전기차 보급 확대와 함께 전기차 충전소에서의 화재 발생 사례 또한 급증하고 있습니다. 2020년부터 작년 상반기까지의 전기차 화재 통계를 살펴보면, 2020년에는 11건이었던 화재 건수가 2022년에는 44건으로 4배 증가한 것을 확인할 수 있습니다. 2023년에는 상반기에만 42건이 발생해, 전년도 전체 화재건수에 육박했습니다. 화재의 발화요인은 '원인미상'으로 집계된 사례가 가장 많았고, 그 다음으로 전기적 요인이 24%로 2위를 차지했습니다. 화재가 가장 많이 일어나는 곳은 도로와 주차장입니다. 어디서 사고가 날지 모르는 도로에서는 화재 예방이 어렵지만, 충전 중 발생하는 화재는 충전소의 철저한 화재 감지 시스템으로 큰 사고를 미연에 방지할 수 있습니다.  전기차는 한번 화재가 발생할 경우 전소할 때까지 불이 꺼지지 않아 화재 진압이 어렵다는 특징이 있습니다. 전기차의 리튬 이온 배터리는 손상되거나 과열될 경우 열폭주 현상이라 불리는 화학 연쇄반응을 일으키는데요. 한번 열폭주가 시작되면 수백도 이상의 매우 높은 온도가 발생하며, 배터리 셀 내부의 압력 상승으로 인한 폭발 위험이 있습니다. 이 때문에 전통적인 소방 장비로는 전기차 화재를 진압하기가 매우 어렵습니다. 차량의 사방을 막은 후 물을 채워 배터리를 식히는 이동식 소화구조나 화재 차량 전체를 덮어 산소유입을 차단하는 질식소화포 등의 특수 장비가 필요하며, 진압에 오랜 시간이 소요됩니다. 따라서, 전기차는 사전에 이상을 감지하고 화재가 발생하지 않도록 예방하는 것이 가장 중요합니다.     화재예방도 AI로, 웰스테크의 AI 열화상카메라 화재감지기  웰스테크의 AI 열화상카메라 화재감지기는 산업 현장, 전기자동차 충전 중 발생하는 화재, 그리고 건물과 설비의 노후화로 인한 화재를 예방하는 데 매우 효과적인 솔루션입니다. 본 화재 감지 시스템은 열화상 카메라와 LTE 알람송신기, 모니터링 시스템, 전력차단기로 구성되어 있습니다. 열화상카메라가 실시간 실영상/열영상 데이터를 통해 화재 발생 가능성을 파악하고, 이상이 발생할 경우에 LTE 알람송신기로 관리자에게 즉각 알림을 발송합니다. 관리자는 사용이 편리한 모니터링 시스템을 통해 화재감지구역별 온도 변화 추이, 이상 상황 등을 실시간으로 한 눈에 파악할 수 있습니다. 웰스테크 화재감지기의 특징은 기존 화재경보의 단순 임계치 기반 또는 룰 기반 알람 시스템이 아닌 AI 기술을 적용한 화재 경보 단계 판단기능을 탑재해 신뢰성을 향상했다는 점입니다. 온도의 변화 패턴을 AI에게 학습시켜 비정상적인 온도 변화가 감지되면 알람이 가동되고, AI 분석 결과에 따라 1단계 판단, 2단계 경고, 3단계 화재 발생으로 단계별 알람이 발송됩니다. 즉각적인 대처가 필요한 심각한 위험 상황이 발생했을 경우에는 원격으로 전력을 차단할 수 있습니다. 또한 AI 지능형 객체 인식 기능으로 모니터링 공간에 들어오는 사람, 차 등의 객체를 인식하고 그에 따른 후속 조치를 이행합니다.    AI 열화상카메라 화재감지기 세부 기능   AI 열영상 화재감지기열화상 카메라와 AI 기능이 복합 적용된 감시기로 화재 가능성을 정확히 탐지하고, 3단계 알림을 통해 초기 화재 대응력을 극대화합니다. 긴급 상황 발생 시 원격으로 전력을 차단해 화재의 확산을 방지할 수 있습니다.   열화상 카메라160X120 고화질로 정확한 온도 측정이 가능하며 건물 내외부와 지하 등 다양한 공간에서 운영이 가능합니다. 기존 CCTV MVR과 연계 운용으로 비용을 절감할 수 있습니다.   관제용 어플리케이션사용자 친화적 어플리케이션으로 손쉽게 주요 건물과 설비 상태를 실시간으로 파악할 수 있으며, 계절과 작업 등에 따라 관리자가 직접 감지 영역을 조정해 상황에 맞게 시스템을 최적화할 수 있습니다.   ▲ 실제 솔루션을 설치한 열성형 공장의 실화상/열화상 화면  ▲ 구역별 온도변화추이 모니터링 화면    AI 열화상카메라 화재감지기 적용 효과 웰스테크의 AI 열화상카메라 화재감지기 도입을 통해 전기차 충전소와 같은 시설은 화재로부터 보다 안전한 환경을 제공할 수 있습니다. 초기 화재 감지 및 신속한 대응을 가능하게 함으로써 충전 중 화재로 인한 재산 손실, 손해 배상 등의 경제적 피해를 최소화하며 충전시설 주변 환경과 인명을 보호할 수 있습니다. 또한 화재 방지 의무 위반 등에 따른 운영자의 법적 제재와 규제에 대응이 가능합니다.AI 열화상카메라 화재감지기는 다양한 환경에 적용이 가능하여, 현재 전기차 충전소뿐만 아니라 실험 중 화재 발생의 가능성이 있는 화학연구소, 고온의 장비를 다루는 공장 등 여러 산업군에서 도입 문의를 받고 있습니다. 뛰어난 기술력을 바탕으로 더 높은 신뢰도를 제공하는 화재감지 시스템 도입을 고민하고 계시다면 언제든지 웰스테크에 궁금한 점을 문의해 주세요! 전문 엔지니어가 자세한 상담을 도와드리겠습니다.    

