정 모니터링 결과를 리포팅할 수 있다.

한편, 발신 메일 처리부(160)는, 메일의 의도적 정보 유출을 방지하기 위해, 이메일 암호화를 처리할 수 있다. 이메일 암호화는 이메일 및 첨부 파일의 내용을 암호화하거나 위장하여 민감한 정보를 의도한 수신자 이외의 사람이 읽지 못하도록 보호한다.

또한, 발신 메일 처리부(160)는, 고의 또는 비고의적 정보 유출을 차단하기 위해, 발신지연 및 발신메일 조회와, 삭제 기능을 제공할 수 있다. 사용자의 고의 또는 비고의적 정보유출을 방지하기 위하여, 발신 메일 처리부(160)는, 메일 발송시간(Sending time)과 전달되는 시간(delivered time) 사이에 지연시간을 설정할 수 있으며, 지연 시간 이내에 메일 발송은 취소 처리될 수 있다. 지연 시간 내 이메일 취소 권한은 관리자와 사용자에게 부여될 수 있으며, 일단 취소된 발신 이메일은 발송할 수 없게되고, 이메일을 다시 작성해야 한다.

그리고, 발신 메일 처리부(160)는, 계정 탈취 공격을 사전 차단하기 위해, 계정에 대응하는 사용 국가 및 IP 제한을 수행할 수 있다. 이러한 제한 설정을 위해, 발신 메일 처리부(160)는, 보안 관리자 및 이메일 사용자가 '보안 IP 등록' 또는 '허용 국가 등록'으로 접근 가능한 특정 IP 주소 및 국가를 등록할 수 있도록 기능을 제공한다. 이에 따라, 사용자는 허용된 IP 주소 및 국가에서만 이메일을 발신할 수 있다.

또한, 발신 메일 처리부(160)는, 이메일 서버 IP 접근 제어를 통해, 승인되지 않은 메일 발신을 위한 이메일 서버 접근을 미리 차단할 수 있다.

예를 들어, 관리자는 웹 메일 또는 메일 클라이언트에 대한 접근을 제한하여, 전송 메일 내 이메일 링크 허용 여부 등을 제어할 수 있다. 예를 들어, 발신 메일 처리부(160)는, 등록된 IP를 이용하여, 웹메일 접속 발신을 차단할 수 있으며, POP3(클라이언트 서버 프로토콜)/SMTP(메일 전송 프로토콜) 기반의 통신 접근을 제어하여 메일 클라이언트 통신 기반 발신을 차단할 수도 있다.

또한, 발신 메일 처리부(160)는, 등록된 IP 주소 및 국가에서 이메일을 보내는 경우, IP 주소, 날짜 등 이메일 서버 접근 제한 로그를 구성하여 저장 및 관리할 수 있다. 그리고, 이러한 이메일 서버 접근 제한 로그는 다음 접속시의 사용자 발신 허용 여부 확인에 이용될 수 있다. 발신 메일 처리부(160)는, 사용자 발신 허용 여부 확인을 위해, 사용자 식별 정보, 암호화된 이메일 정보, 사용자 암호 정보, 장치 식별 정보, 엑세스 IP 정보, 엑세스 시간 정보, 엑세스 위치 정보 및 이메일 엔진에 대한 통신 프로토콜 식별 정보를 포함하는 이메일 서버 접근 제한 로그를 확인할 수 있다.

한편, 다시 도 2를 참조하면, 레코드 관리부(170)는 상기 표적형 이메일 공격 보안위협 판별정보에 따라 처리된 상기 메일정보를 레코드정보로 저장하고 관리할 수 있다. 상기 레코드 관리부(170)는 상기 표적형 이메일 공격 보안위협 판별정보에 따라 정상메일로 처리되는 경우, 수신 메일 도메인, 발신 메일 도메인, 수신 메일 주소, 발신 메일 주소, 메일 라우팅, 메일 내용 본문 정보 등을 포함하는 상기 레코드정보를 신뢰인증 정보로 저장 및 관리하며, 비정상메일로 처리되는 경우 상기 레코드정보를 보안 위협 정보 동기화 처리부(140)로 전달하여, 보안 위협 정보 동기화 데이터를 갱신하게 할 수 있다.

또한, 레코드 관리부(170)는, 학습 데이터 처리부(171)를 포함하여, 상기 정상메일 및 상기 비정상 메일 정보의 학습에 기초한 표적형 이메일 공격 차단을 위한 보안 위협 정보 학습 모델을 구축할 수 있도록 하며, 보안 위협 정보 학습 모델는, 보안 위협 정보 동기화 처리부(140)로 전달되어, 보안 위협 정보 동기화 데이터에 포함될 수 있다.

한편, 진단 리포팅부(180)는, 표적형 이메일 보안 위협 검사부(130)의 처리 결과 정보를 수집하고, 처리 결과 정보로부터 이메일 보안 진단 서비스 정보를 구성하여 사용자단말(200)로의 이메일 보안 진단 서비스로 제공할 수 있다.

보다 구체적으로, 진단 리포팅부(180)는, 표적형 이메일 보안 위협 검사부(130)에서 처리된 메일보안 프로세스의 단계별 매칭 결과 정보를 수집할 수 있으며, 수집된 매칭 결과 정보에 대응하는, 하나 이상의 정량 분류 조건을 적용하기 위한 위협 레벨 비율 요소를 결정할 수 있다.

그리고, 진단 리포팅부(180)는, 매칭 결과로부터 위협 레벨 비율 요소에 대응하는 정량 분석 정보를 산출할 수 있으며, 정량 분석 정보에 기초하여, 진단 대상인 메일 시스템과, 각 메일별 위협 레벨 단계 분류별 스코어를 결정할 수 있다.

이에 따라, 진단 리포팅부(180)는, 위협 레벨 단계 분류별 스코어에 기초한 이메일 보안 진단 분석 리포팅을 구성할 수 있으며, 구성된 이메일 보안 진단 분석 리포팅 정보는 사용자단말(200)로 제공될 수 있다.

