가비아가 오는 12일 정보보호의 날을 맞아 크래커(악의적인 해커)들이 자주 사용하는 사이버 범죄 유형을 소개하며 정보보안 중요성을 다시 한번 강조했다. 정보보호의 날 지정 후 10년이 지났지만, 사이버 범죄는 여전히 증가하고 있다. 비즈니스 이메일이 탈취돼 개인 정보 유출뿐만 아니라 기업 핵심 기술 유출로 심각한 피해를 볼 수 있기 때문이다.
올해 MS에서 발표한 사이버 위협 인텔리전스 요약 보고서 '사이버 시그널'에 따르면 지난해 비즈니스 이메일을 노린 '서비스형 사이버 범죄'는 2019년 대비 38% 증가했다. 세계적으로 하루 평균 15만 6000건의 비즈니스 이메일 침해(BEC) 시도가 발생한 것으로 파악됐다.
가비아 관계자는 “사용자는 메일 헤더의 변조 여부, 첨부파일의 안정성 여부를 수시로 확인해야 한다”라면서 “최근에는 챗GPT를 활용한 정교한 피싱 이메일도 기승을 부리고 있어, 조직과 개인 모두 정보보호를 위한 각별한 노력이 필요하다”라고 말했다.
◇비즈니스 이메일 침해(BEC) 3가지 범죄 수법
사이버 범죄자들이 자주 사용하는 악성 메일 유형은 크게 3가지이다. 우선, 메일 헤더를 조작하는 것이다. 메일 헤더는 발신자의 이름과 이메일 주소, 제목, 이메일을 보낸 날짜와 시간, 기타 기술적 세부 사항 등 중요 정보가 포함된 이메일의 최상단 영역이다. 범죄자들은 메일 헤더를 교묘하게 변경해 메일을 발송한다.
메일 헤더를 조작하는 방법도 다양하다. 'se0u1․go․kr'처럼 '영어 소문자 o'를 '숫자 0'으로, '영어 소문자 l'을 '숫자 1'로 바꾸는 등 비슷하게 생긴 문자를 활용해 메일을 발송하기도 하고, 수신자에게 보이는 주소와 실제 발신 주소를 다르게 설정하기도 한다. 이 외에도 연말정산 변경 사항, 해외 카드 결제 알림, 연말 프로모션 세일 등과 같은 제목을 이용해 사용자의 클릭을 유도한다.
두 번째, 첨부 파일을 이용하는 유형이다. 해커는 문서파일이나 압축파일(zip, rar, tar 등), 대용량 첨부 파일 등에 악성코드를 삽입하여 범죄에 이용한다. 일부 메일 솔루션에서는 암호화가 되어 있는 압축파일이나 용량이 큰 첨부 파일은 악성 코드 삽입 여부를 탐지하기도, 제외하기도 하는데, 범죄자들은 이러한 맹점을 악용하는 것이다. 이 외에 대용량 첨부와 유사하게 만든 파일 다운로드 이미지를 클릭하게 만들어 외부 URL로 유입시키는 등 해커는 다양한 방식으로 수신자에게 혼란을 일으키고 있다.
마지막으로 악성 인터넷 주소(URL)를 삽입하는 방식이다. 범죄자들은 메일 본문에 클릭을 유도하는 버튼을 만들어 모조 사이트 방문을 유도한다. 사용자들이 자주 방문하는 사이트와 유사한 위조 사이트를 이용할 경우, 해커는 손쉽게 중요 정보를 탈취할 수 있다. 메일 수신자는 의심쩍은 URL은 클릭하지 않고, 로그인이나 개인정보를 요구하는 경우 신뢰할 수 있는 사이트가 맞는지 여러 번 확인해야 한다.
◇악성 메일 위협 예방법 4가지
악성 메일로 인해 발생하는 피해를 막기 위해선 기업 차원에서 클라우드 기반의 메일 솔루션을 사용하는 것이다. 자체적으로 구축한 메일 솔루션을 사용할 경우 전산 담당자가 매번 보안 패치나 여타 솔루션들의 버전 업그레이드를 해야 한다. 이마저도 사내에 자체 전산 인력이 없거나 소수인 경우에는 버전 관리에 취약할 수밖에 없다. 이러한 방식은 시시각각 진화하는 사이버 위협에 빠르게 대응하기가 어렵다.
그러나 악성 메일에 대한 지속적인 관리와 자동 업데이트가 진행되는 클라우드 기반의 메일 솔루션을 사용하면 조직 내 보안 담당자 없이도 더 안전한 메일 이용 환경을 유지할 수 있다. 범죄 유형이 빠르게 고도화되는 만큼 메일 보안 역시 계속해서 강화되어야 하기에 클라우드 기반의 메일 솔루션은 비즈니스에 있어서 필수적이다.
둘째, 조직 내 악성 메일에 대한 경각심과 신고 문화 정착이 필요하다. 범죄자들이 교묘하게 조작된 메일을 발송하는 만큼 수신자는 악성 메일을 구분하기가 어렵다. 하지만 악성 메일은 클릭만으로 시스템을 감염시킬 수 있어 의심쩍은 메일은 열람 전에 전문가에게 신고해야 한다. 조직 내부적으로 모의 훈련을 진행하거나, 악성 메일 수신 시 보안 전문가나 메일 솔루션 담당자에게 빠르게 신고할 수 있는 프로세스를 구축해 두는 것도 한 방법이다.
셋째, 2단계 인증 방식을 사용해야 한다. 2단계 인증 방식이란 아이디와 비밀번호 입력 후 사전에 설정한 추가 인증을 거쳐야만 로그인할 수 있는 이중 보안 서비스이다. 일회용 비밀번호(OTP) 등을 활용한 2단계 인증 방식을 사용하면 사이버 범죄자가 개인정보를 탈취해도 로그인을 할 수 없어 중요 정보를 보호할 수 있다. 회사는 물론 클라이언트, 거래처의 핵심 정보를 지키기 위해서 조직 차원에서 2단계 인증 사용을 방침으로 정하고 메일 사용자들이 2단계 인증 방식을 의무적으로 이용하게끔 해야 한다.
끝으로 사용자 자신의 주의도 필요하다. 기업 차원에서 강력한 메일 보안 체계를 구축해도 이용자의 보안 의식이 낮으면 언제든지 뚫릴 수 있다. 악성 메일 범죄는 사용자가 경각심을 갖는 것만으로도 큰 해킹 피해를 막을 수 있기에 반드시 개인 차원의 노력이 동반돼야 한다.
안수민 기자 smahn@etnews.com