   현대 제조업은 전례 없이 빠른 속도로 변화하고 있습니다. 기술의 진보, 시장의 글로벌화, 그리고 다양해지는 소비자들의 요구로 제조기업들은 그 어느 때보다 치열한 경쟁에 직면해 있습니다. 하루가 다르게 변화하는 트렌드에 맞추어 사업을 운영하고 경쟁력을 확보하기 위해 많은 제조기업에서 AI를 도입하고 있는데요. 새로운 시대, AI가 필요한 이유에 대해 자세히 알아보겠습니다.    제조기업에 AI가 왜 필요할까?  급변하는 시장 환경과 불안정성 최근 몇 년간, 코로나 19 팬데믹과 러시아-우크라이나 전쟁 등 전 세계적인 전염병과 전쟁의 여파로 인해 글로벌 공급망에 심각한 차질이 발생했습니다. 이와 같이 공급 환경에 급격한 변화가 발생하면 제조기업은 원자재와 부품 확보에 어려움을 겪게 됩니다. 경제의 불확실성 또한 기업의 수요 예측을 어렵게 만드는데요. 세계적인 금융 위기와 무역 분쟁, 환율 등의 경제적 변동성은 기업의 장기 계획과 투자 결정에 리스크로 작용합니다. 기업은 시장의 변화에 따라 생산계획과 운영 전략을 신속하게 조정할 수 있어야 합니다. AI 솔루션은 급격하게 변화하는 대내외 제조 환경에 효율적으로 대응해, 관리자의 빠른 의사결정을 돕습니다.   다품종 소량 생산의 요구 증가 오늘날 소비자들은 단순히 제품의 기능만을 추구하는 것이 아니라, 자신의 개성과 요구를 반영할 수 있는 맞춤형 제품을 선호합니다. 다양한 제품을 제공하는 것이 기업의 경쟁 우위 확보에 중요한 요소가 된 것입니다. 다품종 소량 생산에 대한 요구가 증가함에 따라 제조 과정 또한 더욱 복잡해졌고, 인공지능과 데이터 분석 기술을 활용한 생산 과정 최적화의 필요성이 대두되었습니다. AI 솔루션은 소비자의 개별화된 요구사항에 맞추어, 제조기업이 다양한 제품을 효율적으로 생산할 수 있도록 돕습니다.  긴급 주문 발생량의 증가 디지털 시대의 도래와 함께 고객의 기대치는 상당히 높아졌습니다. '즉시 배송'과 '맞춤형 제품'은 더 이상 특별한 서비스가 아닌 기본적인 요구 사항이 되었습니다. 이에 따라 제조기업에서는 긴급 주문의 발생량이 급증하고 있으며, 이러한 변화에 신속하게 대응할 수 있는 유연성을 갖추어야 합니다. AI 기반의 솔루션은 긴급 주문에 대한 신속한 대응을 가능하게 하는 동시에 전체 생산 과정을 최적화하여 비용과 시간을 절약할 수 있습니다.      AI 기반 생산계획 솔루션 도입, 어떤 효과가 있을까?  1. 효율성과 생산성 향상 AI 기반 시스템은 재고, 주문량 등의 데이터를 실시간으로 분석하여 최적의 생산 계획을 수립합니다. 기존의 수동 계획보다 훨씬 빠르며, 수작업으로 계획을 수립할 때 발생하는 오류를 미연에 방지할 수 있습니다. 더불어 생산 과정에서 발생할 수 있는 여러 가지 변수를 자동으로 고려하여 보다 정확한 계획을 수립합니다. 결과적으로 과오생산으로 인한 자원의 낭비를 줄이고, 생산 라인의 효율성을 크게 향상시킬 수 있습니다.  2. 비용 절감 재고 관리는 제조업에서 큰 비용을 차지합니다. AI 기반 생산계획 시스템은 정밀한 수요 예측을 통해 필요한 재료의 양을 정확히 계산할 수 있으며, 과잉 재고나 부족 현상을 최소화합니다. 이는 재고 유지 비용의 절감은 물론, 긴급 주문으로 인한 추가 비용 발생을 방지하는 데에도 큰 도움이 됩니다. 또한 AI 솔루션을 통해 복잡한 생산계획이 자동으로 생성될 경우 해당 작업에 대한 투입 공수 또한 큰 폭으로 줄어들어, 투입 인력에 대한 비용을 절감할 수 있습니다.  3. 유연성과 대응력 증가 시장의 변화는 예측하기 어렵고, 고객의 요구 사항은 계속해서 변화합니다. AI 기반 시스템은 시장 변화나 수요의 변동을 신속하게 감지하고 이에 대응할 수 있는 유연한 생산 계획을 수립할 수 있습니다. 이는 기업이 빠르게 변화하는 시장 환경에 효과적으로 대응할 수 있게 해주며, 납기 지연을 방지해 고객 만족도를 향상시킵니다.   4. 데이터 축적 및 분석을 통한 디지털 전환 가속화 AI 솔루션은 생산 과정에서 발생하는 방대한 양의 데이터를 수집하고 분석합니다. 여기에는 재고량, 주문량, 생산 속도, 재료 소비율 등이 포함됩니다. AI는 이 데이터를 기반으로 생산 과정의 이슈를 식별하고, 생산 효율을 최적화하는 데 필요한 조치를 제안합니다. 이를 통해 기업은 데이터에 기반한 의사결정을 강화하며 문제 발생 시 신속하게 대응할 수 있습니다.스마트 팩토리로의 전환을 위해서는 고품질의, 풍부한 양의 데이터가 필요합니다. AI 생산계획 솔루션 도입을 통해 자동으로 데이터를 축적하고, 디지털 전환을 가속화할 수 있습니다.        제조업의 경쟁이 치열해지면서 기업들은 비용을 절감하고, 고객 만족도를 개선하기 위해 끊임없이 혁신을 추구하고 있습니다. 더 높은 생산성과 효율적인 기업 운영을 위해 AI 솔루션 도입을 고민하고 계시다면, 웰스테크의 생산스케줄링 자동화 솔루션 i-Scheduler에 주목해 주세요.   웰스테크는 고객 규모에 맞는 적절한 구축 및 운영 비용으로 솔루션을 제공하고 있습니다. 궁금한 점이 있으신 분들은 웰스테크로 문의해 주시면, 언제든 자세한 상담으로 도와드리겠습니다.  

요약 (Summary)   2021년 1분기 기준으로 전체 피싱 사이트의 83%가 TLS를 통해 암호화 통신을 하는 HTTPS를 적용하고 있습니다. HTTPS는 중간자 공격으로 알려진 MITM(Man-in-The-Middle)로부터 안전한 통신을 위해 암호화를 제공합니다. SSL을 시작으로 TLS까지 암호화 기술이 발전하고 일부 기술을 폐기함으로써 정보 탈취에 대해 대응해왔습니다. 보안을위해 연구되고 사용되고 있는 HTTPS는 악성 피싱 사이트를 통해 역으로 악의적인 행위를 숨기고 있기 때문에 기존 방식으로는 HTTPS의 암호화 통신을 확인하는 것이 점점 어려워지고 있습니다.  - HTTPS, SSL, TLS - HTTPS (HyperText Transfer Protocol Secure) - SSL (Secure Sockets Layer) - TLS (Transport Layer Security)   중간자공격(MITM，Man-in-The-Middle)은 보안 기능을 제공하지 않는 HTTP를 사용하는 대부분의 웹 서비스에서 사용자 정보를 탈취할 수 있습니다. MITM의 일례를 들면 HTTP로만 서비스하는 온라인 쇼핑몰을 이용하는 고객이 입력하는 계정 정보(ID, PW)나 카드 정보를 실시간으로 수집하고 가짜 정보를 안내하면서 보안 프로그램이나 업데이트 파일로 위장한 악성코드를 다운로드 및 설치하도록 유도할 수 있습니다. 이러한 피해를 막기 위해 HTTPS 사용합니다.HTTPS는 HyperText Transfer Protocol Secure로 월드 와이드 웹(WWW)의 통신 프로토콜인 HTTP에 보안(Secure)을 강화한 웹 프로토콜입니다. 