[아이티투데이 이경탁 기자] 최근 한 국내 대기업이 이메일 해킹 무역 사기, 이른바 ‘스캠’에 의해 수십억 대의 피해를 본 사실이 밝혀지며, 이메일을 이용한 사이버 위협에 대한 경각심이 한층 커지고 있다.

경찰청 자료에 따르면, 지난 해에는 150여건의 이메일 해킹 무역 사기가 발생했고, 올해 4월까지 벌써 40여 건의 피해 사고가 접수된 것으로 나타났다. 알려지지 않은 이메일 해킹 무역 사기도 상당할 것으로 추정되고 있어, 실질적인 피해 규모는 더 클 것으로 보인다.

이메일을 통한 지능형 표적 공격은 사람의 심리를 교묘하게 이용하는 것이 특징이다. 우선, 공격자는 상대적으로 보안 수준이 높지 않고 많은 외부 이메일을 수신하는 사람을 선별해 1차 표적으로 삼고, 이들이 아무런 의심 없이 첨부된 파일 혹은 포함된 링크를 클릭할 만한 악성 메일을 보낸다. 공신력 높은 공공기관 또는 협력사의 이메일 계정인양 위장하거나, 개인의 취미와 관심사를 반영한 악성 메일을 보내는 식이다.

1차 표적이 악성 메일을 확인함에 따라 PC를 장악하게 된 공격자는 지속적으로 시간을 들여 악성코드를 잠복, 은닉시키는 방법으로 기업 내 장악력을 확대해 나가다가, 이득이 될 만한 내용을 발견하면 2차 공격을 시행한다. 최고 경영자나 임원의 이메일 계정을 도용하여 거래 대금을 허위 은행계좌로 송금하라는 지시가 담긴 메일을 보내거나, 거래처 담당자인양 위장하여 평소와 다른 계좌로 대금을 송금하라고 유인하는 식이다. 또는, M&A, 지적 재산권과 관련된 기밀 데이터를 발견해 유출하기도 한다.

이와 같이, 이메일을 통한 지능형 표적 공격은 개인에게 정신적, 금전적 피해를 야기할 뿐만 아니라, 개인이 소속된 기업의 생존 경쟁력을 떨어뜨리는 막대한 피해를 야기할 수 있다. 특히, 자원과 예산의 제약으로 보안에 취약한 중소기업의 경우 공격의 대상이 되기 쉬울뿐더러, 공격에 의한 피해를 복구하거나 손실 금액을 회수하지 못한다면 자칫 기업의 문을 닫아야만 하는 극한 상황에 처할 수도 있다.

실제로, 버라이즌이 2015년에 발표한 ‘데이터 유출 조사 보고서’에 따르면, 기업에 발송된 악성 이메일의 30%가 임직원에 의해 열람되었고, 12%의 임직원이 악성 메일에 포함된 악성 파일 또는 링크를 클릭해 악성 공격이 성공한 것으로 나타났다. 또한, 올 초 미국 연방수사국(FBI)가 발표한 보고서에 따르면, 전 세계 1만 2천여 개 기업이 ‘이메일 스캠’에 의해 2013년 10월부터 2015년 8월까지 약 20억 달러(약 2조 4천 7백억 원)에 달하는 금전적 손실을 입은 것으로 나타났다.

■ 고도화되는 이메일 공격...기업 임직원 인신 제고 위해 훈련 필요

이에 한층 고도화되는 이메일 공격에 맞서, 공격의 표적이 되는 임직원들의 보안 인식 수준을 점검하고 이를 높일 수 있는 구체적인 방법론을 마련해야 한다는 이야기가 나오고 있다. 많은 임직원들이 악성 이메일의 위험성은 인지하고 있으면서도, 어떤 유형의 메일이 위험한지, 어떤 수법으로 위장하는 지에 대해서는 알지 못해 공격에 당하는 경우가 빈번히 발생하고 있다는 지적이다.

다년간 보안관제 서비스를 제공해온 이글루시큐리티는 지속적인 반복 훈련을 통해 임직원의 보안 수준을 높여야 한다고 강조한다. 임직원들이 악성 메일을 받았다 하더라도 이를 열람하지 않고, 열람했더라도 본문에 삽입된 악성 링크, 첨부된 악성 파일을 확인하지 않는다면 공격을 피할 수 있는 만큼, 임직원의 보안 수준을 높이는 데 주력할 필요가 있다는 얘기다.

▲ 악성메일 모의훈련 프로세스 (자료=이글루시큐리티)

이글루시큐리티는 이메일 본문 내 삽입된 악성 URL과 알려진 악성코드를 차단할 수 있는 메일 보안 솔루션 ‘이스코트 3.0’과 더불어 실제 공격과 유사한 형태로 진행되는 ‘악성메일 모의 훈련 서비스’를 제공하고 있다. 임직원의 이메일 보안 위협 노출 현황을 정확하게 파악하고 공격의 유효성에 대한 인텔리전스를 확보함으로써 기업의 방어력을 높이는 데 도움을 주기 위해서다.

이글루시큐리티의 ‘악성메일 모의 훈련’은 고객사의 사업 형태, 임직원의 보안 수준, 이글루시큐리티가 보안관제를 수행하는 보안관제 사이트에서 수집, 분석된 최신 위협 요소, 사회적 이슈를 반영한 공격 시나리오를 제작한 후, 가상의 계정에서 악성 메일을 고객사 임직원에게 발송하는 방식으로 진행된다.

모의 훈련을 마친 후에는 부서별 개인별로 임직원의 이메일 보안 위협 노출 현황을 상세하게 파악한다. 수신자의 의심을 피해 들어온 악성 메일은 무엇인지, 어떤 임직원이 어떤 악성 파일 및 링크를 확인 했는지 등을 확인하여 이에 부합하는 차기 훈련 및 교육을 실시하기 위한 것이다.

이글루시큐리티 김동현 수석부장은 “업무와 관련된 상당수의 커뮤니케이션이 이메일을 통해 이루어지고 있는 만큼, 이메일을 통해 악성코드를 침투시키는 지능형 표적 공격은 지속적으로 증가할 것으로 보인다. 이메일 보안 솔루션을 도입해 강력한 방어막을 형성하는 동시에, ‘악성메일 모의 훈련 서비스’를 실시해 임직원의 보안 수준을 근본적으로 높일 필요가 있다고 보여진다”고 말했다.

키워드

#악성메일 #이메일 공격 #이글루시큐리티
저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지