전술한 바와 같이, 상기 표적형 이메일 보안 위협 검사부(130)는, 스팸메일 보안위협, 악성코드 보안위협, 사회공학적 보안위협, 내부정보 유출 보안위협 등으로 구분하여 처리할 수 있으며, 상기 보안위협 아키텍처에 의해 보안위협 유형/레벨/프로세스/우선순위/처리순서가 설정될 수 있고, 이에 대응하는 수신 메일 처리부(150) 및 발신 메일 처리부(160)의 처리 프로세스가 수행될 수 있는 바, 각각의 매칭 처리 결과를 다양한 정량 분류 조건에 대응시켜, 각 위협 레벨 비율 요소의 매칭 건수가 산출될 수 있다. 이러한 정량 분류 조건은 위협 레벨 요소 분류 기준이라고도 할 수 있다.

또한, 진단 리포팅부(180)는 각 위협 레벨 비율 요소의 정량 분석 정보를 사전 설정된 위협 레벨 단계 분류별 스코어 산출식에 적용함으로써, 진단 대상 이메일 시스템의 종합적 보안 위협 정도를 확인하고, 이에 대응하는 사용자의 대응 가이드를 제공할 수 있는 진단 분석 리포팅 정보가 구성될 수 있다.

이에 따라, 사용자단말(200)에서는 상기 진단 분석 리포팅 정보를 제공받아, 보안위협 아키텍처 기반의 이메일 보안위협 상태를, 정량적인 실제 데이터를 기반으로 정확히 확인할 수 있으며, 이에 대응하는 가이드를 제공받아 조치함으로써 표적형 이메일 공격 등의 보다 다양해지는 보안위협들을 사전에 차단할 수 있게 된다.

또한, 진단 리포팅부(180)는, 진단 분석 리포팅 정보에 기초하여, 경고 메시지를 사용자단말(200)로 제공할 수 있다. 경고 메시지는 사용자에게 메일함의 이메일 제목과 함께 '스팸', '유사 도메인', '위조 헤더'와 같은 용어로 표적 이메일 공격의 위험을 표시하여 어떤 종류의 이메일인지 식별할 수 있도록 한다. 또한, 보안 관리자는 의심스러운 이메일이 사용자에게 전달되거나 전달되지 않도록 구성할 수도 있고, 경고 메시지의 단어/구문도 그룹별로 설정하여 관리할 수 있다.

한편, 진단 리포팅부(180)는, 사전 이메일 보안 리포팅 정보를 구성하여, 사용자단말(200)로 제공할 수 있다. 사전 이메일 보안 리포팅 정보는, 사용자가 이메일을 열기 전에 알림으로서 제공될 수 있으며, 수신된 이메일의 위험성을 제공할 수 있다.

이러한 사전 이메일 보안 리포팅 정보는, 최소한 다음 정보에 대응하여 각각 표시되거나 종합적 위협 레벨로서 표시될 수 있다.

- 수신내역 보고: 유사도메인 확인을 위해 이전에 이메일 주소로 수신한 이력

- 전달경로 보고: 현재 전달 경로 및 이메일 전송의 전달 경로 변경 이력

- 헤더 위변조 보고: 발신자 헤더 위변조 현황

- URL 검사 보고: 탐지된 악성 URL 수

- 유사 도메인: 유사 도메인의 위험 수준(예: TLD, 낮음, 보통, 높음 및 위험)

그리고, 진단 리포팅부(180)는, 사후 이메일 보안 리포팅 정보를 구성하여, 사용자단말(200)로 제공할 수 있다. 사후 이메일 보안 리포팅 정보는, 보안 관리자 또는 사용자가 이메일 보안 상태를 인식할 수 있도록 하는 세부 요약 보고서로서, 다음을 포함하여 위험 메일의 현재 상태에 대한 정보와 같은 조사 분석 정보가 포함될 수 있다.

- 안전 위험 평가: 사기 이메일의 일일 수치, 사용자 계정당 받은 공격 수, 국가별 공격지역 현황, 현재 이메일 위험에 대한 보안 등급

- 안전 위험 분석: 공격 유형별 이메일 공격 현황(예: 스팸, 악성코드, 악성 URL 및 첨부 파일, 위조 헤더, 유사 도메인)

- 공격 시나리오(예: 악성코드, 악성 URL, 의심스러운 발신자 주소, 위조 헤더 및 유사 도메인 등)

또한, 진단 리포팅부(180)는, 상태 대시보드 인터페이스를 사용자 단말(200)로 제공할 수 있으며, 상태 대시보드 인터페이스는 운영 상태, 구성 및 운영 환경과 같은 선택된 기술 개체에 대한 운영에 영향을 미치는 수신 및 발신 이메일의 실시간 기술 상태에 대한 개요를 제공할 수 있다.

예를 들어, 상태 대시보드 인터페이스는, 전체 표적형 이메일 공격 차단 기능의 실시간 정보 패널(예: 이메일의 총 수 및 상태, 인바운드 및 아웃바운드 이메일 실패 이유, 수신된 표적 이메일 공격 수)을 구성하여, 내부 보안 관리자가 인식 및 제어할 수 있도록 한다.

이에 따라, 진단 리포팅부(180)는, 위협 레벨 단계 분류별 스코어에 기초한 표적형 이메일 공격에 대한 이메일 보안 진단 분석 리포팅을 구성할 수 있으며, 구성된 이메일 보안 진단 분석 리포팅 정보는 사용자단말(200)로 제공될 수 있다.

또한, 진단 리포팅부(180)는 각 위협 레벨 비율 요소의 정량 분석 정보를 사전 설정된 위협 레벨 단계 분류별 스코어 산출식에 적용함으로써, 진단 대상 이메일 시스템 및 개별 이메일의 종합적 보안 위협 정도를 확인하고, 이에 대응하는 사용자의 대응 가이드를 제공할 수 있는 진단 분석 리포팅 정보가 구성될 수 있다.

보다 구체적으로, 개별 이메일의 종합적 보안 위협 정도를 확인하기 위한 판단 기준은 위협 레벨 요소 분류 기준에 따라 결정될 수 있다.