기존 HTTP의 소켓 통신에서 세션 데이터를 일반 텍스트를 이용하는 대신 SSL이나 TLS 프로토콜을 통해 세션을 암호화할 수 있으며 이 프로토콜들은 각각 HTTP over SSL, HTTP over TLS로 불립니다. 현재 안전한 웹 서비스를 제공하기 위해 2015년에 폐기된 SSL 3.0 대신 TLS를 사용하는 것으로 권장합니다. SSL과 TLS는 암호화 기술을 통해 MITM 공격으로부터 사용자 정보(웹 데이터) 유출을 방지할 수 있습니다. 하지만 시간 흐름과 기술 발전에 따라 과거의 암호 기술의 한계(암호 무력화)가 드러나면서 더 높은 수준의 암호화 기술로 대체해 왔습니다. 비교적 최근인 2018년에 공개된 TLS v1.3의 경우 제 3자의 서버 연결 감청을 위한 SNI 모니터링까지 방지하는 기능을 갖추어 인터넷 검열하지 못하는 수준의 강력한 사용자 정보 보호에 대한 효과가 제공됩니다.      사용자의 통신 보안기술을 역으로 이용하는 피싱 사이트HTTPS는 사용자와 웹 사이트(서비스) 사이의 보안을 제공하면서 제 3자가 정보를 확인할 수 없도록 합니다. 하지만 피싱 사이트가 HTTPS를 사용할 경우 보안 서비스는 제3자가 되어 악성 패킷 탐지기능이 무력화되는 사태가 발생합니다. 사용자가피싱 사이트에 접속할 경우 사회공학기법을 통해 보안 프로그램으로 위장한 악성코드(랜섬웨어)를 의심없이 다운로드하여 감염될 수 있습니다. 피싱 사이트가 HTTPS를 사용하면 기존 피싱 공격을 대응하는 솔루션으로는 탐지가 어렵습니다.  MITM과 같이 네트워크 패킷을 수집하여 특정서버로  접속하는 것을 탐지하거나 패킷을 직접 검사하여 악성 행위를 사전에 차단하는 솔루션은 패킷의 정보를 바탕 으로 수행합니다.하지만암호화 된 패킷을 분석하고 탐지하는 행위는 복호화 과정이 추가되어야 하며 복호화를 위한 키값이 있어야 합니다.         APWG(Anti-Phishing Working Group) 公 PhishLabs는 “Trends Report QI 2021”를 배포하면서2021 년 전체 피싱 사이트 중 약 83%가 HTTPS(TLS)를 통해 암호화 통신을 하고 있음을 공개했습니다. 2019년에 전체 피싱 사이트의 절반을 뛰어넘었고 현재는 대부분의 피싱 사이트는 TLS의 통신 보안을 통해 기존 네트워크 보안 솔루션의 탐지 기능을 무력화하고 있습니다.또한 2021년 기준 94.5%가 DV 인증서(DV Certificates, 도메인 검증 인증서)로 일반적으로 Let’s Encrypt 및 cPanel과 같은 제공업체에서 무료로 부여하며 사용자 인증이 필요하지 않은 가장 약한 형태의 검사(인증서 유효성)를 제공합니다.현재 등록된 도메인과 DV 인증서 발급 그리고 피싱 사이트 제작 도구 만으로 짧은 시간 안에 HTTPS가 적용된 피싱 사이트를 제작할 수 있습니다.  적용 솔루션현재 피싱 사이트와 같이 HTTPS 악용공격이 증가하면서 HTTPS 가시화가 가능한 기술을 요구합니다. 보안이 불가능한 HTTPS 웹페이지의 내부 악성 URL이나 자바 스크립트와 같이 동적 실행이 가능한 코드를 탐지하고 안전한 조치를 수행하는 Mail Prism의 URL 호스트 주소 변경 기술로 해결할 수 있습니다. 사용자가 HTTPS로 SSL이나 TLS를 통해 암호화되어 있는 URL을 클릭하더라도 HTTPS 가시화를 통해 안전한 환경을 제공하며 Mail Prism의 URL 변경 기술은 HTTPS 실시간 검사를 기본으로 별도 추가 작업이 필요 없으며 MITM 방식이 아닌 정상적인 HTTPS(SSL/TLS)연결을 제공합니다. 또한 위험한 사이트가 검출될 경우 즉시 차단 후 안내 페이지를 제공합니다.

정상적이지 않은 메일은 광고 메일, 악성코드 포함 메일, 소셜 엔지니어링 활용 메일 등 사용자에게 불필요 한 스팸 메일에 포함됩니다. 악성코드(랜섬웨어)와 같이 사용자에 큰 피해를 발생시키는 악성 메일을 탐지하고 차단하기 위해 오랫동안 보안 탐지기술이 연구&개발되었습니다. 그러나 보안 탐지 기술이 발전함에 따라 그 보안 기술을 우회하는 시도가 항상 있으면서 현재 보안 탐지 기술을 통하더라도 악성 메일이 최종 사용자에게 도달하기도 합니다. 현재 확인되는 스팸 메일 유통 정보 및 악성 메일 정보와 함께 보안 탐지 기술을 우회하는 원인 파악과 해결 방법을 제시합니다. 비정상 메일의 분류  - 광고 메일- 악성코드 포함 메일 - 소셜 엔지니어링 활용 메일 메일의 '정상' 기준을 정하는 것은 매우 어려운 일입니다. 정상 기준을 판단하는 것은 개인에 따라 다르기 때 문입니다. 그래서 ‘비정상' 메일의 조건을 이해하고 그 범위를 정리하면서 실제 악의적인 목적을 가진 메일 이 어떻게 탐지되고 있는지 혹은 왜 탐지를 피해 사용자에게 도달하는지 알 수 있습니다. 광고 메일  적절한 메일 시스템 설정을 하지 않으면 무분별한 광고 메일이 쌓인 메일 함을 보게 됩니다. 광고 메일은 마케팅 방법의 하나로 현재까지 활용되고 있고 사용자가 수신 동의를 철회하기 전까지 꾸준히 수신 되는 메일 중 하나 입니다. 하지만 광고 메일이라고 스팸 메일로 단정할 수 없습니다. 사용자가 이미 수신 동의한 경우 발송자는 합법적으로 광고 메일을 발송할 수 있고 수신자도 필요로 인해 광고 메일 수신을 동의하고 광고 메일을 받기를 원할 수 있기 때문입니다. 기본적으로 광고 메일을 스팸 메일로 판단하는 경우는 발송자가 수신 동의 없이 영리 목적으로 광고성 정보에 해당하는 메일입니다.현재 방송통신위원회와 한국인터넷진흥원은 매년 2회상반기/하반기） 스팸 유통현황을 조사를 실행하고 있으며 이를 통해 매년 스팸 메일 유통 현황을 알 수 있습니다.  “2021년 하반기 스팸 유통현황” 자료의 국내외에서 발송된 메일 중에 스팸으로 탐지한 메일입니다. 이 자료의 데이터는 가상의 이메일 주소 약 13만개 계정으로 수신되는 메일 중 영리 목적의 광고성 정보에 해당 하는 메일을 모두 스팸으로 정의합니다. 가상의 이메일 주소는 이용자에게 할당된 이력이 없어서 정보통신망법 제50조 제1항에 따른 수신 동의를 받을 수 없는 메일 계정입니다. 주의 깊게 검토할 것은 매년 탐지 된 스팸메일이 줄어든다는 사실입니다. 탐지 된 스팸 메일이 줄어든다는 것은 스팸 메일을 발송하는 횟수가 줄어들었거나 현재의 스팸 탐지 우회 기술이 발전했을 가능성이 있기 때문입니다. 2021년 12월 기준 대한민국의 20대~40대 인구 수는 2,154만 명입니다. 동일 비율로 개인이 평균 1개의 이 메일 계정을 소유하고 유통 현황을 평균 값이라 가정하면 2021년 한해 41억 회의 탐지 될 수 있는 스팸 메일이 발생한 셈입니다. 또한 자료의 스팸 메일은 광고의 성격을 가진 비정상 메일들로 이루어져 있습니다. 