샌드박스 기반의 지능형 위협 대응으로 아주 열심히 영업중인 A사의 APT가 MDS입니다. 드디어 저희 와이드플러스원에서도 고객사에 MDS를 납품을 했습니다. APT는 외산이 강세를 보이는 분야입니다. 가장 유명한 제품으로는 FireEye사의 NX, EX등이 알려져있습니다. 그런데 너무 비싼 단점이 ^^
보통 악성코드의 침입경로는 거의 이메일을 이용합니다. 그러다보니 스팸장비와 연동된 제품이 대부분이고 A사의 MDS역시 스팸장비와 연동됩니다. 공공기관의 스팸장비 중에서 부동의 1위는 J사의 스팸스나이퍼입니다. 저희 고객사에서도 J사의 스팸스나이퍼와 MDS를 연동해서 설치를 했습니다.
이론적으로는 전혀 문제없이 메일에 숨어있는 악성코드나 랜섬웨어등을 100%막아야하는데 이런 글을 쓴 이유는 설치를 하고 고객사의 입장에서 고민을 하다보니 두 제품의 교집합부분에 허점이 발견되어서입니다. 혹시 A사 담당분이나 A사와 관련있는 분은 이 허점의 해결책을 아시면 좀 방법을 알려주시면 감사하겠습니다.
스팸스나이퍼는 외부에서 메일에 어떤 스크립트나 코딩이 되어있다고 판단이 되면 그 부분을 비활성화 시키고 MDS로 메일을 보냅니다. MDS입장에서는 스크립트나 코딩 부분이 비활성화가 되었으므로 이상이 없는 정상메일로 판단을 하게 되겠죠? 그래서 정상으로 판단하고 수신자에게 메일을 보내게 됩니다.
이때 수신자에게는 원본메일의 링크도 같이 전송을 합니다. 물론 원본은 스팸스나이퍼에서 보관을 하고 있습니다. 그러면 수신자는 그 메일을 보고 별 이상이 없다고 판단이 되면 그 원본메일 링크를 눌러서 메일을 받게 됩니다. 여기서 문제가 한가지 발생을 합니다.
이 원본메일의 경우에는 스팸스나이퍼에서 MDS를 타지 않고 바로 수신자에게 보냅니다. 그러면 처음에 비활성화가 되어있던 스크립트나 코딩부분이 함께 전달이 되고 여기에 악성코드나 랜섬웨어가 들어있다면 그대로 감염이 되는 불행이 발생합니다. ㅠㅠ
또 한가지 경우가 스팸으로 스팸스나이퍼에서 분류를 했는데 향후에 관리자가 스팸으로 잘못분류가 되었다고 생각해서 복구를 눌러버리면 이것도 MDS를 타고 넘어가지 않는것 같습니다. 이 두가지가 MDS의 단점이 아닐까 판단하고 있습니다.
이런글은 굉장히 조심스럽긴합니다. 혹시 잘못된 정보를 전달하면 대상 업체에 불이익을 줄 수도 있기 때문입니다. 혹시나 잘못된 정보이거나 아니면 이런 이슈를 해결했거나 하면 연락부탁드립니다 ^^
<Fig-1 MDS구성도>