상기 위협 레벨 요소 분류 기준의 분류 조건은, 각 표적형 이메일 공격의 위험 검출 결과에 대응하여 설정될 수 있으며, 예를 들어, 악성코드 메일 검출, 악성코드 행위 검출, 바이러스 검출, 랜섬웨어 검출, 악성 URL 검출, 본문 내 URL 검출, 첨부파일 내 URL 검출, 헤더 위변조 검출, 답장시 주소 변경 검출, ID 변경 검출, 도메인 변경 검출, ID & 도메인 순서 변경 검출, 발송지 변경 검출, 유사 도메인 검출, 헤더 위변조 주의 메일 검출, 스팸 메일(광고성, 업무성) 검출, 신뢰도 주의 메일 검출 중 적어도 하나를 포함할 수 있다.

이러한 각 분류 조건에 해당하는 경우, 각 분류 조건에는 스코어가 할당될 수 있는 바, 각 위협 레벨 요소분류 기준의 합산, 평균 등의 연산에 따라 최종 스코어가 산출될 수 있다. 이에 따라, 진단 리포팅부(180)는, 진단 대상 메일의 위협 레벨 단계 분류별 스코어를 결정할 수 있다.

보다 구체적으로, 위협 레벨 단계 분류별로 상기 분류 조건들이 각각 할당될 수 있으며, 상기 분류 조건에 따라 검출된 정량 분석 값들이 상기 각 위협 레벨 단계 분류에 대응하여 합산 처리될 수 있으며, 합산 처리된 값에 따라 각 위협 레벨 단계 분류별 스코어가 결정될 수 있다.

예를 들어, 위협 레벨 단계는, 그 위험도에 따라 제1 단계, 제2 단계, 제3 단계, 제4 단계로 분류될 수 있으며, 각 단계별로 스코어가 산출되어 합산 처리될 수 있다.

나아가, 진단 리포팅부(180)는, 상기 각 위협 레벨 단계에 대응하는 위험도 가중치를 설정할 수 있다. 위험도 가중치는, 제1 레벨에 대응하여 10%, 제2 레벨에 대응하여 20%, 제3 레벨에 대응하여 30%, 제4 레벨에 대응하여 40%와 같이 할당될 수 있다.

이에 따라, 진단 리포팅부(180)는, 각 위협 레벨 단계별 스코어에, 상기 각 위험도 가중치를 곱연산하고, 그 결과를 합산함에 따라, 진단 대상 메일의 표적형 이메일 공격 보안 위협 위험도를 산출할 수 있다.

이러한 표적형 이메일 공격 보안 위협 위험도는, 사전 설정된 등급에 따라 A, B, C, D, E와 같은 보안 등급에 매핑될 수 있고, 이러한 매핑에 따라, 진단 리포팅부(180)는, 특정 메일에 대응하는 종합적인 보안 위협 위험도를 보안 등급으로 표시하는 위협 레벨 기반 가이드 콘텐츠를 구성하여, 메일 사용자단말로 제공할 수 있다.

여기서, 진단 리포팅부(180)는, 보안 위협 정보 동기화 데이터에 기초하여, 실시간으로 갱신되는 사용자의 이메일 이력 정보와 설정 정보를 반영하여 상기 스코어를 실시간으로 변경 산출할 수 있다.

예를 들어, 사용자가 특정 발신지 국가에 대한 허용 관리 설정을 수행하는 경우, 해당 발신지로부터 수신된 메일은 위험성 판단 대상에서 제외 처리되거나, 위험도 0점으로 처리될 수 있다.

이러한 사용자 설정 반영은, 기업 등의 사용자가 이메일 수발신 환경에 따라 맞춤형으로 설정한 상태에서의 표적형 이메일 공격 위험성을 진단하고자 하는 것이다.

또한, 보안 위협 정보 동기화 데이터를 통해, 기 발신된 메일 데이터의 표적형 이메일 공격 위험 검사 결과가 반영되는 바, 진단 리포팅부(180)는, 발신 메일에서 위험하다고 판단되는 발신 주소, 발신 국가 및 검출된 악성 코드 등을 이용하여, 수신 메일에 대한 각 메일 별 표적형 이메일 공격 위험 스코어 산출을 처리할 수 있다.

또한, 이러한 표적형 이메일 공격 위험 스코어를 산출함에 있어서, 각 위협 레벨 요소 분류 기준은 카테고리에 따라 분류될 수 있으며, 분류된 카테고리별 스코어링 테이블이 사전 구축될 수 있다.

예를 들어, 위협 레벨 요소 분류 기준은, 이메일 프로토콜 및 광고성 메일 카테고리를 포함할 수 있으며, 광고성 관련 차단이력 1점, 경고이력 1점, 신뢰도 차단이력 2점 등의 스코어가 지정될 수 있다.

또한, 예를 들어, 위협 레벨 요소 분류 기준은, 악성코드 카테고리를 포함할 수 있으며, URL 검출(제로데이 URL 등 사후 위험성 포함) 3점, 문서 내 악성 링크 2점, 바이러스 1점, 랜섬웨어 2점, 행위기반 검출 3점 등의 스코어가 지정될 수 있다.

또한, 예를 들어, 위협 레벨 요소 분류 기준은, 사회공학적 공격 관련 기초 상칭성 위험 카테고리를 포함할 수 있으며, 주소 위변조 2점, ID 위변조 1점, 도메인 위변조 1점, 기타 위변조 3점 등의 스코어가 지정될 수 있다.

또한, 예를 들어, 위협 레벨 요소 분류 기준은, 사회공학적 공격 관련 지능형 사칭성 위험 카테고리를 포함할 수 있으며, 최초 발송지 위험 1점, 최종 발송지 위험 2점, 기타 발송지 위험 3점, 유사 도메인 위험에 따른 위험 3점, 상 2점, 중 1점, 하 1점 TLD(상위도메인) 2점 등의 스코어가 지정될 수 있다.

진단 리포팅부(180)는, 이러한 표적형 이메일 공격 차단을 위한 이메일 위험 스코어를 산출하여, 표적형 이메일 공격에 대한 보안 등급을 매핑하고, 매핑된 보안 등급 정보를 가이드 콘텐츠로 구성하여, 사용자 단말로 제공할 수 있다. 예를 들어, 진단 리포팅부(180)는 가이드 콘텐츠를 텍스트 또는 이미지 마커로 구성하여, 이메일 데이터에 삽입할 수 있으며, 마커는 이메일 제목과 인접한 지점 또는 이메일 본문 시작지점 등에 표시될 수 있다.