악성코드 포함 메일  2018년 기준 전체 악성코드 배포 중 91%가 이메일을 통해 이루어졌고 현재도 악성코드를 배포하는 방법 중 많은 비율을 차지하고 있습니다. 메일에 포함된 악성코드는 본문과 첨부파일 내부에 숨겨져 있습니다. 많은 사례에서 확인할 수 있는 이메일 속의 악성 코드는 특수하게 조작된 첨부파일입니다. 고전적인 방법으로 실행 파일의 아이콘과 이름을 문서 파일과 비슷하게 변경하여 마치 문서 파일인 것처럼 사용자를 속입니다. 또한 문서 파일 내부에 악성코드를 삽입하여 발송되는 악성 메일도 존재합니다. 특히 기업의 경우 문서 파일을 다루는 경우가 많아서 이런 악성코드가 포함된 문서 파일은 BEC공격에 사용됩니다. # BEC : 기업 이메일 침해  소셜 엔지니어링 활용 메일  소셜 엔지니어링은 사용자의 신뢰를 기반으로 속이는 행위를 목적으로 둡니다. 인간의 심리를 이용하여 신뢰를 구축하고 이를 바탕으로 정보 탈취를 탈취하거나 악성코드를 실행하도록 유도합니다.  악성코드 포함 메일을 탐지하기 위해 고도의 기술을 요구하는 보안 장치를 사용하는 반면 소셜 엔지니어링을 통해 공격을 시도할 경우는 일부 기술적 보안 기술을 우회합니다. 특히 본문의 악성 링크의 경우 HTTPS 이용한 패킷 암호화를 하거나 특정 기간만 잠시 사용되는 도메인을 활용하여 보안 제품의 탐지기능을 우회 할 수 있습니다. 정상으로 위장한 악성메일  많은 보안 시스템의 탐지 기술은 데이터 패턴 필터 방식을 사용합니다. 데이터에 악의적인 동작이 실현되는 코드나 기존 악성 동작의 변종 가능성이 있는 코드를 진단합니다. 진단 결과 악성으로 확인되면 적절한 보안 조치를 수행하는 것으로 데이터를 차단하거나 백업,삭제 그리고 보안 조치 결과를 관리자 (사용자) 에게 보고합니다. 이상적인 악성 메일 탐지 필터 기술은 모든 정상 메일을 자유롭게 통과하고 모든 악성 메일은 탐지하여 격리 등의 보안 조치하는 기술입니다. 지금까지 보안 탐지 기술은 이상적인 악성 탐지 기술과 그 격차를 좁히기 위해 다양한 기술 연구개발을 수행해 왔습니다. 하지만 이상적인 악성 메일 탐지필터 기술에 도달하기는 쉽지 않습니다. 보안이 고도의 기술력으로 발전하는 반면 그 보안 기술을 우회하는 공격 기법도 다양하게 시도 되었기 때문입니다. 그 결과 많은 악성 메일을 탐지/차단하고 있지만 여전히 악성 메일이 최종 사용자에게 전달되는 상황이 일어나고 그로 인해 실제 피해가 발생하고 있습니다. 악성 메일 탐지필터 기술을 우회하고 최종 사용자에게 전달되는 악성 메일은 악성 메일 전체 중에 아주 적은 일부일 수 있습니다. 하지만 그 적은 수의 악성 메일을 통해 랜섬웨어와 같이 감염 즉시 조직의 전체 디지털 자산이 피해를 받을 수 있습니다.악성 메일 탐지 필터 기술을 우회하는 일부 메일들은 소셜 엔지니어링을 통해 공격을 시도하는 경우가 많습니다. 위험한 피싱 링크 정보도 없고 첨부파일도 없으며 오로지 텍스트로만 이루어진 메일의 경우 일부 메일 보안 제품을 제외하고는 쉽게 우회하게 됩니다. 악성 메일이라고 모두 첨부된 악성 파일이나 문서 그리고 피싱을 위한 URL을 사용하지 않습니다. 최근 들어 평문의 메일이 확인되며 사용자에게 협박용 내용을 담고 있습니다. 메일 내부의 첨부파일이나 본문의 URL 등을 확인하여 악성코드나 스피어 피싱과 같이 고도의 해킹 공격에 대응하는 경우가 많습니다. 악성 메일이 흔하게 사용하는 방법이기 때문에 오랜 시간 동안 관련 보안 연구 개발이 진행되면서 현재 많은 악성 메일을 탐지할 수 있게 되었습니다. 하지만 여전히 해킹 공격 방법 중 상대적으로 현재의 보안 기술에 영향을 덜 받는 소셜 엔지니어링을 이용한 공격은 악성코드 탐지를 위한 패턴 분석이나 악성 URL을 확인(RBL)하거나 직접 렌더링하여 심도 있게 분석하는 탐지 행위와는 무관합니다. 현재 악성 메일이 첨부파일과 URL 정보를 제외하고 소셜 엔지니어링을 이용한 정보 탈취용 메일을 제작하고 불특정 다수에게 배포한다면 일부 보안 제품을 제외하고 많은 최종 사용자에게 이 악성 메일이 도착할 수 있습니다. 적용 솔루션 : SPAM PRISM (머신러닝) 필터SPAM Prism ML 필터는 K-NN（K-Nearest Neighbor） 알고리즘 기반 머신러닝으로 지도학습을 통해 메일 본문을 심도 있는 탐색을 수행합니다. 기존 보안 탐지 기술을 우회한 악성 메일 (정상으로 위장한)의 본문을 실시간으로 세밀하게 분석하면서 사용자에게 불필요한 스팸 메일을 탐지합니다.특히 K-NN 알고리즘의 데이터 변종 탐지에 대한 탁월한 효과가 있으며 기존 보안 탐지 기술을 우회하기 위해 제작되는 수많은 변종 악성 메일에 효과적입니다.실시간 지도 학습을 수행하면서 메일 텍스트로만 이루어진 본문의 문맥 탐지뿐만 아니라 악성 URL 탐지나 악성 첨부파일 (랜섬웨어)탐지 등 기존 보안 기술과 융합되어 높은 탐지율을 제공할 수 있습니다. 

요약(Summary) 기업에서 클라우드 메일 서비스를 사용하기 전에는 보안 검토가 필요합니다.클라우드 메일 서비스는 다양한 사용자 환경에 맞춰 범용적인 기본 메일 보안 기능을 제공하므로 스팸 과 악성 메일을 처리하는데 제한이 있습니다. 또한 외부로 발송되는 메일은 고객 정보 유출, 기업 내부 기밀 유출, 기업 평판 및 브랜드 이미지에 타격을 줄 수 있으므로 발신 보안에 신중해야 하며, 안전한 메일 발송 환경을 구현해야 합니다. 클라우드 메일 서비스의 이용함에 있어서 전문적인 이메일 보안 솔루션 사용을 고려해봐야 합니다. 본문 오래전부터 이메일은 성공적인 비즈니스를 달성하는 중요한 역할임을 꾸준히 증명해 왔습니다. 내부 자료 공유부터 고객과의 소통까지, 대부분 기업에서 이메일을 비즈니스 도구로 사용하고 있습니다. 기술의 발전으로 클라우드 메일 도입을 검토하는 기업이 늘어나면서 클라우드 메일 보안에 관해 관심이 집중되고 있습니다.클라우드 메일 이전의 메일 시스템은 기업이 직접 설계 • 구축하고 기업 내 물리적인 메일 서버를 운영 관리하면서 외부 공격으로부터 직접 대응할 수 있었지만, 이전 메일 시스템 운영 경험과 다르게 클라우드 메일 서비스는 서비스 사업자의 신뢰를 바탕으로 운영해야 하므로 기업 담당자는 클라우드 메일 서비스를 도입 하기 전에 크고 작은 기업 보안 대응에 고민할 수밖에 없습니다.클라우드 메일 사업자는 기업 담당자(서비스 이용자)의 고민을 해소하기 위해 다양한 노력을 하고 있습니다. 그중 가장 먼저 설명하는 것은 물리적인 메일 서버 운영의 안정성에 대한 노력입니다. 이 노력은 물리적 인 외부 공격으로부터 사용자의 데이터가 손상/유출되지 않도록 보호하는 노력이며 안정적으로 서비스 유지를 위한 시설 보안도 포함합니다.이외 클라우드 메일 사업자의 노력은 고객의 정보를 보호하는 기본적인 메일 보안 기술을 함께 제공하고 있습니다. 