13Anti-Spam과 메일 보안Anti-Spam과 메일 보안
끝없이 늘어나는 원치 않는 이메일(스팸)은 디스크 공간·네트워크 대역폭·CPU를 잡아먹고 직원의 업무 시간을 빼앗는 예상치 못한 보안 위협이 됐습니다. 해를 거듭할수록 이런 불청객 메일을 처리하는 데 들어가는 자원이 늘어나고, 직원은 쏟아지는 대량 메일(흔히 spam 이라 부르는 것)을 일일이 솎아 내느라 점점 더 많은 시간을 허비합니다. Anti-Spam and Mail 은 관리자에게 네트워크에 도달하는 스팸 대부분을 한곳에서 손쉽게 걸러 내는 중앙 집중식 길을 줍니다. 이 장은 Anti-Spam이 무엇을 막아 주는지, SmartDashboard의 Anti-Spam & Mail 탭에서 콘텐츠·IP 평판·블록 리스트 정책을 어떻게 만들고, SMTP·POP3 검사와 예외·허용 목록·맞춤 서버·고지문까지 어떻게 구성하는지를 빠짐없이 정리합니다.
Anti-Spam이 제공하는 기능
스팸과 메일 위협을 막는 방식은 여러 겹으로 짜여 있습니다. 각 기능이 맡는 역할은 다음과 같습니다.
| 기능 | 설명 |
|---|---|
| Content based Anti-Spam | Anti-Spam 기능의 핵심을 이루는 콘텐츠 기반 분류 엔진(content based classification engine) 입니다. |
| IP Reputation Anti-Spam | IP 평판 서비스(IP reputation service)를 이용해 들어오는 스팸 대부분을 연결 시점(connect time)에 차단 합니다. |
| Block List Anti-Spam | IP 주소나 발신자 주소를 기준으로 특정 발신자를 차단 합니다. |
| Mail Anti-Virus | 메일을 스캔해 멀웨어를 걸러 냅니다. |
| Zero Hour Malware Protection | 신속 대응 시그니처(rapid response signatures) 를 이용해 갓 등장한 멀웨어를 거릅니다. |
| IPS | 메일 보호용 침입 방지 시스템(Intrusion Prevention System) 을 더합니다. |
메일 보안 개요
SmartDashboard의 Anti-Spam & Mail 탭에서는 메일 보안 전반을 한자리에서 다룹니다. 이 탭에서 할 수 있는 일은 다음과 같습니다.
- Anti-Virus 검사를 적용할 게이트웨이를 고릅니다.
- Anti-Spam 보호를 적용할 게이트웨이를 고릅니다.
- 자동 업데이트(automatic updates) 를 켭니다.
- 설정과 로그를 살펴봅니다.
Anti-Spam — 패턴으로 잡는 방식
Check Point의 Anti-Spam은 고유 라이선스 기술(unique licensed technology) 을 씁니다. 키워드를 찾거나 메일 본문을 어휘 분석(lexical analysis)하는 흔한 방식과 달리, 알려졌거나 새로 떠오르는 배포 패턴(known and emerging distribution patterns)을 분석 해 스팸을 가려냅니다. 정상 메일을 스팸으로 오인하게 만들 수 있는 핵심 단어·문구 검색을 피하고 그 대신 메시지의 다른 특성에 집중하기 때문에, 높은 탐지율을 유지하면서도 오탐(false positive)은 적 습니다.
개인의 사생활과 업무상 기밀을 지키기 위해, 분석에는 메시지 봉투(envelope)·헤더(headers)·본문(body)에서 일부 특성만 추출 합니다 — 실제 내용이나 첨부 파일은 전혀 참조하지 않습니다. 이렇게 뽑은 특성을 해시(hash)한 값 만 Detection Center(탐지 센터)로 보내 패턴 분석을 받습니다. Detection Center는 언어·메시지 형식·인코딩 종류를 가리지 않고 스팸의 대량 발생(spam outbreak)을 식별하며, 응답은 300밀리초 안에 기업 게이트웨이로 돌아옵니다.
한번 식별되면 스팸을 만들어 내는 머신 네트워크는 블랙리스트(blacklist)에 오릅니다. 그 네트워크가 행동을 바꾸면 블랙리스트에서 다시 빠집니다.
Adaptive Continuous Download — 지연 없이 받기
검사 때문에 메일 수신이 늦어지지 않도록, Adaptive Continuous Download 는 Anti-Spam 스캔이 진행되는 동안에도 메일을 수신자에게 미리 전달하기 시작 합니다. 만약 그 메일이 스팸으로 판정되면, 수신자에게 완전히 전송되기 전에 스팸으로 표시(flag) 됩니다. SMTP 와 POP3 두 프로토콜 모두 메일 메시지 전체에 대해 이 기능을 지원합니다.