또한, 진단 리포팅부(180)는, 항목 별 표적형 공격 위험 스코어 총합이 제1 임계치 이상이거나, 특정 항목의 표적형 공격 위험 스코어가 제2 임계치 이상이거나, 항목 별 표적형 공격 위험 스코어 총합이 제3 임계치 이상인 기간이 일정 기간 이상 지속되거나, 항목 별 표적형 공격 위험 스코어 총합이 제3 임계치 이상인 메일 개수가 일정 기간 이내 일정 개수 이상인 경우를 판단하고, 각 조건이 판단된 경우에는, 수신 메일 처리부(150) 또는 발신 메일 처리부(160)로 경고 알림을 제공할 수 있다. 수신 메일 처리부(150) 또는 발신 메일 처리부(160)는, 경고 알림된 메일에 대응하는 관리자 알림을 처리하거나, 메일의 자동 차단 처리 등을 수행할 수 있다.

이에 따라, 사용자 단말(200)에서는, 수신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보와, 발신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보를 동기한 보안 위협 정보 동기화 데이터에 기초하여 산출된 표적형 이메일 보안위협 상태를, 각 메일 및 시스템별로 정량적인 실제 데이터를 기반으로 정확히 확인할 수 있으며, 이에 대응하는 가이드를 제공받아 조치함으로써 표적형 이메일 공격에 대한 보다 다양해지는 보안위협들을 사전에 차단할 수 있게 된다.

도 5 및 도 6은 본 발명의 실시 예에 따른 시스템을 이용한 서비스 프로세스를 설명하기 위한 흐름도이다.

도 5 및 도 6을 참조하면, 도 5는 먼저 수신 메일의 표적형 이메일 공격 위협 검사 처리에 관한 것으로, 서비스 제공 장치(100)는, 수신 메일 정보를 수집한다(S101).

그리고, 서비스 제공 장치(100)는, 보안 위협 정보 동기화 데이터를 이용하여, 신규 수신 메일에 대응하는 표적형 이메일 보안 위협 검사를 수행하며, 표적형 이메일 보안 위협 검사는 스팸 위협 검사(S103), 멀웨어 공격 위협 검사(S105), 사회공학적 위협 검사(107)와 같은 각 단계별 멀티 레벨 검사를 수행할 수 있다.

여기서, 멀웨어 공격 위협 검사는 미확인 악성코드, 첨부파일 악성코드, URL 악성코드 등의 표적형 이메일 공격 위협 검사를 포함할 수 있으며, 사회공학적 위협 검사는, 헤더 위변조, 유사 도메인, 계정 탈취 및 URL 피싱 검사를 포함할 수 있다.

이후, 검사 결과에 따라, 서비스 제공 장치(100)는, 사용자 진단 리포팅을 수행할 수 있으며(S109), 검사 결과에 기초하여 메일 서버로의 반출 또는 차단을 결정한다(S111).

나아가, 서비스 제공 장치(100)는, 반출, 차단 또는 지연에 대응하는 경고 알림 메시지를 구성하여 관리자의 사용자 단말(200) 또는 수신자 단말(20)로 제공할 수 있다.

또한, 각 검사 결과는 수신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보와, 발신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보를 동기화하여, 구성된 보안 위협 정보 동기화 데이터로서 구성될 수 있다(S113).

한편, 도 6은 발신 메일의 표적형 이메일 공격 위협 검사 처리에 관한 것으로, 서비스 제공 장치(100)는, 발신 메일 정보를 수집한다(S201).

이후, 서비스 제공 장치(100)는, 각 검사 결과는 수신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보와, 발신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보가 동기화된 보안 위협 정보 동기화 데이터로부터, 현재까지 동기화된 보안 위협 정보를 획득한다(S203).

그리고, 서비스 제공 장치(100)는, 동기화된 보안 위협 정보를 이용하여, 발신 승인 시스템 기반의 정보 유출 위협 검사를 수행한다(S205).

이후, 서비스 제공 장치(100)는 동기화된 보안 위협 정보를 이용하여, 발신 메일의 필터링 검사 처리를 수행한다.

그리고, 서비스 제공 장치(100)는, 발신 메일의 검사 결과를 이용하여, 메일 서버로의 반출, 차단 또는 지연을 결정한다(S209).

나아가, 서비스 제공 장치(100)는, 반출, 차단 또는 지연에 대응하는 경고 알림 메시지를 구성하여 관리자의 사용자 단말(200) 또는 발신자 단말(10)로 제공할 수 있다.

도 7은 본 발명의 실시 예에 따른 대용량 파일 유출 검사 프로세스를 설명하기 위한 도면이다.

도 7을 참조하면, 본 발명의 일 실시 예에 따른 시스템은 발신자 단말(10), 제1 메일 관리 서버 장치(300), 메일 변환 처리 장치(30), 서비스 제공 장치(100), 망 연계 메일 승인 장치(500), 메일 복원 처리 장치(250), 제2 메일 관리 서버 장치(400) 및 수신자 단말(20)을 포함한다.

보다 구체적으로, 발신자 단말(10), 제1 메일 관리 서버 장치(300) 및 메일 변환 처리 장치(30)는, 내부망으로 분리된 보안 네트워크를 구성할 수 있다. 망이 분리된 보안 네트워크는, 망 연계 메일 승인 장치(500)를 경유하여야만 외부 네트워크로의 메일 전송이 가능한 네트워크로서, 이를 위한 다양한 네트워크 인터페이스 환경 기반의 보안화된 내부 네트워크 및 보안 장치들이 구축될 수 있다.

이를 위해, 망 연계 메일 승인 장치(500)는, 내부망에서 메일 서버를 구축하는 제1 메일 관리 서버 장치(300)로부터, 외부 망으로 전송할 이메일 데이터의 승인을 요청받고, 사전 설정된 승인 정책과 비교하여 승인 및 보안 검증된 메일만 서비스 제공 장치(100)를 통해, 표적형 이메일 공격 차단을 위한 유출 검사를 처리하고, 외부 네트워크를 통해 제2 메일 관리 서버 장치(400) 등으로 반출 처리할 수 있다.

