#. 여행을 즐겨 하는 A사 재무팀 조정석 대리는 최근 아이슬란드 특가 여행 상품을 소개하는 이메일을 열어보았다가 큰 낭패를 겪었다. 이메일에 첨부된 안내 링크를 클릭했는데 말로만 들었던 랜섬웨어에 그만 감염되고 만 것이다. 조대리의 컴퓨터에 저장된 주요 업무 문서 모두가 암호화 되어 열리지 않았고, 컴퓨터 화면에는 파일을 복구하고 싶으면 5일 내 비트코인으로 100만원을 지불하라는 메시지가 떴다.
이메일을 공격 경로로 삼고 이에 첨부된 악성 파일 또는 정상적 사이트를 위장한 링크 클릭을 유도하는 보안 위협이 빠른 속도로 증가하고 있다. 업무를 비롯한 상당수의 커뮤니케이션이 이메일을 통해 이루어지고 있는 만큼, 대부분의 사람들이 이메일에 첨부된 파일이나 URL을 의심 없이 열어 볼 확률이 높기 때문이다.
실제로 한국랜섬웨어침해대응센터 조사 결과에 따르면, 취약한 인터넷 사이트 접속(67%)과 이메일 첨부파일 확인(25%)이 랜섬웨어의 주요 감염 경로로 집계된 것으로 나타났다.
이메일을 통한 공격은 사람의 심리를 악용하는 사회공학적 기법을 적극 활용하는 것이 특징이다. ‘연봉계약서’, ‘인보이스’ 등 직장인이라면 그냥 지나칠 수 없는 이름으로 위장한 악성 파일을 첨부하거나, 최근 발생했던 청와대, 외교부, 통일부 사칭 이메일 사례와 같이 공신력 높은 공공기관 혹은 협력사의 메일 계정인양 가장하는 방식이다.
또는 앞서 예로 들었던 특가 여행 상품 위장 이메일과 같이, SNS 채널을 통해 공격 대상에 대한 개인 정보를 입수한 뒤 개인의 취미와 관심사를 반영한 공격을 감행하기도 한다.
악성 메일은 개인에게 금전적, 정신적 피해를 입히는 것에서 더 나아가 개인이 소속된 집단의 주요 정보가 유출되고 시스템을 마비시키는 막대한 피해를 야기하기도 한다. 상대적으로 보안 수준이 높지 않고 많은 외부 이메일을 수신하는 팀원을 1차 표적으로 삼아 악성 메일을 보내 PC를 장악한 후, 지속적으로 시간을 들여 악성코드를 잠복, 은닉시키는 방법으로 기업 내 장악력을 확대해 나가기 때문이다. 이메일 피싱 수법을 통해 국무부 이메일 계정을 해킹한 공격자가 백악관 이메일 저장소에 접근해 오바마 대통령의 이메일 내용을 유출했던 사건이 대표적이다.
■ 기업의 소중한 정보자산 보호...무엇이 필요한가?
이와 같이, 기업의 정보 자산을 노리는 이메일 공격이 한층 고도화되고 있는 만큼, 기업과 기업의 보안 관리자들은 한정된 예산, 시간 내에서 소중한 정보 자산을 안전하게 보호해야 한다는 어려운 과제에 직면하고 있다.
기업의 소중한 정보 자산을 안전하게 보호할 수 있는 방어 체계를 구축하기 위해 기업이 우선적으로 고려해야 할 요소는 무엇일까? 크게 3가지 기본 요소를 얘기해 보고자 한다.
그 첫 단추는 공격의 표적이 되는 임직원들의 보안 인식 수준을 점검하고 이를 높일 수 있는 구체적인 방법론을 마련하는 데서 시작한다. 많은 임직원들이 악성 이메일의 위험성은 인지하고 있으면서도, 어떤 유형의 메일이 위험한지, 어떤 수법으로 위장하는 지에 대해서는 알지 못해 공격에 당하는 경우가 빈번히 발생하고 있기 때문이다.
임직원들이 악성 메일을 받았다 하더라도 이를 열어보지 않고, 열어보더라도 본문에 삽입된 악성 링크, 첨부된 악성 파일을 확인하지 않는다면 공격을 피해갈 수 있는 만큼, 실제 공격과 유사한 형태의 모의 훈련을 통해, 임직원의 이메일 보안 위협 노출 현황을 정확하게 파악하고 공격의 유효성에 대한 인텔리전스를 확보할 필요가 있다고 생각된다.
실제로 많은 기업, 기관들이 ‘악성메일 모의 훈련 서비스’ 도입을 통해 임직원의 보안 인식 제고에 나서고 있다. 임직원의 의심을 피해 들어온 이메일 공격은 무엇인지, 어떤 임직원이 어떤 악성 파일, 링크를 확인 했는지 등 부서별 개인별로 대응 상태를 상세하게 파악하고, 이에 부합하는 차기 훈련, 교육을 실시하는 형태다.
임직원의 보안 인식 제고와 더불어, 이메일 본문 내 삽입된 악성 URL과 알려진 악성코드를 차단할 수 있는 보안 솔루션의 도입 역시 적극적으로 고려할 필요가 있다. 많은 메일 수신자들이 정상 사이트를 가장한 혹은 악성코드 경유지로 악용되는 악성 URL의 위협에 노출되어 있을뿐더러, 기존 알려진 악성코드를 활용한 공격 역시 지속적으로 발생하고 있기 때문이다.
그렇기 때문에 메일 수신자에게 메일이 도달하기 앞서, 메일의 악성 URL을 자동적으로 탐지, 차단하고, 전 세계적으로 쏟아지는 방대한 위협 정보를 빠르고 정확하게 수집, 분석하여 백신에 업데이트할 수 있는 전문적 보안 역량이 뒷받침 되어야 할 것으로 보인다.
더 나아가, 알려지지 않은 악성코드에 의한 또는 소프트웨어 취약점을 노리는 공격에도 유연하게 대응할 수 있어야 한다. 문서 작성 및 뷰어 또는 웹사이트 내 광고 플랫폼 등 일상적으로 사용되는 프로그램의 알려지지 않은 취약점을 제조사보다 먼저 찾아 변종 악성코드를 유포하거나, 최신 발생한 공격 패턴이 미처 백신에 업데이트 되기 이전에 공격을 감행하는 사례도 꾸준히 발생하고 있기 때문이다.
이에 따라 가상환경에서의 행위 분석 및 소프트웨어 취약점 분석 엔진 등을 적극적으로 활용하여 이와 같은 공격 위협에 보다 기민하게 대응해야 할 것으로 보인다.
회의, 전화, 메신저 등 여러 수단이 있지만, 이메일은 단연 기업 내 많은 임직원들과 손쉽게 교류하고 협업할 수 있는 효율적인 도구임에 틀림없다. 누구나 이메일의 중요성과 효율성에는 공감하는 만큼, 기업의 보안성을 높일 수 있고 임직원의 보안 인식을 높일 수 있는 서비스와 솔루션 도입을 통해 날로 고도화되는 이메일 위협에 원만히 대응하였으면 하는 바램이다.