클라우드 메일 서비스에 포함된 보안 기술은 기업 외부에 저장된 사용자 데이터를 암호화하여 인가되지 않은 공격자로부터 보호하고 있음을 강조합니다.특히 글로벌 서비스를 통해 넓은 스펙트럼의 고객을 대상으로 운영하는 대형 클라우드 메일 서비스는 각각의 국가의 물리적인 서버에 대한 인증을 받고 이를 적극적으로 홍보하고 있습니다.물리적인 서버 보호를 벗어나 우리는 메일 서비스 사용 중에 발생 가능한 피해를 어떻게 대비할 것인지 집중해야 합니다. 기본적인(레거시) 메일 보안은 이미 많은 메일 보안 업체에서 공통으로 제공하는 보안 기술이 지만 이를 뛰어넘는 방법으로 공격자들은 메일을 이용한 공격을 점점 더 치밀하게 시도하고 있습니다. 기존 전문 메일 보안 솔루션은 보편적이지 않은 공격까지 그 보호 영역을 넓혀왔고 보안사고를 효과적으로 대응하고 있습니다. 그에 반해 일부 서비스를 제외한 클라우드 메일 서비스는 불특정 다수의 개인 메일 서비스를 시작으로 기업으로 까지 확장되어 기본적인 메일 보안 기능을 적용하면서 그 이상의 보안 서비스를 제공하기에 어려움이 있을 것으로 판단하고 있습니다. 클라우드 메일 서비스와 전문 메일보안 솔루션 기능 비교클라우드 메일 서비스에서 정확한 내용을 확인하기 어려웠으며 전문 기업 메일 보안에 필수적인 기능에 대해서는 정보가 부족하였습니다. 확인된 클라우드 메일 서비스의 메일 보안 내용은 비중이 작았으며 메일 사용성에 관한 내용이 주를 이루었습니다.클라우드 메일 서비스의 보안 내용을 확인해 본 결과, 메일 보안 솔루션의 일부 기능(레거시 스팸필터, 백신 등)을 포함된 것으로 파악되었습니다. 다만 메일 전문 서비스의 기술적 보안 기능(주요 기능)은 확인되지 않았으며 각 기업에서 공개한 기능과 사양에 따른 내용으로 정확한 보안성을 비교하기 어렵다고 판단되었습니다.공개된 기능이 기업 보안에 얼마나 기여할 수 있는지 확인하기 위해서는 실제 충분한 기간을 두고 동시 BMT(POC)를 시행하여 비교하는 것이 필요합니다. 기업에서 클라우드 메일 서비스를 도입하기 전에 기업 비즈니스에 치명적인 손상을 미리 대비하기 위해서라도 반드시 기업의 보안에 대해 깊이 고민해야 합니다. 클라우드 메일 서비스의 단독 사용은 높은 수준의 기업 보안 기술을 제공하지 못할 가능성이 있습니다. 기존에 물리적 메일 서버를 운영했던 기업이라면 기업 메일 보안을 위한 “기업용 메일 보안 솔루션”이 클라우드 메일 서비스에 포함되어 있지 않다는 점을 상기해야 합니다. 메일 수신 시 사용성 측면에서 클라우드 서비스는 매우 단순하게 처리하고 있는 것으로 확인되었습니다. 스팸으로 판단할 경우 정크 메일함으로 이동하고 별다른 조처를 하지 않았으며 스팸 복구 역시 사용자의 선택적 행동에 따라 내부 추가 검사 없이 그대로 복구하는 것으로 파악됩니다.특히 수신 메일이 악성으로 검출할 경우 사용자의 메일함(정크메일 포함)에 저장하지 않고 삭제(드랍) 됩니다. 전문 보안 솔루션은 악성으로 검출된 메일의 경우 선택적 조건으로 허용하여 특수한 조직(보안팀, CERT 등)을 통해 향상된 기업 보안 운영에 기여할 수 있지만, 클라우드 메일 서비스의 경우 기업의 보안 향상에 대한 기회를 얻지 못할 것으로 판단됩니다.기업을 대상으로 보안 기술을 제공하기 위해서 더 신중하게 서비스를 제공되어야 합니다. 스팸 메일은 악의 적인 목적을 가진 메일도 포함하기 때문에 사용자가 정확히 인지하기 전까지는 격리된 공간에서 영향을 미치지 않는 선에서 접근할 수 있어야 합니다. 스팸 메일이 불필요한 메일로 정의하더라도 사용자의 호기심과 판단 실수로 인해 발생 가능한 보안사고를 미리 방지하고 안전하게 격리하는 것이 기업 전체 보안을 위해 필요합니다.또한, 기업에서의 메일 사용은 개인과는 다르게 임직원의 분야나 업무로 나누어 그룹(팀)으로 운영하기 때문에 각 그룹에 맞는 정책이 필요합니다. 이때 각 그룹에 따라 스팸 메일의 성격이 달라지며 검출 방법과 복구 방법 그리고 악성 메일의 범위도 다르게 설정되어야 합니다. 이메일 발신에 있어서 개인보다 기업이 더 신중할 필요가 있습니다. 기업이 발신한 메일을 통해 일어나는 사고는 고객으로부터 기업의 브랜드, 이미지, 평판 등과 같은 무형의 가치를 부정적으로 인식시킬 수 있습니다. 특히 고객의 보안사고가 기업에서 발송한 메일이 원인이거나 고객이 원치 않거나 불필요한 메일을 받았을 경우 기업의 가치 하락과 함께 이를 되돌리기 위해 많은 노력과 시간을 소비해야 합니다.기업을 위협하고 있는 사이버 공격은 지금도 꾸준히 교묘하게 공격을 시도하고 있으며 발신 메일 보안 기능이 부족할 경우 소셜 엔지니어링을 통해 URL이나 첨부파일 없이 본문의 텍스트만으로 기업 임직원 스스로 내부 정보를 발신(유출) 하도록 유도하는 공격에 취약합니다. 이러한 공격 방식은 공격의 최초 수신 메일에서 악성메일이나 스팸메일로 검출하기 어렵고 외부 중요 정보가 유출되었다는 사실 확인도 쉽지 않습니다. 기업의 메일 보안에 있어서 메일 발송은 필요한 보안 기능입니다. 하지만 클라우드 메일 서비스의 메일 발신 기능은 기업의 정보 유출에 대응하기에 부족하다고 판단되었습니다. 일부 클라우드 메일 서비스가 수신사 주소나 도메인을 확인하는 기본적인 관리자 승인 기능을 제공하지만, 대부분의 클라우드 메일 서비스에서는 제공되지 않고 있으며 메일 수신자의 주소와 도메인을 탐지하는 관리자 승인 방식의 기능으로 안전한 메일 발송 환경을 구현하기 어렵습니다.메일 발신 시 사용성 측면에서 클라우드 메일 서비스는 기업 내 개인정보(고객정보 등) 유출 위헙(또는 위협)에 대응하기 어려울 것으로 판단되며 전문 이메일 보안 솔루션과 같이 개인정보, 기업의 주요 정보 등. 유출되어서는 안되는 정보가 발신메일을 통해 유출되는 보안사고에 대응할 수 있어야 합니다. 대응 솔루션: SPAM PRISM 클라우드 메일 서비스 연동 전문 이메일 보안 솔루션인 SPAM PRISM은 확장된 시그니처, 고도의 탐지 알고리즘, 탐지 영역 확장 등 기존 DB 방식의 비교 검사를 벗어나 세밀하게 스팸과 악성 메일을 검사합니다. 기존 시그니처 방식의 탐지에 지속적인 학습과 고도의 노하우가 담긴 확장된 탐지 기술을 더하여 더욱더 세밀한 탐지 기술을 제공합니다. 메일의 헤더, 본문, 본문 내 스크립트, 첨부파일과 수신 메일에서 발신 메일까지 모든 영역에서 스팸 메일과 악성 메일을 탐지합니다.SPAM PRISM은 비 실행파일(문서 등)과 실행파일의 악성코드 유무를 검사합니다. 첨부파일과 본문의 링크 정보로부터 다운로드 가능한 파일을 직접 분석하기 때문에 사용자의 클릭 실수로 인한 위협을 사전에 방지할 수 있습니다. 복합적으로 대응할 수 있는 메일 보안 기술을 제공하기 때문에 차세대 메일 보안솔루션이 필요할 것으로 판단하고 있습니다. 