여기서, 사전 설정된 승인 정책은, 관리자 인증 정보가 확인되거나, 발신자에 대응하는 조직상 상급자의 승인이 확인되거나, 이메일 데이터에 보안이 취약한지 여부 등을 검사하는 등의 다양한 정책들이 복합적으로 적용되어 승인이 확인될 수 있다.

반대로 망 연계 메일 승인 장치(500)는, 외부망의 제2 메일 관리 서버 장치(400)를 통해 외부 사용자의 외부 메일이 내부망으로 수신된 경우에는 서비스 제공 장치(100)를 통해, 상기 외부 메일의 첨부파일 및 URL 보안 검사 등을 수행하여 검증된 메일만 내부망으로 반입하는 처리를 수행할 수도 있다.

이러한 내부망 시스템 및 망 연계 메일 승인 장치(500)의 동작과는 달리, 외부 네트워크에 위치한 메일 복원 처리 장치(250), 제2 메일 관리 서버 장치(400) 및 수신자 단말(20)은, 공중망(Public network)과의 연결을 통해 유선 및 무선 중 하나 이상으로 연결되어 데이터를 송수신할 수 있다. 상기 공중망은 국가 혹은 통신 기간 사업자가 구축 및 관리하는 통신망으로, 일반적으로 전화망, 데이터망, CATV망 및 이동 통신망 등을 포함하여 불특정 다수의 일반인이 타 통신망이나 인터넷에 접속 가능하도록 연결 서비스를 제공할 수 있다.

한편, 상기 발신자 단말(10), 제1 메일 관리 서버 장치(300), 메일 변환 처리 장치(30) 및 망 연계 메일 승인 장치(500)는 내부망에 상응하는 제1 프로토콜로 통신하기 위한 각각의 통신 모듈을 포함할 수 있다.

또한, 상기 망 연계 메일 승인 장치(500), 메일 복원 처리 장치(250), 제2 메일 관리 서버 장치(400) 및 수신자 단말(20)은, 외부망에 상응하는 제2 프로토콜로 통신하기 위한 각각의 통신 모듈을 포함할 수 있다.

이와 같이, 각 내부망 분리 보안 네트워크와, 외부 네트워크를 구성하는 각 장치들은 상호간 유/무선 네트워크를 통해 연결될 수 있으며, 각 네트워크에 연결된 장치 또는 단말들은 상호 보안화된 네트워크 채널을 통해 상호간 통신을 수행할 수 있다.

여기서 상기 각 네트워크는 근거리 통신망(Local Area Network; LAN), 광역 통신망(Wide Area Network; WAN), 부가가치 통신망(Value Added Network; VAN), 개인 근거리 무선통신(Personal Area Network; PAN), 이동 통신망(Mobile radio communication network) 또는 위성 통신망 등과 같은 다양한 종류의 유/무선 네트워크로 구현될 수 있다.

그리고 발신자 단말(10) 및 수신자 단말(20)은, PC(personal computer), 노트북 컴퓨터(laptop computer), 휴대폰(Mobile phone), 태블릿 PC(Tablet PC), PDA(Personal Digital Assistants), PMP(Portable Multimedia Player) 등이 포함될 수 있으나, 본 발명은 이에 한정되지 아니하며 내부망, 공중망 또는 사설망 등을 통해 제1 메일 관리 서버 장치(300) 또는 제2 메일 관리 서버 장치(400)에 접속가능한 다양한 장치들이 예시될 수 있다. 이에 더하여 발신자 단말(10) 및 수신자 단말(20) 각각은 애플리케이션 구동 또는 웹 브라우징을 통한 정보의 입출력이 가능한 다양한 장치일 수 있다.

한편, 각 제1 메일 관리 서버 장치(300) 및 제2 메일 관리 서버 장치(400)는, 사용자가 작성한 메일을 발신하거나, 상대방이 작성한 메일을 수신할 수 있도록 전자 우편 내용을 중계 및 보관하는 시스템을 포함하며, 메일의 수신과 발신 처리라는 사용 목적에 따라 사전 설정된 메일 프로토콜을 활용하여 장치 상호간 통신을 수행할 수 있다.

일반적으로 상기 메일 프로토콜은 메일의 수신 처리 시, POP3(Post Office Protocol 3), IMAP(Internet Message Access Protocol)이 사용될 수 있다. 또한 상기 프로토콜은 메일의 발신 처리 시, SMTP(Simple Mail Transfer Protocol) 또는 EML(Electronic mail) 프로토콜이 사용될 수 있다. 이와 같이, 각 제1 메일 관리 서버 장치(300) 및 제2 메일 관리 서버 장치(400)는, 각각의 분리된 망 내부에서 메일 송수신 처리를 위한 서버(server) 시스템으로 구성되어 각각 작동할 수 있다.

이와 같은 시스템 구성에 있어서, 본 발명의 실시 예에 따른 메일 변환 처리 장치(30)는, 외부망과 분리된 보안 네트워크의 내부망에 위치할 수 있으며, 상기 내부망에 위치한 대용량 파일의 링크 정보를 포함하는 이메일을 변환하여, 서비스 제공 장치(100)를 통해, 표적형 이메일 공격 차단을 위한 유출 검사를 받은 후, 망 연계 메일 승인 장치(500)의 승인을 받아 외부망의 메일 복원 처리 장치(250)로 전달하는 기능을 처리할 수 있다.

이를 위해, 먼저, 메일 변환 처리 장치(30)는, 상기 내부망에 위치한 발신자 단말(10)로부터 전송 요청된 전송 메일을 제1 메일 관리 서버 장치(300)를 통해 획득할 수 있으며, 상기 전송 메일로부터 상기 내부망에 위치한 대용량 파일의 링크 정보를 식별하고, 상기 링크 정보에 기초하여 상기 내부망에 위치한 대용량 파일을 획득할 수 있다.

그리고, 메일 변환 처리 장치(30)는, 상기 대용량 파일이 상기 전송 메일의 일반 첨부파일로 구분되도록 삽입된 변환 메일을 생성할 수 있는 바, 이러한 변환 메일은, 망 연계 메일 승인 장치(500)를 경유하여, 상기 외부망에 위치한 메일 복원 처리 장치(250)로 전송될 수 있게 된다.