Anti-Spam 구성하기
콘텐츠 기반 Anti-Spam 정책 만들기
콘텐츠 기반(content) Anti-Spam 정책은 다음 순서로 구성합니다.
| 단계 | 작업 |
|---|---|
| 1 | SmartConsole에서 Manage & Settings > Blades > Anti-Spam & Mail 을 고르고 Configure in SmartDashboard 를 클릭합니다. SmartDashboard가 열리면서 Anti-Spam & Mail 탭이 나타납니다. |
| 2 | Overview 페이지의 Content based Anti-Spam 아래에서 Settings 를 클릭합니다. |
| 3 | 슬라이더로 Anti-Spam 정책의 보호 수준(protection level) 을 고릅니다. |
| 4 | 표시(flagging) 옵션을 고릅니다. |
| 5 | Security Gateway Engine settings 항목에서 스캔할 최대 데이터 크기(maximum data size to scan) 를 정합니다. |
| 6 | Spam·Suspected Spam·Non Spam 각각에 대한 Tracking Options(추적 옵션)를 고릅니다(아래 표 참고). |
| 7 | Save 를 누르고 SmartDashboard를 닫습니다. |
| 8 | SmartConsole에서 Access Control 정책을 설치 합니다. |
추적 옵션(Tracking Options)은 메일이 어떻게 처리됐는지를 어떻게 기록·알림할지 정하는 것으로, 다음 중에서 고릅니다.
| 옵션 | 의미 |
|---|---|
| None | 로그를 남기지 않습니다(no logging). |
| Log | 로그를 남깁니다. |
| Popup Alert | 팝업 알림을 띄웁니다. |
| Mail Alert | 메일로 알립니다. |
| SNMP Trap Alert | SNMP 트랩으로 알립니다. |
| User Defined Alert | 사용자가 정의한 알림을 보냅니다. |
IP Reputation 정책 만들기
IP Reputation 은 메시지 발신자의 IP 주소를 — 연결을 여는 SYN 패킷에 담긴 주소 를 — 의심스러운 IP 주소의 동적 데이터베이스(dynamic database of suspect IP addresses) 와 대조하는 Anti-Spam 메커니즘입니다. IP 평판 서비스 기준으로 발신 네트워크가 스팸을 보내는 평판을 갖고 있으면, 그 스팸 세션은 연결 시점에 바로 차단 됩니다. 이런 식으로 IP Reputation은 신뢰할 수 있는 메일 출처 목록(list of trusted email sources) 을 만들어 갑니다.
| 단계 | 작업 |
|---|---|
| 1 | SmartConsole에서 Manage & Settings > Blades > Anti-Spam & Mail 을 고르고 Configure in SmartDashboard 를 클릭합니다. SmartDashboard가 열리면서 Anti-Spam & Mail 탭이 나타납니다. |
| 2 | Overview 페이지의 IP Reputation Anti-Spam 아래에서 Settings 를 클릭합니다. |
| 3 | 슬라이더로 IP Reputation 정책을 고릅니다(아래 표 참고). |
| 4 | Spam·Suspected Spam·Non spam 각각에 대한 추적 옵션을 고릅니다(콘텐츠 정책과 동일: None·Log·Popup Alert·Mail Alert·SNMP trap alert·User Defined Alert). |
| 5 | Save 를 누르고 SmartDashboard를 닫습니다. |
| 6 | SmartConsole에서 Access Control 정책을 설치합니다. |
슬라이더로 고르는 IP Reputation 보호 수준은 다음과 같습니다.
| 수준 | 의미 |
|---|---|
| Off | IP Reputation 서비스를 끕니다. |
| Monitor only | 알려진 스팸과 의심되는 스팸을 감시만 하고 차단하지 않 습니다. |
| Medium Protection | 알려진 스팸은 차단 하고, 의심되는 스팸은 감시합니다. |
| High Protections | 알려진 스팸과 의심되는 스팸을 모두 차단 합니다. |
Block List 만들기
발신자 이름(sender's name)·도메인 이름(domain name)·IP 주소를 기준으로 차단할 메일 출처 목록 을 만들 수 있습니다.