내 컴퓨터에 악성코드가 들어온 날 "어느 날 갑자기 노트북이 말썽이다. 요즘 랜섬웨어다 뭐다 하면서 내 업무 파일을 못쓰게 만든다는데 걱정이다. 큰 문제는 없겠지? 내 노트북은 불법 프로그램도 없고 백신도 매일 업데이트한다. 악성코드가 원인은 아닐테지만 일단 내 컴퓨터가 왜 느려졌는지 확인해봐야겠다."  백신 프로그램들은 악성코드를 탐지하고 제거하는 기능뿐만 아니라 컴퓨터의 성능을 최적의 상태로 유지하는 기능까지 포함하고 있다. 보안 전문가들은 백신 프로그램을 사용할 때 가능한 한 자주 업데이트하라고 조언한다. 여기서 말하는 업데이트란 악성코드를 탐지하는 패턴을 업데이트하는 것을 말하며, 하루에도 수 백, 수 천만 개가 생성되는 악성코드로부터 우리 컴퓨터를 보호해주는 중요한 행위이니 업데이트는 필수사항이다. 그렇다면 업데이트만 하면 되는 걸까? 악성코드는 왜 이렇게 많이 나오는 걸까? 2019년 하반기부터 2020년 상반기까지 1년간 약 76억 회의 악성코드 위협이 발생했다. - McAfee, LCC 미국 보안 회사 맥아피 - 이 수치는 1분에 약 200회의 사이버 보안 위협이 발생하는 수치이다. 악성코드는 '프로그램' 이나 그 프로그램의 일부 '코드'를 의미한다. 프로그램을 만들 줄 안다면 반대로 악성코드도 만들 수 있다는 뜻이다. 그럼 전 세계 프로그래머들은 몇 명일까? 전 세계 소프트웨어 개발자의 수가 2019년 말까지 최소 21만명, 2030년까지는 45만 명에 이를 것이다. - "The global developer population 2019" SlashData Ltd. -  이 많은 프로그래머 중 일부가 악성코드를 만든다면, 그리고 음지에서 범죄를 위해 남몰래 활동 중인 개발자까지 포함한다면 하루에 얼마나 많은 수의 악성코드가 생성되고, 사이버 공격이 감행될 가능성이 있는지 짐작할 수 있을 것이다. 기억에 도움이 되는 악성코드 통로 분류법 그렇다면 이렇게 많은 악성코드들이 어떻게 우리 컴퓨터로 들어올 수 있을지 잠시 생각해보자. 악성코드의 통로는 대표적으로 다섯가지로 구분된다. [1] 이메일 (메세지)가장 많이 사용하는 소통방식이 바로 이메일이다. 또한 모든 메신저류 (휴대폰 문자 서비스, 온라인 메신저 서비스 등)도 해당된다.  [2] 온라인 게시물 과거 온라인 사이트들은 광고를 노출하여 수익을 얻기 위해 불건전한 광고들을 많이 게재해왔다. 그 뿐만 아니라 불법 소프트웨어를 무분별하게 공유하는 일도 비일비재했다. 당시 소프트웨어에 대해 사회적으로 잘못된 인식이 만연했고, 현재까지도 이어져 아직도 그릇된 인식이 일부 남아있다.  [3] 파일 공유 서비스 과거에서부터 현재까지 웹 하드나 P2P 파일 공유 프로그램들을 통해 음원, 영상, 프로그램 등 불법 저작물들이 끊임없이 유통되고 있다. 하지만 아직도 이에 대응하기란 쉽지 않고, 불법 저작물과 함께 악성코드도 여전히 유포되고 있다. [4] 소프트웨어 업데이트 악성코드는 어떻게든 당신의 컴퓨터에서 실행되어 본연의 악성 행위를 일으켜야 우리에게 피해를 줄 수 있다. 이전에 언급한 이메일과 온라인 게시물, 파일 공유 서비스 등을 통해 당신의 컴퓨터에 저장된 악성코드는 직접 실행되기 전까지는 아직 위험한 상태가 아니다. 하지만 다운로드하자마자 자동으로 실행된다면 어떨까? 많은 악성코드들이 스스로 업데이트하는 기능을 포함하고 있다. 이 악성코드가 골치 아픈 이유는 아직 보안 제품에 탐지되지 않은 또 다른 악성코드가 다운로드 될 수 있도록 전용 핫라인 역할을 한다는 점이다. 또한 일반 소프트웨어의 업데이트 기능 역시 안심할 수 없다. 만약 소프트웨어 회사의 서버가 사이버 공격자로 인해 장악된다면, 사용자의 컴퓨터는 악성코드 감염에 노출될 수 있다.  [5] 시스템 장악 (Direct) 해커가 당신의 컴퓨터를 장악하기 위해 공격할 이유가 무엇일까? 단순히 컴퓨터 안에 중요한 자료가 없다고 해서 안심하면 곤란하다. 여기서 사이버 범죄자가 범죄 행위를 시도하는 의도와 행동양식을 파악해 볼 필요가 있다. 보안사고가 발생하면 해커는 우선 실제 범죄자를 찾을 수 없도록 자신의 위치를 숨기려 할 것이다. 즉, 중간에서 공격을 중계할 컴퓨터를 마련할 필요성이 생긴다. 실제 보안 사고가 발생했을 때 최초 공격 위치를 추적해보면, 의외로 엉뚱하게 관련 없는 시스템이나 개인의 컴퓨터가 나오는 경우가 더러 있다. 대표적인 예로 DDoS 공격을 들 수 있다.        여기서 DDoS 공격이란? 악성코드에 감염된 수 많은 컴퓨터가 예를 들어, 동시 1,000명까지 접속할 수 있는 서버 컴퓨터에 일시적으로 1,000회 이상의 고의적 연결을 통해서 정상적인 사용자가 연결을 할 수 없도록 만드는 공격이다. 업계에서는 이를 '분산 서비스 거부 공격'이라고 부른다.  당신도 모르는 사이 'DDoS' 공격에 가담했다!해커들은 당신의 컴퓨터에 중요한 파일이 있건 말건 관심이 없다. 많은 악성코드들이 원격제어 기능을 포함하고 있기 때문에 DDoS 공격이 가능하다. 다만 그 DDoS 공격이 높은 파괴력을 가지려면 보안이 허술한 컴퓨터가 되도록 많아야 한다. 네트워크 연결만 된다면 컴퓨터가 30년 전의 오래된 컴퓨터라도 상관없다.  왜 통로인가? 악성코드를 분류하는 방법은 정해져 있지 않다. "악성코드 분류"를 검색해보면 virus, worm, trojan, PUP 등이 소개된다. 사용자나 고객의 입장에서는 전문용어가 어렵게 느껴지지만, 악성코드가 사용자의 컴퓨터에 들어오는 통로를 기준으로 분류하여 각 통로를 개별 관리할 수 있다면, 사용자 컴퓨터의 보안을 더욱 효율적으로 강화하는데 큰 도움이 될 것이다. 열 번 찍어 감염시켰다? 악성코드에 감염되는 경로는 사람마다 시스템마다 제각기 다르다. 우리는 '애초에 악성코드가 어떻게 내 컴퓨터에 들어올 수 있었을까?'를 늘 생각해봐야 한다. 감염이 되기 이전에 어떻게든 내 컴퓨터에 악성코드가 존재해야 감염이 되지 않겠는가? 사이버 범죄자들은 심리적 전술에 능한 사람들이다. 그리고 그들은 '어떻게 하면 사람들이 의심 없이 악성코드를 실행하게 할 수 있을까?'를 오랫동안 연구해왔다. 각 악성코드 통로로부터 얼마나 자주 악성코드가 발생하는지 그 빈도를 살펴본다면, 당신이 컴퓨터 보안을 위해 어떻게 대응해야 할지 답을 얻을 수 있을 것이다.    

