[보안칼럼]이메일 사기공격(BEC) 대응 방안

[보안칼럼]이메일 사기공격(BEC) 대응 방안

부동산, 유해정보, 뉴스레터. 누구나 한 번쯤은 받아 보는 스팸메일이다.

예전에는 스팸메일을 차단해야 하고, 위험한 메일이라고 생각했지만 최근엔 상황이 매우 달라졌다. 진짜 스팸메일은 자동으로 스팸메일함에 들어가기 때문에 확인조차 어렵다. 대부분 웹메일서비스와 그룹웨어서비스에서 제공하는 스팸메일 차단 기능만으로는 스팸메일을 거를 수 있다.

우리에게 해를 끼치는 메일은 따로 있다.

요즘은 세계 정세가 매우 혼란하다. 이 틈을 타 해커는 더욱 교묘하게 허점을 공격하는 메일을 발송한다. 사람의 불안한 심리를 자극하는 수법으로 사칭 메일을 보내거나 평소 신뢰하는 고객·협력사 또는 내부 직원을 사칭한 이메일을 발송한다. 이런 진짜 같은 가짜 메일이 피해를 유발한다. 악성파일과 악성링크를 유도하는 해킹메일은 최근 출시된 보안 솔루션으로 충분히 대응할 수 있다. 그럼에도 FBI보고서에 따르면 세계 기업 가운데 이메일 사기공격(BEC; Business Email Compromise)에 당한 비율이 51%에 이른다. 기업이나 조직의 보안을 위협하는 요소는 다양하지만 BEC 수법이 심각한 위협 가운데 하나로 떠올랐음은 확실하다.

이미 국내의 크고 작은 기업은 BEC에 당해 거액의 손해를 보거나 내부정보가 유출되는 등 피해가 막심하다. 특히 기업의 CEO나 임원을 사칭하고 회사 프로세스와 절차, 메일 내용까지 분석한 후 진짜 같은 가짜 메일을 보내기 때문에 정상 여부를 판단하기가 어렵다.

공격은 대량의 메일을 무작위로 보내는 피싱 메일과 다르다. 특정한 타깃을 정해 일정 기간 정보를 수집해서 분석하고, 지능적으로 공격한다. 이 때문에 탐지가 어렵고, 피해 금액 규모 또한 크다.

이렇게 발신자를 속이는 BEC는 기업과 개인에게 많이 알려져 있다. 고객센터와 경찰청, 국세청과 거래처, 입사지원서를 사칭한 메일부터 해외에서 발송된 출처가 불분명한 메일이 하루에도 수십통씩 쏟아진다. 문제는 익숙하지만 그것을 확인하기 어려워서 수신할 수밖에 없고, 그로 말미암은 피해가 불가피한 게 현실이다. 많은 기관·기업이 피해를 줄이기 위해 내부적으로 정기 보안 교육을 시행하고 다양한 보안 대책을 마련한다.

'메일 주소가 이상한지 확인하고, 누가 보냈는지 모르는 메일은 열어 보지 않는다. 첨부파일이나 링크는 클릭하지 않는다.'

사용자에게 권고하는 BEC 피해 예방 방안이다. 이 방안의 공통점은 제로 트러스트 이념과 같다. 즉 발신처를 따지지 말고 메일을 의심하라는 것이다.

조금 냉정하게 말하면 누가 메일을 보냈는지 의심하라는 것이다. 바꿔 말하면 누가 보냈는지 검증하고, 어떠한 메일 서버를 통해 발신됐는지 확인된 메일은 열어 봐도 된다는 의미다.

지금은 주의, 권고, 수칙, 모의훈련 등을 통해 사용자가 메일이라는 기본 업무 수단을 사용하며 사용자 스스로 교육받고 안전을 지켜야 하는 상황이다. 하지만 사용자가 BEC를 구분한다는 것은 사실상 불가능하다. 해커는 메일 주소를 똑같이 보내기 때문에 구분할 수가 없다. BEC는 이러한 교육을 받은 사람도 공격할 수 있도록 위장하기 때문에 기술로 사용자를 보호하는 구조를 만들어야 한다.

스팸메일, 멀웨어, 랜섬웨어 등 메일에 포함돼 사용자에게 직접 피해를 낳는 악성파일을 차단하는 것도 중요하지만 메일이 어떤 서버에서, 누가, 어떻게, 들어왔는지 우선 확인해야 한다. 발신정보를 먼저 확인한 후 이외 사항은 후속으로 체크해야 한다. 누가 어떻게 보냈는지 검증하는 기술이 바로 메일보안의 첫걸음이자 기본이다.

정희수 리얼시큐 대표 sky@realsecu.net