| 단계 | 작업 |
|---|---|
| 1 | SmartConsole에서 Manage & Settings > Blades > Anti-Spam & Mail 을 고르고 Configure in SmartDashboard 를 클릭합니다. SmartDashboard가 열리면서 Anti-Spam & Mail 탭이 나타납니다. |
| 2 | Overview 페이지의 Block List Anti-Spam 아래에서 Settings 를 클릭합니다. |
| 3 | 슬라이더로 차단 정책(Block Policy)을 고릅니다(아래 표 참고). |
| 4 | Blocked senders\domains 항목에서 Add 를 누르고 거부할 발신자나 도메인 이름을 입력합니다. |
| 5 | Blocked IPs 항목에서 Add 를 누르고 차단할 IP 주소를 입력합니다. |
| 6 | Tracking 항목의 드롭다운에서 차단된 메일(blocked mail) 또는 정상 메일(non-spam)에 대한 추적 옵션을 고릅니다. |
| 7 | Save 를 누르고 SmartDashboard를 닫습니다. |
| 8 | SmartConsole에서 Access Control 정책을 설치합니다. |
차단 정책(Block Policy)의 수준은 다음과 같습니다.
| 수준 | 의미 |
|---|---|
| Off | 차단하지 않습니다(Not blocked). |
| Monitor Only | 차단하지 않되, IP 주소·이메일 주소로 발신자를 감시 합니다. |
| Block | IP 주소·이메일 주소로 발신자를 차단 합니다. |
Anti-Spam SMTP 구성하기
SMTP 트래픽은 방향(direction)이나 IP 주소에 따라 검사할 수 있습니다.
| 단계 | 작업 |
|---|---|
| 1 | SmartConsole에서 Manage & Settings > Blades > Anti-Spam & Mail 을 고르고 Configure in SmartDashboard 를 클릭합니다. SmartDashboard가 열리면서 Anti-Spam & Mail 탭이 나타납니다. |
| 2 | 탐색 트리(navigation tree)에서 Advanced > SMTP 를 클릭합니다. |
| 3 | Scan SMTP traffic with Anti-Spam engine(Anti-Spam·IP reputation·Block list 보호용)이 선택돼 있는지 확인합니다. |
| 4 | SMTP 트래픽을 By Mail Direction(메일 방향별) 또는 By IPs(IP별) 중 어떻게 검사할지 고릅니다. |
| 5 | Activate Continuous Download 를 선택해, 큰 파일을 검사할 때 클라이언트 시간 초과(time-out)를 막 습니다(Adaptive Continuous Download 참고). |
| 6 | Save 를 누르고 SmartDashboard를 닫습니다. |
| 7 | SmartConsole에서 Access Control 정책을 설치합니다. |
4단계에서 고른 검사 방식에 따라 추가로 할 일이 갈립니다.
- By IPs 를 골랐다면 — Add Rule 을 클릭해 검사할 IP 주소 규칙(rules for IP addresses to scan)을 구성합니다.
- By Mail Direction 을 골랐다면 — 다음 각각에 대해 검사 방향을 고릅니다.
- Incoming files(들어오는 파일)
- Outgoing files(나가는 파일)
- Internal files through the gateway(게이트웨이를 지나는 내부 파일)
Anti-Spam POP3 구성하기
POP3 트래픽은 방향에 따라 검사할 수 있습니다.
| 단계 | 작업 |
|---|---|
| 1 | SmartConsole에서 Manage & Settings > Blades > Anti-Spam & Mail 을 고르고 Configure in SmartDashboard 를 클릭합니다. SmartDashboard가 열리면서 Anti-Spam & Mail 탭이 나타납니다. |
| 2 | 탐색 트리에서 Advanced > POP3 를 클릭합니다. |
| 3 | Scan POP3 traffic with Anti-Spam engine(Anti-Spam·IP reputation·Block list 보호용)이 선택돼 있는지 확인합니다. |
| 4 | POP3 트래픽을 By Mail Direction 또는 By IPs 중 어떻게 검사할지 고릅니다. |
| 5 | By IPs 를 골랐다면 Add Rule 을 클릭해 검사할 IP 주소 규칙을 구성합니다. |
| 6 | By Mail Direction 을 골랐다면 다음 각각에 대해 검사 방향을 고릅니다 — Incoming mail(들어오는 메일)·Outgoing mail(나가는 메일)·Internal mail(내부 메일). |
| 7 | Activate Continuous Download 를 선택해, 큰 파일을 검사할 때 클라이언트 시간 초과를 막습니다(Adaptive Continuous Download 참고). |
| 8 | Save 를 누르고 SmartDashboard를 닫습니다. |
| 9 | SmartConsole에서 Access Control 정책을 설치합니다. |
Network Exception 구성하기
Anti-Spam 정책은 모든 이메일 트래픽에 적용할 수도 있고, 의도적으로 정책에서 제외한 트래픽을 뺀 나머지에만 적용할 수도 있습니다. 특정 출처(source)·목적지(destination)를 제외하려면 다음과 같이 합니다.