반응형 웹 기술을 통한 해커들의 공격 방식에 대하여 (주)리투인 소프트웨어의 제작된 백서를 통하여 자세한 내용을 전달 드리고자 합니다. 요약 (Summary)  RESS(Responsive Design and Server Side Components)를 이용한 웹 서비스는 사용자의 단말기 환경에 따라 서로 다른 컨텐츠를 전송 할 수 있습니다.현재 기업 환경에서 사용 되는 웹 서비스는 PC와 모바일 모두 제공하고 있으며 특히 이메일의 경우 본문을 HTML로 전송하거나 URL을 추가하여 웹 서비스 연결을 유도합니다. 악성 컨텐츠를 배포하는 웹 서비스의 경우 RESS를 통해 웹 보안 검사를 우회하고 사용자의 단말기에 악성 컨텐츠를 전달 할 수 있습니다. 사용자의 개인정보, 금융정보, 기업 정보 등을 탈취하고 알려진 PC 또는 모바일 어플리케이션을 위장한 랜섬웨어(악성코드)를 설치하여 심각한 피해를 발생 시킬 수 있습니다. RESS를 이용한 악성 웹 컨텐츠 대응을 위해 다양한 사용자 환경을 응용 할 수 있는 웹 컨텐츠 보안 검사 기술 도입이 필요합니다.등장 : RESS - Responsive Design + Server Side Components RESS(Responsive Design and Server Side Components)는 웹 사이트(서버)가 웹 데이터를 요청하는 클라이언트의 정보를 확인하고 각 클라이언트에 따라 다른 웹 소스를 전달하는 웹 개발 방법입니다.2010년대에 들어와서 다양한 단말기(갤럭시, 아이폰, 아이팟, 아이패드, 넷북, Kindle 등)이 시장에 쏟아져 나오면서 그 에 따른 화면 해상도와 비율이 다양해 졌습니다. 특히 Android 계열은 어플리케이션 개발사의 개발 방향에 따라 해상도를 자유롭게 설정할 수 있도록 제약 없는 개발 환경을 제공합니다. 웹 서비스를 제공 하는 운영사는 이런 새로운 변화에 수동적으로 대처하기에는 어려움이 있었습니다.이에 발을 맞추어 반응형(Responsive) 웹 개발 방법이 많이 사용 되었지만 반응형 웹 개발 방법은 웹 서버로부터 많은 양의 데이터를 한꺼번에 수신 하여 각 단말기의 화면 구성에 따라 웹 페이지를 로딩 합니다. 이 반응형 웹은 단말기가 수신하는 데이터 양이 많을수록 웹 페이지를 로딩 하는 시간이 길어지는 단점을 가지고 있었습니다. 로딩 시간이 길어지는 불편함을 해결하는 방법이 필요했습니다2011년 9월 12일 Luke Wroblewski는 RESS: Responsive Design + Server Side Components라는 기사를통해 RESS 웹개발 방법을 제안합니다. 그가 제안한 웹 개발 방법은 웹 디자인 커뮤니티에서 뜨거운 이슈로 다뤄지면서 RESS 웹 개발방법으로 운영하는 서비스가 점점 늘어났습니다. 클라이언트 따라 수신되는 내용을 다르게 구성하는 웹 (RESS)  RESS로 운영하는 웹 사이트는 각 클라이언트에 따라 전송하는 데이터가 다릅니다. 사이트는 클라이언트 의 웹 환경 정보를 읽어서 가장 최적의 웹 데이터를 전송하여 사용자에게 높은 질의 서비스를 제공할 수 있습니다. 특히 복잡한 페이지로 구성하거나 대량의 컨텐츠를 제공하는 웹 서비스라면 반응형 웹보다 RESS를 방식의 웹 서비스를 사용합니다.  보안검사 우회 - 악성 웹 컨텐츠  웹 컨텐츠 보안 검사는 악성 컨텐츠를 탐지하고 제거하기 위해 일련의 검사 과정을 수행합니다. 이과정은 특정한 네트워크 정보(URL, IP, etc.)를 통해 연결되는 데이터를 검사하며 대부분 보안 검사와 동일한 시간에 제공되는 웹 컨텐츠가 검사 대상이 됩니다.보안 검사는 최초 웹 컨텐츠를 수신하여 악의적인 코드를 검사하지만 RESS를 통해 구성된 악성 웹 서비스는 보안검사에 사용되는 단말기의 사용자 에이전트(User agent)에는 정상적인 웹 컨텐츠를 전송하고 이외의 사용자 에이전트에는 해킹 공격을 위한 웹 컨텐츠를 전송 할 수 있습니다.모바일보다 PC환경을 위한 보안 서비스가 활성화가 되어있기 때문에 보안 검사에 사용되는 단말기의 사용자 에이전트는 PC 환경 일 가능성이 높고 이를 이용한 보안 검사우회가 쉽게 이루어 질 수 있습니다.  악성 웹 컨텐츠 위험성 및 정밀 탐지 기술 도입  2010년의 기점으로 기존 PC에서 모바일까지 빠르게 추가 확장되었습니다. 현재 대부분의 웹 사용환경은 PC와 모바일을 지원하고 있으며 기업의 비즈니스 및 업무 환경을 웹 서비스를 통해 제공하는 경우가 많습니다. 특히 이메일과 같이 PC와 모바일 구분하지 않고 본문을 HTML로 전송하거나 URL을 추가하여 웹 서비스로 자연스럽게 연결을 유도합니다.사용자가 연결한 URL이나 웹 서비스가 RESS를 통해 악성 컨텐츠 를 받을 경우 개인정보, 금융 정보, 기업정보 등을 탈취할 수 있고 잘 알려진 PC 또는 모바일 어플리케이션을 위장한 랜섬웨어(악성코드)를 설치하도록 유도할 수 있습니다.RESS의 사용자 단말기에 따른 선택적 컨텐츠 제공이 가능함에 있어서 단일환경(User agent)에 대해서 보안검사를 수행하는 것을 지양하고 다양한 사용자의 단말기 환경과 동일하게 수신되는 웹 컨텐츠를 대상으로 보안검사할 수 있는기술을 도입해야 합니다. 실시간 지능형 차세대 이메일 보안 시스템(SPAM Prism)는 RESS 공격에 확실하게 대응합니다. 메일이 수신되면 이메일 본문과 첨부파일 내부의 웹 페이지 링크(URL)를 SPAM Prism 웹보안 서버 링크로 변경하고 사용자의 메일함에 전송합니다.사용자가 화면 터치를 통해 모바일 RESS 공격을 위한 웹 페이지 링크를 클릭하더라도 실제 사용자 단말기의 사용자 에이전트(User agent)로 수신되는 웹 컨텐츠를 SPAM Prism이 실시간으로 보안검사 합니다. 사용자는 안전하게 정상 웹 컨텐츠를 제공 받으면서 의도치 않게 악성 컨텐츠 링크로 연결하더라도 SPAM Prism 웹 보안 서버에서 악성 컨텐츠를 탐지하고 경고와 함께 차단합니다. 

