부동산 정보나 홈페이지 접속을 유도하는 뉴스레터 등 유해정보 관련 스팸메일을 누구나 수신하였을 것이다. 수신자의 의사와 상관없이 일방적으로 전송되는 불필요한 광고성 메일이 스팸메일이다. 이런 스팸메일은 차단 기능에 의해 자동으로 스팸메일로 분류된다. 포털의 웹메일이나 기업 등에서 사용하는 그룹웨어 서비스 스팸메일은 대부분 차단이 가능하다.
최근의 이메일 공격은 대량의 메일을 무작위로 보내는 일반 피싱이나 스팸메일과 다르다. 공격하고자 하는 특정 타깃을 정해 일정 기간 정보를 수집해서 분석하고 지능적으로 공격한다. 일명 스피어피싱(Spear phishing)이라고 하는 작살형 공격이다. 작살로 원하는 물고기만 잡듯이 특정 타깃을 공격하기 때문에 탐지가 어렵다. 이런 메일은 수신자에게 큰 피해를 끼친다.
요즘은 기준금리 인상과 우크라이나 전쟁 등으로 인해 세계정세가 매우 혼란스럽다. 해커는 이런 혼란을 틈타 더욱 교묘하게 허점을 공격하는 메일을 발송한다. 사람의 불안한 심리를 자극하는 수법으로 메일을 보내거나 평소 신뢰하는 고객과 협력사 또는 내부 직원을 사칭한 이메일을 발송한다. 이런 진짜 같은 가짜 메일이 피해를 유발한다.
악성 파일과 악성 링크를 유도하는 해킹 메일은 보안 솔루션(운영시스템)으로 충분한 대응이 가능하다. 美 연방수사국(FBI) 자료에 의하면 세계 기업 중 이메일 사기 공격(BEC; Business Email Compromise)을 당한 비율이 51%에 이르는 것으로 나타났다. 기업이나 조직의 보안을 위협하는 요소는 다양하다. 그중 새로운 이메일 사기 공격 수법이 심각한 위협으로 떠올랐다.
국내의 기업도 이메일 사기 공격을 당해 거액의 손해를 보거나 내부정보가 유출되는 등 피해가 큰 것으로 나타났다. 특히 기업의 최고 경영자나 임원을 사칭하고 회사 프로세스와 절차, 메일 내용까지 분석하여 진짜 같은 가짜 메일을 보내기 때문에 정상 여부를 판단하기 어렵다. 하루에도 출처가 불분명한 해외 발송의 메일이 다수 수신된다.
대부분 기관과 기업이 피해 예방을 위해 정기적으로 보안교육을 실시하고 있다. ‘메일 수신 시 주소 이상 유무 확인과 미확인 발신자 메일 및 첨부파일 또는 링크는 클릭하지 않는다.’라는 내용이 일반적이다. ‘아무것도 신뢰하지 않는다’라는 것을 전제로 한 사이버 보안 모델인 제로 트러스트(Zero Trust) 개념이다. 누가 메일을 보냈는지 의심하라는 것이다.
현재는 사용자가 메일이라는 기본적인 업무 수단을 이용하기 위해 주의와 권고, 예방수칙과 모의훈련 등으로 공격을 당하지 않도록 스스로 방어하고 있다. 업무용으로 메일을 이용하는 사용자가 이메일 사기 공격을 구분하기는 쉽지 않다. 해커는 메일 주소를 똑같이 위장해 보내기 때문에 구분이 어렵다. 이메일 사기 공격은 이러한 교육을 받은 사람도 공격할 수 있도록 위장하기 때문에 기술로 사용자를 보호하는 구조가 요구된다.
스팸메일과 멀웨어, 랜섬웨어 등 메일에 포함돼 사용자에게 직접 피해를 발생시키는 악성 파일을 차단하는 것이 중요하다. 하지만 먼저 메일이 어떤 서버에서 누가, 어떻게 발송했는지 발신자 정보 확인이 우선이다. 기타 사항은 후에 확인해도 된다. 메일 보안의 첫걸음이자 기본은 누가 어떻게 보냈는지 검증하는 기술이다.
정순채 동국대학교 융합교육원 겸임교수·경희사이버대학교 객원교수·법무법인 린 전문위원