MS Office365의 Exchange Online Protection 보호기능 – 멀웨어/랜섬웨어 탐지 기능

exchange_online_protection

전 세션에서는 멀웨어 / 악성코드 / 랜섬웨어 / 스파이웨어 / 바이러스 / 애드웨어 / 웜 등 용어의 차이점에 대해 알아 보았습니다.
(http://www.sharedit.co.kr/it%ea%b4%80%eb%a6%ac%ec%9e%90%eb%a5%bc-%ec%9c%84%ed%98%91%ed%95%98%eb%8a%94-%eb%a9%80%ec%9b%a8%ec%96%b4-%ec%95%85%ec%84%b1%ec%bd%94%eb%93%9c-%eb%9e%9c%ec%84%ac%ec%9b%a8%ec%96%b4-%ec%8a%a4/)
이번 세션에서는 MS Office365의 Exchange Online Protection 에 대해 알아 보겠습니다. 멀웨어와 EOP(Exchange Online Protection)는 무슨 관계가 있는 것일까요?

잠깐, 삼천포로 빠져 보겠습니다. 멀웨어(랜섬웨어 포함) 감염 경로는 다양하지만, 멀웨어의 유포는 웹사이트가 주도적으로 하고 있고, 감염의 경로 또한 웹브라우저의 취약점을 이용한 Drive by Download 라는 기술로 특정 사이트 접속시 사용자가 의도하지 않은 멀웨어를 다운로드 및 실행하게 되어 피해가 크다는 문제가 있습니다.  하지만, 웹사이트 유포외에 이메일을 통한 감염으로 두번째로 많은 피해를 입고 있습니다. 이메일의 첨부파일의 Open을 통한 감염 또는 이메일 내의 링크를 통한 해당 악성 사이트로 이동후 드라이브 바이-다운로드 형태의 공격에 대한 피해를 입을 수 있다는 것을 충분히 가능한 시나리오 입니다.

그렇다면 첫번째로 사이트를 통한 감염은 어쩔수 없다지만, 두번째 문제인 이메일내 첨부파일 또는 이메일내 악성 URL 이동을 통한 감염을 차단할 수는 없는 것일까요??
다들 알고 계시겠지만 기존 메일서버의 스팸장비(스팸스나이퍼) ,메일서버내에 설치되는 스팸차단 및 멀웨어 필터(트랜드마이크로 Scanmail 등)가 해당 부분을 차단해주고 있습니다.

그리고, Office365 Business Essentials 버전내 포함되는 클라우드 이메일서비스인 Exchange Online에서 이런 보호기능을 해주는 것이 EOP(Exchange Online Protection) 입니다.
위 제품들과의 차이점은 해당 보호기능은 추가 비용 없이 무료로 제공 된다는 것입니다.
(office365의 기능별 차이점이 궁금하시다면 http://cloud.ibinfo.co.kr/2015/05/12/84/ 을 참고하시기 바랍니다.)

제가 클라우드 서비스들이 중소기업에 보급이 되었으면 하는 이유는 위와 같이 사용자가 신경을 쓰지 않더라도 기본 필수 보호기능들이 제공된다는 점입니다.
또한 기능도 강력하여 기본 스팸 및 멀웨어 및 악성URL에 대한 차단, 그리고 피싱에 대한 보호가 가능합니다.
EOP의 상세 기능은 https://technet.microsoft.com/ko-kr/library/dn762130(v=exchg.150).aspx 에서 확인이 가능합니다.

<<참고 사항>>
EOP의 스팸 방지 보호 기능 FAQ – https://technet.microsoft.com/ko-KR/library/jj937231(v=exchg.150).aspx
EOP의 멀웨어 방지 보호 FAQ – https://technet.microsoft.com/ko-KR/library/jj200664(v=exchg.150).aspx

이러한 EOP 기능의 작동 방식은 아래 그림으로 쉽게 이해할 수 있습니다.

즉, Office365의 Exchange Online내 사서함으로 메일이 수신되기 위해서는
1. 발송자가 메일을 발송하였다.
2. 사전에 MX레코드 확인에 따른 EOP전용 데이터센터로 이동후 멀웨어 및 스팸 엔진 필터링 및 격리
3. 정상 메일 Exchange Online 의 사서함 도착

으로 이루어지게 됩니다.