웹 페이지를 제작하기 점점 편리해지는 세상에 해커들의 공격 패턴 또한 대부분을 메일을 통하여 웹 페이지의 접근을 유도하는 방식을 사용하고 있습니다.이러한 방식은 웹 페이지가 갖는 용도에 맞게 변경이 용이하고, HTTPS 라는 중간 탐지가 기술적으로 힘든점을 이용하기 때문에 해커들에 의해 주로 이용되고 있습니다.이러한 공격 방식에 대한 자세한 내용을 (주)리투인 소프트웨어의 기술 리포트를 통해 전달 드리고자 합니다. 웹페이지탐지 웹 페이지 탐지는 서버로부터 수신 되는 웹 데이터를 확인하고 내부 악의적인 코드를 탐지한다. 웹 데이터는 HTML, Java Script 등으로 웹페이지에 사용 되는 데이터 집합이다. 일부 데이터는 상세하게 확인하지 않았을 때 알아보기 어렵게 악성코드를 숨기기 때문에 안전한 웹 사용 환경을 위해 웹 페이지 탐지기술을 사용한다. 웹 페이지 일반 탐지 - 문자열 비교  웹 페이지 일반 탐지 기술은 많은 보안 제품에 내포되어 무분별하게 배포하는 악성코드를 복합적으로 탐지 하는 것에 기여한다. 하지만 문자열 인코딩을 통해 악성코드를 숨긴 웹페이지는 쉽게 우회 할 수 있어서 점점 보안 기술로서 실효성이 줄어들고 있다. 보안패턴(해시 등)을 이용하여 악성코드 비교를 통해 탐지하거나 보안 이외의 목적으로 사용 할 수 있다. 웹 페이지 인코딩 탐지 - 디코딩  웹 페이지 인코딩 탐지 기술은 특정 문자열이 인코딩 된 웹 페이지를 디코딩(복구)하여 악성코드를 탐지한다. 웹 페이지 일반탐지 기술에서 특정 문자열을 디코딩 하는 기술을 추가한 것으로 숨겨진 악성코드를 복합적으로 탐지 하는 것에 효과가 있다. 일반 탐지와 인코딩 탐지  웹 페이지 탐지 기술의 일반 탐지와 인코딩 탐지는 파싱((syntactic)parsing)을 통해 의미 있는 문자열을 분류하고 검사한다. 이때 검사하는 문자열이 특정 패턴이 포함되어 있는지 확인하기 때문에 악성 URL 이나 악성 스크립트를 효과적으로 탐지할 수 있다. 하지만 악의적 목적으로 배포되는 일부 웹 페이지들은 조금씩 변화를 시도하면서 탐지 기술들을 우회하기 시작했다. 새로운 유형의 악성 웹 페이지가 조금씩 발견되고 그 중 일부는 웹 페이지 탐지기술을 우회 하기도 한다. 이에 대응하기 위해 보안 기술을 우회하는 원인을 확인 하고 그 해결 방법을 찾을 필요가 있다. 외부 웹 데이터를 통한 보안탐지 우회 (웹 페이지) 일반 탐지와 인코딩 탐지는 단일 웹페이지를 대상으로 검사하는 경우가 많다. 페이지 내부의 문자열을 비교 분석하고 일려진 패턴과 등록된 악성 URL을 탐지한다. 하지만 웹 페이지 탐지는 이미 존재하는 시스템 내부 데이터를 대상으로 검사하기 때문에 웹 페이지로 인해 시스템 밖의 외부 데이터는 탐지 대상에서 제외될 수 있다.이 외부 웹 데이터의 악성코드 탐지가 어려운 이유는 시간 차 공격의 가능성이 존재하기 때문이다.웹 페이지의 악성코드 탐지시점과 실제 사용자가 해당 웹 페이지를 사용하는 시점이 항상 동일하지 않는 것이 그 이유이다. 특히 웹 페이지 형식(HTML) 파일을 첨부파일로 전달되는 메일의 경우, 외부 추가 리소스(Java Script등)를 메일 발송 시간에는 접근을 제한하고 사용자 열람 할 시간(영업시간등)에만 동작(로드)하여 웹 페이지 탐지를 우회 할 수 있다.   기업의 주요 정보 자산을 보호하기 위해서 정보 보안은 모든 범위에서 이루어져야 한다. 하나의 허술한 영역을 집요하게 파고들어 공격하는 스피어 피싱 공격과 같이 특수한 공격 상황에서는 대응하기 쉽지 않기 때문이다. 불특정 다수를 대상으로 시도하는 공격 방식에서는 기존 웹 페이지 탐지 기술이 효과적일 수 있다. 하지만 현재의 웹페이지 탐지 기술에 있어서 기존 공격을 일부 방식을 조금 비틀어서 시도하면 보안 사고까지 이어질 가능성이 클 것으로 판단된다. 현재 불특정 다수를 대상으로 제작되었거나 피해자의 개인정보를 통해 특별히 제작된 다양한 피싱 사이트 URL은 일부 보안 제품에서 대응하고 있다. 하지만 공격 유형의 일부를 변경하여 새로운 방식의 공격을 동일하게 대응 할 수 있을지 알 수 없다.

최근 QR코드를 이용한 피싱(Phishing) 공격이 등장하였습니다.직접적인 악성URL 코드가 노출되지 않기에 사내의 보안 과정을 통과 할 수 있습니다. 이러한 공격 방식에 대한 자세한 내용을 전달 드리고자 합니다.  이메일 QR코드 공격 QR코드를 이용한 피싱(Phishing) 공격으로 이메일 내 QR코드 이미지를 이용하여 비밀번호 및 신용카드 정보와 같이 기밀을 필요로 하는 정보를 부정하게 얻으려는 소셜엔지니어링의 한 종류입니다. QR코드를 이용한 가상 메일 피싱 공격 시나리오(1) 가짜 기업용 그룹웨어 로그인 페이지 URL을 QR코드로 생성하고 (2) 스팸 메일에 QR코드를 추가한다. (3) 추가된 스팸 메일은 타겟 기업의 시스템 관리자로 위장 (예시 이미지 참고)하여 전송한다. (4) 메일은 QR코드 해석 기능이 존재하지 않는 메일 보안 시스템을 우회하고 사용자에게 전달된다. (5) 전달된 메일은 사용자가 열람하면서 QR코드를 스캔한다. (6) 스캔 후 연결된 가짜서버에 연결되고 계정 정보 탈취를 위한 로그인 화면이나 악성코드 다운로드를 통해 랜섬웨어와 같은 피해가 발생 할 수 있다. QR코드 자격증명 QR코드 자격증명은 온라인 서비스의 사용자 로그인을 위해 기존의 ID/PW를 대신하여 QR코드를 이용한다. 그리고 콘텐츠의 디자인 요소로 활용하여 온라인 서비스의 회원가입 페이지로 쉽게 전환 할 수있게한다. 특히 QR코드를 이용해 자격증명 하는 행위가 익숙하게 느끼는 사람들이 코로나19 감염사태 이전보다 늘어나고 있다. QR코드와 소셜 엔지니어링 QR코드를 이용한 자격증명이 보편화 될 수록 소셜 엔지니어링을 이용한 공격이 이전 보다 쉽게 목적을 달성 할 수 있기 때문에 QR코드를 이용한 소셜 엔지니어링 공격에 주의가 필요하다. QR코드를 이용한 악성 이메일 출현 지난 2021년 10월 26일. 피싱 메일 내 QR코드를 이용한 사이버 공격이 등장한 것으로 언론을 통해 공개되었다. (지디넷. "이메일 보안 우회하는 QR코드 사이버공격 등장" - 2021.10.28.) 해당 기사에서 설명하는 QR코드 악성 이메일 공격은 음성 메시지를 외부 서비스에 남겼다는 글과 음성 메시지에 접근 할 수 있는 QR코드(이미지)로 이루어진 메일을 사용한다. QR코드를 스캔하면 실제 사이트 로그인 화면과 동일한 가짜 피싱 사이트로 이동하게 되며 사용자가 입력한 ID/PW를 공격자에게 전달 되는것으로 추정된다. 이외에도 QR코드를 이용한 악성 메일 공격은 설문조사등으로속여 사용자의 개인정보, 금융정보, 기업정보를 탈취하거나 악성코드 배포등을 통해 피해를 줄 수 있다. QR코드를 이용한 악성 이메일 위협 원인위협 : QR코드를 이용한 악성이메일 공격위협 원인 1 : 이메일내 QR코드 이미지 해석 및 악성코드 탐지기능 부재위협 원인 2 : 코로나19 감염사태로인한 QR코드 자격증명 경험증가위협원인 3 : 이메일을 이용한 소셜 엔지니어링 공격 지속 ​QR코드를 이용한 피싱 공격은 QR코드와 소셜 엔지니어링이 결합한 공격이다. 또한 일반 스팸 메일 내부의 하이퍼링크 URL을 대신하여 QR코드를 활용한 것이 특징이다. 이미지로 구성된 QR코드를 스캔(해석)하고 URL 추출 및 악성 URL 탐지하는 기능을 통해 QR코드를 이용한 피싱 공격에 대응 할 수 있다.