이 경우, 망 연계 메일 승인 장치(500)는, 사전 설정된 메일 발송 정책에 따라, 상기 일반 첨부파일로 구분되도록 삽입된 상기 대용량 파일의 보안 위험을 검사하고, 서비스 제공 장치(100)를 통해, 표적형 이메일 공격 차단을 위한 유출 검사를 받은 후, 상기 변환 메일의 발송을 승인 처리할 수 있으며, 승인 처리된 변환 메일은 제2 메일 관리 서버 장치(400)에 전달되기에 앞서, 본 발명의 실시 예에 따른 메일 복원 처리 장치(250)로 수신될 수 있다.

메일 복원 처리 장치(250)는, 보안 네트워크의 내부망과 분리된 외부망에 위치할 수 있으며, 망 연계 메일 승인 장치(500)를 통해, 상기 내부망으로부터 변환 전송된 변환 메일을 수신하면, 서비스 제공 장치(100)를 통해, 표적형 이메일 공격 차단을 위한 유출 검사를 받은 후, 상기 변환 메일로부터 내부망의 대용량 파일이 복원된 복원 메일을 구성하고, 구성된 복원 메일을 제2 메일 관리 서버 장치(400)를 경유하여 수신자 단말(20)로 전달하는 복원 및 전달 프로세스를 수행할 수 있다.

보다 구체적으로, 메일 복원 처리 장치(250)는, 상기 변환 메일에 포함된 일반 첨부 파일 데이터로부터, 내부망의 대용량 파일을 획득할 수 있으며, 상기 내부망의 대용량 파일을 상기 변환 메일에서 분리하여, 암호화된 임의의 외부망 경로에 업로드 처리한다.

그리고, 메일 복원 처리 장치(250)는, 상기 대용량 파일이 분리된 상기 변환 메일에, 상기 업로드된 외부망 경로 정보를 포함시켜 상기 변환 메일의 복원 메일을 구성하며, 구성된 복원 메일은 제2 메일 관리 서버 장치(400)로 전달되어 수신자 단말로 전송 처리될 수 있다.

이와 같은 시스템 구성에 따라, 외부망으로의 메일 반출이 불가능했던 내부망의 대용량 파일이 보안화된 이메일 시스템을 통해 반출될 수 있도록 처리되며, 이러한 프로세스에 의해 메일 시스템 보안 체계를 그대로 활용하면서도, 외부망의 메일 수신측에서도 내부망의 대용량 파일을 쉽게 확인할 수 있도록 하는 메일 서비스가 구현될 수 있다.

예를 들어, 내부망의 발신자 단말(10) 사용자가 메일로 반출할 파일을 일반 이메일의 대용량 파일 첨부로서 입력하기만 하면, 수신자 단말(20)에서는 발신 메일의 대용량 파일 첨부와 동일하게 복원되어 업로드된 대용량 파일을, 수신메일에 포함된 외부망 경로 정보로부터 획득할 수 있게 되므로, 실질적인 대용량 파일의 반출이 처리될 수 있다.

또한, 이러한 외부망의 대용량 파일에 대한 접근권한 및 접속정보는 메일 복원 처리 장치(250)에서 관리될 수 있으므로, 기존의 클라우드 공유 서비스 등을 불가피하게 이용되던 취약한 보안 환경을 보완하고, 보다 편리하면서도 안전한 내부망 파일의 외부망 메일 전송을 가능하게 한다.

도 8은 본 발명의 실시 예에 따른 대용량 파일의 정책 기반 승인 프로세스를 설명하기 위한 래더 다이어그램이다.

도 8을 참조하면, 먼저 제1 메일 관리 서버 장치(300)는, 발신자 단말(10)의 메일 전송 요청을 수신하여, 메일 변환 처리 장치(30)로 전달한다(S1001).

이후, 메일 변환 처리 장치(30)는, 전송요청된 메일로부터, 내부망 대용량 첨부파일에 대응하는 내부망 링크 정보를 식별한다(S1003).

내부망 링크 정보 식별을 위해, 본 발명의 실시 예에 따른 메일 변환 처리 장치(30)는, 내부망 링크 식별부(110)를 통해 먼저 전송요청된 메일에 포함된 링크 정보(URL 또는 URI)를 추출하고, 링크 정보의 추적 검사를 수행할 수 있다.

보다 구체적으로, 메일 변환 처리 장치(30)는, 내부망 링크 식별부(110)를 통해, 상기 전송요청된 메일에 포함된 모든 링크 정보 또는 사전 설정된 내부망 경로로 지정된 지정 링크 정보(예를 들어, IP 주소가 내부망으로 설정된 사설 IP 주소로 시작되는 링크 정보)를 추출하고, 추출된 링크 정보에 접속하여 파일 다운로드 여부 및 파일의 크기를 검사할 수 있다.

이에 따라, 메일 변환 처리 장치(30)의 내부망 링크 식별부(110)는, 파일 다운로드가 가능한 것으로 검사된 링크 정보 중 다운로드할 파일의 크기 정보를 식별하고, 그 크기 정보가 일정 크기 이상인 경우, 상기 내부망 대용량 첨부파일에 대응하는 링크 정보로 식별할 수 있다.

예를 들어, 상기 일정 크기는 2메가바이트 인 것이 예시될 수 있으며, 내부망 링크 식별부(110)는 모든 링크 정보 또는 지정 링크 정보 중 상기 2메가바이트를 초과하는 내부망 파일을 다운로드하는 링크 정보를 추출하여, 상기 내부망 대용량 첨부파일에 대응하는 내부망 링크 정보로서 식별할 수 있다.

그리고, 메일 변환 처리 장치(30)는, 내부망 링크로부터 대상 파일을 다운로드 처리하며, 전송 메일에서는 내부망 대용량 링크를 삭제 처리한다(S1005).

이후, 메일 변환 처리 장치(30)는, 상기 대용량 링크가 삭제 처리된 상기 전송 메일에, 대상 파일을 일반 첨부 메일포맷의 첨부파일로서 포함시켜, EML 데이터를 구성한다(S1007).

