길었던 코로나19 팬데믹이 지나가고 엔데믹이 시작됐다. 팬데믹은 우리 일상생활에 많은 변화를 가져다줬다. 오프라인 위주 생활은 온라인 중심으로 빠르게 바뀌고 있다.
비즈니스 환경도 많은 변화가 있었지만 이메일을 통한 비즈니스 처리 비중은 여전히 높다. 이메일 대체를 표방한 슬랙(Slack) 같은 소셜 플랫폼이 다수 등장했지만 여전히 다수 기업은 공식 커뮤니케이션 툴로 이메일을 사용하고, 종사자는 이메일 기반 업무 처리를 선호한다.
통계 사이트 스태티스타(statista)에 따르면 2022년 하루 평균 333억2000건의 이메일이 오간다. 오는 2025년에는 하루 376억4000건에 이를 것으로 예상된다. 개인이든 단체든 꼭 필요한 정보만 이메일로 받는 것은 현재 불가능에 가깝다.
이메일은 문자로 정보를 전달하는 온라인 편지다. 같은 내용의 이메일도 수신자의 현재 필요성에 따라 유용한 정보이거나 불필요한 스팸으로 분류된다. 판단 배경은 사용자의 이메일에 대한 이해도다. 문자에 담긴 뜻을 정확하게 알아야 정보가 되고, 스팸으로 판단도 할 수 있다.
예를 들어 '경찰청 속도위반 과태료 고지 알림' 메일은 초등학생이 수신하느냐 성인이 수신하느냐에 따라 다르다. '일본어로 작성된 계약서류'도 수신인이 일본어를 아느냐 모르느냐에 따라 달라진다.
이메일은 문자를 기본으로 뜻과 정보를 전달하기에 이메일 보안도 키워드 필터링을 기본으로 전개돼왔다. 같은 모양의 글자를 같은 방식으로 필터링해 수신을 차단하다 보니 필요 정보를 차단하기도 하고, 불필요한 스팸메일은 통과하는 오탐으로 이어졌다. 최근 들어 키워드 필터링은 거의 사용하지 않고, 유해 악성코드를 탐지하거나 차단하는 이메일 보안기술이 개발되고 있다.
현재 사이버 공격의 90%는 이메일에서 시작한다. 새로운 이메일 보안기술이 계속 개발되고 있지만 지능적인 해킹 메일은 완벽하게 차단할 수 없다.
특히 '사칭 메일'(스피어피싱)은 신뢰하는 사용자 또는 기관으로 속여서 보내는 메일이기 때문에 탐지나 차단이 더 어렵다.
'스피어피싱'은 물고기를 작살로 잡는 '작살 낚시'(spearfishing)를 빗댄 표현이다. 특정 수신자를 대상으로 메일을 열어 볼 수밖에 없도록 조작해서 보내는 맞춤형 메일 공격이다. 특정 수신자가 신뢰하도록 발신 정보로 속이고 메일 내용을 조작해서 보낸다. 이러한 메일 대부분은 멀웨어나 랜섬웨어 같은 악성코드를 포함한다.
하지만 수신자는 대부분 데이터 유출 같은 피해를 볼 때까지 사칭 메일을 받은 사실조차 알지 못한 채 정상 업무를 수행했다고 생각한다. 경제적 피해가 발생한 후 사고의 원인을 확인하는 과정에서 거래처 사칭, 경찰청 사칭 등 사칭 메일에서 시작된 사고임을 인지하게 된다. 이미 사고는 일어났고, 사고 원인을 파악한다 해도 피해는 되돌릴 수 없다.
C 레벨(부문별 최고책임자) 경영진만 노린다고 생각할 수 있지만 아니다. 실무 영업팀에는 사칭 발주서, 인사팀에는 사칭 이력서를 보내 해당 업무 담당자가 이메일을 열어 볼 수밖에 없게 한다.
FBI '2020 인터넷 범죄 보고서'에 따르면 그해 신고된 '기업 이메일 침해'(BEC) 공격은 1만9369건이며, 피해액은 18억달러에 이른다. 공격 건수는 전년 대비 19% 줄었지만 총손실액과 피해자 1인당 평균 손실액은 전년 대비 각각 5%, 29% 늘었다. 무작위 다발성 공격이 아니라 타깃을 지정한 고도화 공격으로 기업에 커다란 타격을 주고 있음을 보여 주는 수치다.
BEC 공격은 결제 대금 가로채기뿐만 아니라 사칭 메일에 악성코드를 심어서 기업의 영업 비밀을 빼내거나 이를 경쟁사에 팔아넘기는 등 다양하다. 기업 내부 시스템에 접근해서 마비시킨 후 기업에 돈을 요구하기도 한다. BEC 공격은 기업 재정에 타격을 줄 뿐만 아니라 고객과 기업 간 신뢰에도 심각한 손상을 일으킨다.
이메일 보안시스템은 이러한 사칭 메일에 포함된 악성코드를 탐지하고 차단하는 기술이 핵심이다. 최근 행위 기반 보안기술 개발로 악성코드 제로데이의 취약점은 많이 해결됐다. 하지만 잘못된 논리적 오류는 여전히 남아 있다. 사칭 메일은 '양의 탈을 쓴 늑대'이기 때문이다. 늑대는 결코 양이 될 수 없다. 사칭 메일에 포함된 악성코드를 제거한다 해도 그 메일은 여전히 사칭 메일이다. 정상적인 메일로 바뀔 수 없다. 세계 보안 전문가들이 제시한 '메일서버등록제'(SPF)도 아직 현장 이메일 사용 환경에 적용하기에는 여러 제약이 따른다.
사칭 메일의 피해를 막기 위해서는 이메일 수신 패러다임을 바꿔야 한다. 이메일 보안을 발신 측 검증부터 시작하는 것이다. 알 수 없는 발신자(Unknown Mail) 메일은 수신하면 안 된다. 해커는 사칭 메일을 발송하기 위해 사설 메일서버를 만들고, 사설 메일서버에서 발송된 메일은 업무 메일보다 더 업무 메일처럼 보이기 위해 갖은 방법을 동원한다.
이제라도 사설 메일서버에서 발송된 메일을 탐지할 수 있는 보안기술이 필요하다.
정희수 리얼시큐 대표 sky@realsecu.net
-
임동식 기자기사 더보기