그리고, 기존 온프라미스(직접 서버를 보유한) 환경의 익스체인지에도 적용이 가능합니다. 
(참고 사이트 : https://products.office.com/ko-kr/exchange/microsoft-exchange-online-protection-email-filter-and-anti-spam-protection-email-security-email-spam)

한번 더 삼천포로 빠져보자면, 쉐어드IT내에서 에프엑스컨설팅의 랜섬웨어의 EOP 차단 테스트 포스팅을 재미있게 보았습니다.
(http://www.sharedit.co.kr/forumoffice365/forumoffice365/%EC%95%85%EC%84%B1-%EC%BD%94%EB%93%9C-%EB%8B%B4%EA%B8%B4-%EB%A9%94%EC%9D%BC%EC%9D%84-office365%EC%97%90%EC%84%A0-%EC%95%8C%EC%95%84%EC%84%9C-%EC%B0%A8%EB%8B%A8-%EC%A1%B0%EC%B9%98%EB%A5%BC-%ED%95%B4#sabai-entity-content-5090)
EOP를 사용하여 랜섬웨어가 차단 되었다는 테스트였습니다.

그렇다면 EOP는 랜섬웨어를 어떻게 탐지하였을까요???
말 장난 같지만, 랜섬웨어는 멀웨어(악성코드)의 일종이기 때문입니다. 해당 크립토락커 랜섬웨어는 이미 알려진 멀웨어의 일종이었고, MS EOP에서 제공되는 멀웨어 엔진에 해당 패턴이 업데이트 되어 차단이 가능했던 겁니다.

그럼 변종되는 랜섬웨어의 차단이 가능할까요?
그건 저도 잘 모르겠습니다. EOP 엔진은 다양한 벤더의 엔진을 사용한다고만 알려져 있을뿐 지능형 패턴분석 알고리즘을 가지고 있는지는 알려져 있지 않기 때문입니다.
EOP의 멀웨어 FAQ 페이지에서는 아래와 같이 안내하고 있습니다.

질문. 이 맬웨어가 필터를 통과한 이유는 무엇입니까? 
답변. 맬웨어를 수신할 수 있었던 이유에는 두 가지가 있습니다.

첫 번째의 가장 가능성 높은 시나리오는 수신된 첨부 파일에 활성 악성 코드가 들어 있지 않은 것입니다. 이러한 경우 컴퓨터에서 실행되는 일부 맬웨어 방지 엔진은 더욱 공격적일 수 있으며 페이로드가 잘린 메시지를 차단할 수 있습니다.
두 번째는 수신한 맬웨어가 새로운 변형체이고 맬웨어 방지 파트너가 서비스에 대한 패턴 파일을 배포용으로 아직 제공하지 않은 경우입니다. 업데이트 제공에 소요되는 시간은 맬웨어 방지 파트너에 따라 다릅니다.

위와 같은 내용을 유추하여 본다면, 아직 지능형 분석 탐지 기법은 제공이 안되지 않을까 하는 생각입니다.
하지만, 기술은 발전되기 마련이니 시간이 지나면 더 많은 멀웨어 탐지를 위한 엔진도 개선되지 않을까 생각 합니다.

어쨌든간에 Office365 Business Essentials에 포함되어 있는 Exchange Online을 쓰고 계시다면 위의 멀웨어(랜섬웨어 포함)의 위협에서 보호될 수 있다!! 라는 이야기를 드리고 싶었습니다.

또,,,,, 너무 기술적으로 내용을 쓴것이 아닌가.. 그래서 이글이 또 호응이 없을까봐 걱정입니다. ^^;;
도움이 되셨으면 합니다.

    About 오픈아이티

    오픈아이티

    Leave a Reply

    1 개의 댓글이 있습니다 - "MS Office365의 Exchange Online Protection 보호기능 – 멀웨어/랜섬웨어 탐지 기능"

    메일 알림 설정
    정렬:   최신 | 오래된 | 추천
    wpDiscuz