그리고, 메일 변환 처리 장치(30)는, 망 연계 메일 승인 장치(500)로 상기 EML 데이터 기반 변환 메일의 전송 승인을 요청한다(S1009).

망 연계 메일 승인 장치(500)는, 서비스 제공 장치(100)를 이용한 대용량 파일의 표적형 이메일 공격 검사 처리를 수행하고(S1010), 사전 설정된 정책을 기반으로, 메일을 승인할지 판단할수 있으며(S1011), 승인이 거절되는 경우에는 거절 메시지를 제1 메일 관리 서버 장치(300)를 통해 발신자 단말(10)로 전달하며(S1013), 승인이 확인된 경우에는 변환 메일을 외부망의 제2 메일 관리 서버 장치(400)에 연결된 메일 복원 처리 장치(250)로 전송한다(S1015).

이후, 메일 복원 처리 장치(250)에서는, 상기 변환 메일의 일반 첨부파일로부터 대상 파일을 분리하여, 서비스 제공 장치(100)를 이용한 대용량 파일의 표적형 이메일 공격 검사 처리를 수행하고(S1016 ), 일반 메일로 복원 구성한다(S1017).

그리고, 메일 복원 처리 장치(250)는, 상기 분리된 대상 파일을 임의 경로에 업로드 처리하며(S1019), 업로드 경로 정보에 접근가능한 웹 페이지를 구성한다(S1021).

이후, 메일 복원 처리 장치(250)는, 상기 복원된 일반 메일의 첨부파일에 웹 페이지를 부가하고(S1023), 상기 복원된 일반 메일을 제2 메일 관리 서버 장치(400)를 통해, 수신자 단말(20)로 전달한다(S1025, S1027).

본 발명의 실시 예에서 상기 업로드 경로 정보는 웹 페이지로서 부가되는 것이 예시되어 있으나, 본 발명은 이에 한정되지 아니하며 상기 업로드 경로 정보는 링크 정보, URL 텍스트 등 다양한 방식으로 상기 복원된 일반 메일에 첨부될 수 있다.

한편, 표적형 이메일 공격에 대응하기 위한 일반 보안 요구 사항(general security requirements)으로서, 수집된 악성 파일과 계정 데이터에 대한 인바운드 및 아웃바운드 검사 사이의 동기화가 요구된다. 이메일 보안 시스템의 폴더 구조는 수동 또는 자동으로 주기적으로 변경되어야 하며, 화이트리스트 외에 악성 코드를 검사한다. 그리고 사용자, 보안 관리자 및 웹에 대한 악의적인 계정 탈취 시도를 모니터링한다.

또한, 이메일 보안 리포팅 시스템에 대한 보안 요구 사항으로서, 열기 전에 수신된 이메일이 안전한지 확인하기 위한 보고서를 사용자에게 제공해야 하며, 도메인 또는 서버의 이메일 보안 현황에 대해 수집된 데이터를 기반으로 진단 보고서를 제공해야 한다. 그리고 모든 인바운드 이메일에 대해 계산된 위험 결과(risk results)를 제공하고 그 결과를 이메일과 함께 표시해야 한다. 차단된 사기성 이메일에 대한 정보가 보안 관리자와 사용자에게 정기적으로 제공되며, 보안 문제가 있는 이메일을 전달할 때 사용자에게 이메일 제목과 함께 경고 메시지를 제공한다. 한편, 보안 검사 프로세스에서 오탐(false-positives)으로 탐지된 이메일은 복원될 수 있도록 한다.

또한, 표적형 이메일 공격에 대한 일반 대응책(general countermeasures)으로서, 이메일 화이트리스트/블랙리스트 등록(email whitelist/blacklist registration), 이메일 보안 데이터 동기화(email security data synchronization) 및 로그인 로그(login log)에 대한 모니터링이 수행된다. 이메일 화이트리스트/블랙리스트 등록을 통해, 보안 관리자는 허용 및 허용되지 않는 특정 이메일 주소, IP 주소 및 도메인을 수동으로 입력할 수 있다. 이에 따라, 이메일을 승인하거나 삭제하여 사용자 접근을 자동으로 필터링 한다. 한편, 인바운드 및 아웃바운드 이메일로부터의 악성 코드 유입을 차단하기 위해, 화이트리스트에 있는 이메일 계정 또는 IP 주소에 대해 추가 검사를 수행해야 한다. 이메일 보안 데이터 동기화는, 인바운드 및 아웃바운드 이메일에서 신규 및 기존 데이터를 수집하고 분석하여, 수신 및 발신 데이터를 동기화하고 차단하기 위해 이용된다. 이메일 보안 데이터에 대한 자세한 정보에는 제로-데이 악성 코드, 유사 도메인 및 전달 경로 정보(예를 들어, 이메일 서버 및 발신자 위치)가 포함된다. 그리고 로그인 로그는, ID, 위치(국가), IP 주소, 날짜 및 상태(예를 들어, 성공 또는 실패)와 같은 자세한 로그 정보와 함께, 사용자, 보안 관리자 및 웹에 대한 로그인 시도를 표시하여, 이메일 서버 내에서의 악의적인 계정 탈취 시도를 모니터링 한다.