| 단계 | 작업 |
|---|---|
| 1 | SmartConsole에서 Manage & Settings > Blades > Anti-Spam & Mail 을 고르고 Configure in SmartDashboard 를 클릭합니다. SmartDashboard가 열리면서 Anti-Spam & Mail 탭이 나타납니다. |
| 2 | 탐색 트리에서 Advanced > Network Exceptions 를 클릭합니다. |
| 3 | Enforce the Anti-Spam policy on all traffic except for traffic between the following sources and destinations 를 선택합니다. |
| 4 | Add 를 클릭합니다. Network Exception 창이 열립니다. |
| 5 | Source 와 Destination 에 대해 각각 Any 를 고르거나, Specific 을 고른 뒤 각 목록에서 게이트웨이를 하나씩 고릅니다. |
| 6 | OK 를 클릭합니다. |
| 7 | Save 를 누르고 SmartDashboard를 닫습니다. 그런 다음 SmartConsole에서 Access Control 정책을 설치합니다. |
Allow List 만들기
발신자 이름이나 IP 주소를 기준으로 허용할 메일 출처 목록(list of allowed email sources) 을 만들 수 있습니다.
| 단계 | 작업 |
|---|---|
| 1 | SmartConsole에서 Manage & Settings > Blades > Anti-Spam & Mail 을 고르고 Configure in SmartDashboard 를 클릭합니다. SmartDashboard가 열리면서 Anti-Spam & Mail 탭이 나타납니다. |
| 2 | 탐색 트리에서 Advanced > Allow List 를 클릭합니다. |
| 3 | Allowed Senders / Domains 항목에서 Add 를 누르고 허용할 발신자나 도메인 이름을 입력합니다. |
| 4 | Allowed IPs 항목에서 Add 를 누르고 허용할 IP 주소를 입력합니다. |
| 5 | Tracking 항목의 드롭다운에서 추적 옵션을 고릅니다. |
| 6 | Save 를 누르고 SmartDashboard를 닫습니다. |
| 7 | SmartConsole에서 Access Control 정책을 설치합니다. |
맞춤 서버(Customized Server) 고르기
Anti-Spam 분석을 위해 기본 Detection Center 대신 다른 Detection Center 를 고를 수 있습니다.
| 단계 | 작업 |
|---|---|
| 1 | SmartConsole에서 Manage & Settings > Blades > Anti-Spam & Mail 을 고르고 Configure in SmartDashboard 를 클릭합니다. SmartDashboard가 열리면서 Anti-Spam & Mail 탭이 나타납니다. |
| 2 | 탐색 트리에서 Advanced > Customized Server 를 클릭합니다. |
| 3 | Use Customized Server 를 선택합니다. |
| 4 | 드롭다운에서 서버를 고릅니다. |
| 5 | Save 를 누르고 SmartDashboard를 닫습니다. |
| 6 | SmartConsole에서 Access Control 정책을 설치합니다. |
Bridge Mode와 Anti-Spam
UTM-1 어플라이언스를 Bridge mode로 동작하도록 구성한 경우에도 Anti-Spam은 지원됩니다. 단, 다음 두 조건을 갖춰야 합니다.
- 브리지 인터페이스(bridge interface)에 IP 주소가 있어야 합니다.
- 브리지 인터페이스에 기본 게이트웨이(default gateway)가 있어야 합니다.
Disclaimer(고지문) 구성하기
메일에 붙일 맞춤 고지문(custom disclaimer notice) 을 직접 만들 수 있습니다.
| 단계 | 작업 |
|---|---|
| 1 | SmartConsole에서 Manage & Settings > Blades > Anti-Spam & Mail 을 고르고 Configure in SmartDashboard 를 클릭합니다. SmartDashboard가 열리면서 Anti-Spam & Mail 탭이 나타납니다. |
| 2 | 탐색 트리에서 Advanced > Disclaimer 를 고릅니다. |
| 3 | Add disclaimer to email scanned by Anti-Virus and Anti-Spam engines 를 선택합니다. |
| 4 | 텍스트 상자에 고지문 내용을 입력합니다. |
| 5 | Save 를 누르고 SmartDashboard를 닫습니다. |
| 6 | SmartConsole에서 Access Control 정책을 설치합니다. |
마무리 — 한눈에 정리
정리하면 Anti-Spam은 콘텐츠 분류·IP 평판·블록 리스트로 스팸을 거르고, Anti-Virus·Zero Hour·IPS로 메일 속 위협까지 함께 막는 메일 보안 묶음입니다. 모든 정책은 SmartDashboard의 Anti-Spam & Mail 탭에서 만들고, 어느 작업이든 마지막에 SmartConsole에서 Access Control 정책을 설치 해야 비로소 게이트웨이에 적용됩니다.