지난 1월 초, 통일부 소속기관 중 한 곳에서 한국에 정착한 탈북민의 개인정보가 도난당했다는 사실이 확인됐다. 거의 1천 여 명에 달하는 인원의 이름, 생년월일, 주소 등 개인정보를 도난당한 이 사건의 발단은 바로 ‘이메일’이었다. 공격자가 교묘히 정체를 사칭해 악성코드가 숨겨진 파일을 첨부한 이메일을 보냈고, 소속기관 직원이 이메일을 확인하면서 해킹을 당한 것이다. 물론 중요한 정보를 관리하는 기관이니 개인의 부주의도 문제겠지만, 이메일을 통한 공격 자체가 날이 갈수록 진화하고 있기에 조직 전체가 이에 대한 경각심을 지녀야 한다.
파이어아이에 의하면, 사이버 공격 중 91%가 이메일을 통해 침입하며 모든 조직에 있어 가장 큰 취약점이다. 특히 회사 CEO를 사칭해 이메일로 공격하는 ‘사칭 공격(impersonation attack)’을 비롯해 단 한 건의 이메일로도 기업은 치명적인 브랜드 이미지 손상과 재정적 손해를 입을 수 있다.
이메일을 통한 공격을 모색하는 사이버 범죄자들은 성공적인 공격을 위해 기존 공격 방식을 발전시켜 나가는 것 이외에도 항상 새로운 공격 전술을 강구하면서 기존 이메일 보안 솔루션보다 한 발 더 앞서나가려 시도하고 있다. 이에 피싱 사이트로 이어지게 하는 ‘사칭 공격’이야 말로 사이버 범죄자들의 공격이 어떻게 한층 더 효율적이고 효과적이 될 수 있는지 보여주는 좋은 사례이다.
사이버 범죄자들은 사람들이 CEO를 비롯해 신뢰할만한 인물이 보내는 이메일로 생각되면 내용이 다소 모호하더라도 이메일을 확인할 가능성이 더 높기 때문에 사칭 공격을 목적으로 하는 이메일에 피싱 링크를 포함하면 더 많은 사람들에게 내용이 전달될 수 있다는 점을 알아냈다. 사칭 공격의 타깃이 된 유저들은 신뢰할 수 있는 내용을 보는 것이라 믿기 때문에, 이러한 이메일 내 링크를 확인할 가능성이 다른 피싱 공격에 걸려들 가능성보다 높다. 한 번 클릭하면 링크로 연결된 피싱 사이트는 악성코드 페이로드 또는 크레덴셜 탈취 사이트로 이어지게 할 수 있어 한층 효율적인 이메일 공격 전술이라 할 수 있다.
CEO 사기나 비즈니스 이메일 침해(business email compromise, BEC) 같은 사칭 공격 사례는 더욱 많이 발생할 것으로 예상된다. 이러한 공격은 보통 텍스트 기반이고 평범한 트래픽으로 보이기 때문에 이메일 보안 솔루션으로도 탐지해내기 어렵고, 한 번 이메일 인박스로 전송되면 유저가 이메일이 안전한지 혼자 판단할 수 밖에 없다.
실제로 파이어아이는 지난 수 년 간, 경영진을 사칭하는 공격(executive impersonation attacks)에 의해 기업 이메일 피해사례가 늘어나는 것을 목격한 바 있다. 공격자들은 사람들이 경영진이 보낸 것으로 보이는 이메일에 자주 반응한다는 사실을 확인하고 있으며 이에 따라 사칭하는 공격들이 계속해서 중요해지고 있다. 또한 최근 클라우드 마이그레이션이 활발한 가운데 클라우드 보안에서 가장 유의해야 하는 사항이 이메일 보안이니, 기업 입장에서 이메일 1건이라도 주의를 기울일 수 밖에 없다.
이렇듯 다양한 전술을 활용하는 교묘한 사이버 범죄자들보다 한 발 앞서기 위해서는 우선 변화하는 사이버 위협요소에 효과적으로 대응할 방어 솔루션을 확보해야 한다. 예로 파이어아이는 경영진 사칭 보안은 클라우드 기반 이메일 보안 솔루션의 일반적인 기능으로 등장하고 있지만 사내 이메일의 경우에는 그렇지 않은 점을 고려해, 한층 업데이트한 ‘이메일 보안 서버 에디션’을 선보인 바 있다. 이는 발신자 표시이름과 헤더 위조로부터 직원을 보호하고, 사칭 징후를 나타내는 메일 헤더에는 표시를 한다.
이러한 지능형 이메일 보안 솔루션을 선택했다면, 그 다음 단계는 기업이 직원들에게 한층 강화된 보안 관련 교육을 제공하는 것이다. 직원들이 이메일을 받았을 때 발신자와 직접 확인하도록 교육하면 사이버 공격의 피해를 입을 가능성을 낮출 수 있다. 뛰어난 기술 및 솔루션 도입과 직원 하나하나의 경각심이 합쳐진다면, 조직들은 더욱 더 위협적으로 변모하는 사이버 보안 환경에서도 나아갈 수 있을 것이다.