그리고 이메일 보안 리포팅 시스템과 관련된 대응책으로서, 경고 메시지(warning message), 이메일 위험 스코어 결정 기준(email risk score determination criteria), 사용자용 이메일 보안 보고서(email security report for users) 및 상태 게시판(status board)이 제공된다. 경고 메시지는, 사용자가 어떤 종류의 악성 이메일을 받았는지 인식할 수 있도록, 사서함(mailbox)에서 이메일의 제목과 함께 '유사 도메인(look-alike domain)' 및 '위조된 헤더(forged header)'와 같은 용어로 표적형 이메일 공격의 위험에 대해 사용자에게 경고한다. 또한, 보안 관리자는 의심스러운 이메일이 전달되거나 또는 전달되지 않도록 구성할 수 있으며, 메시지의 경고 단어/문구는 그룹별로 설정하여 관리할 수 있다. 이메일 위험 스코어 결정 기준은, 사용자가 이메일의 위험성을 쉽고 직관적으로 판단하거나 인식할 수 있도록 하는 기준을 제공하며, 이메일 위험 스코어를 계산하는 방법과 구현 조건으로 나눌 수 있다. 이메일 보안 보고서(사용자용)는, 사용자가 이메일을 열기 전에 알림으로 표시되어, 수신된 이메일의 위험성을 나타낸다. 그를 위해, 이메일 보안 보고서에는, 유사 도메인으로 확인된 이메일 주소로부터 이전에 수신된 기록(received history), 현재 전달 경로 및 이메일 발송의 전달 경로 이력의 변화(delivery route), 발신자 헤더 위조의 상태(header forgery), 탐지된 악성 URL의 수(URL inspection) 및 유사 도메인의 위험 레벨(예를 들어, TLD, 낮음, 높음 및 위험)이 표시된다. 상태 게시판은 운영 상태, 구성 및 운영 환경과 같은 선택된 기술적 객체에 대한 작업에 영향을 미치는 인바운드 및 아웃바운드 이메일의 실시간 기술적 상태(real-time technical status)에 대한 개요를 제공한다. 여기서, 이메일의 총 개수와 상태, 인바운드 및 아웃바운드 이메일의 실패 이유, 수신된 표적형 이메일 공격의 수와 같은 실시간 정보에 관한 완전한 기능 패널(fully functioning panels)은, 이메일 보안에 대한 위험과 중단을 인지하기 위해 내부 보안 관리자에 의해 제어되도록 보여진다.

상술한 본 발명에 따른 방법은 컴퓨터에서 실행되기 위한 프로그램으로 제작되어 컴퓨터가 읽을 수 있는 기록 매체에 저장될 수 있으며, 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있다.

컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고, 상기 방법을 구현하기 위한 기능적인(function) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다.

또한, 이상에서는 본 발명의 바람직한 실시 예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시 예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변형 실시가 가능한 것은 물론이고, 이러한 변형 실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어서는 안될 것이다.

Claims

이메일 보안 시스템을 이용한 서비스 제공 장치의 동작 방법에 있어서,
수신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보와, 발신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보를 동기화하여, 보안 위협 정보 동기화 데이터를 구성하는 단계;
상기 보안 위협 정보 동기화 데이터를 이용하여, 신규 수신 메일 또는 신규 발신 메일에 대응하는 표적형 이메일 보안 위협 검사를 수행하는 단계; 및
상기 신규 수신 메일 또는 상기 신규 발신 메일의 상기 표적형 이메일 보안 위협 검사에 따른 표적형 이메일 보안 위협 대응 처리를 수행하는 단계를 포함하고,
상기 표적형 이메일 보안 위협 검사는 이메일 정보 유출 위협 검사항목에 대응하는 비승인 이메일 서버 접근 공격 위협 검사를 포함하는 서비스 제공 장치의 동작 방법.
제1항에 있어서,
웹메일 및 메일 클라이언트에 접근하는 동안, 등록되지 않은 클라이언트 서버 프로토콜/메일 전송 프로토콜 및 국가 접근을 차단하는 서비스 제공 장치의 동작 방법.
제2항에 있어서,
등록된 클라이언트 서버 프로토콜/메일 전송 프로토콜 및 국가 접속만을 허용하는 서비스 제공 장치의 동작 방법.
제1항에 있어서, 상기 비승인 이메일 서버 접근 공격 위협 검사는
비승인 이메일 서버 공격을 판별하기 위해 접근에 대한 상세 정보를 파악하는 서비스 제공 장치의 동작 방법.
제1항에 있어서,
이메일 서버/IP 액세스 제어(Email server/IP access control)를 통해, 보안 관리자가 웹 메일 또는 메일 클라이언트에 대한 접근을 제한하여 보안 이메일 링크를 제어하도록 하는 서비스 제공 장치의 동작 방법.
제1항에 있어서,
이메일 서버 액세스 로그(Email server access log)를 이용하여, 사용자의 접근에 대한 승인 또는 비승인 여부를 결정하는 서비스 제공 장치의 동작 방법.
이메일 보안 시스템을 이용한 서비스 제공 장치에 있어서,
수신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보와, 발신 메일의 표적형 이메일 보안 위협 검사 수행에 따라 구성된 표적형 이메일 보안 위협 정보를 동기화하여, 보안 위협 정보 동기화 데이터를 구성하는 보안 위협 정보 동기화 처리부;
상기 보안 위협 정보 동기화 데이터를 이용하여, 신규 수신 메일 또는 신규 발신 메일에 대응하는 표적형 이메일 보안 위협 검사를 수행하는 표적형 이메일 보안 위협 검사부;
상기 신규 수신 메일 또는 상기 신규 발신 메일의 상기 표적형 이메일 보안 위협 검사에 따른 표적형 이메일 보안 위협 대응 처리를 수행하는 메일 처리부를 포함하고,
상기 표적형 이메일 보안 위협 검사부는 이메일 정보 유출 위협 검사항목에 대응하는 비승인 이메일 서버 접근 공격 위협 검사를 수행하는 이메일 보안 시스템을 이용한 서비스 제공 장치.
제7항에 있어서, 상기 메일 처리부는
웹메일 및 메일 클라이언트에 접근하는 동안, 등록되지 않은 클라이언트 서버 프로토콜/메일 전송 프로토콜 및 국가 접근을 차단하는 이메일 보안 시스템을 이용한 서비스 제공 장치.
제7항에 있어서, 상기 표적형 이메일 보안 위협 검사부는
비승인 이메일 서버 공격을 판별하기 위해 접근에 대한 상세 정보를 파악하는 이메일 보안 시스템을 이용한 서비스 제공 장치.
제7항에 있어서, 상기 메일 처리부는
이메일 서버/IP 액세스 제어(Email server/IP access control)를 통해, 보안 관리자가 웹 메일 또는 메일 클라이언트에 대한 접근을 제한하여 보안 이메일 링크를 제어하도록 하는 이메일 보안 시스템을 이용한 서비스 제공 장치.
제7항에 있어서, 상기 메일 처리부는
이메일 서버 액세스 로그(Email server access log)를 이용하여, 사용자의 접근에 대한 승인 또는 비승인 여부를 결정하는 이메일 보안 시스템을 이용한 서비스 제공 장치.