스피어피싱과 사칭메일은 기업 입장에서 가장 교활한 사이버 공격이다. 단순 대량 피싱과 달리, 특정 조직이나 개인을 타깃으로 정교하게 설계한 공격이기 때문이다.
지난해 '비상계엄 문건 공개'라는 제목의 사칭메일로 120여명이 개인 정보를 탈취당했다. 2023년 홍콩 금융사 직원은 딥페이크 기술을 악용한 사칭메일에 속아 약 340억원을 송금했다.
이러한 공격은 기술적 취약점이 아닌 수신자의 심리와 신뢰를 표적으로 삼는다. 정상 업무메일처럼 정교하게 위장해 수신자의 경각심을 무너뜨리고, 긴급성과 권위성을 내세워 행동을 유도한다.
이메일 공격에서 스피어피싱과 사칭메일 비중이 늘어나는 이유는 세가지다.
첫째, 생성형 인공지능(AI)의 확산으로 정교하게 위장한 메일을 대량으로 제작할 수 있게 됐다. 둘째, 공격자들의 기존 보안기술을 효과적으로 우회하는 공격 기술의 발전이다. 최근에는 악성코드나 피싱 링크가 없는 이메일 공격이 급증해 기술적 필터링만으로 이를 탐지하기 어렵다. 셋째, 높은 수익성이다. FBI 보고서에 따르면 2024년 BEC 공격으로 인한 글로벌 기업 피해액은 약 27억7000만달러에 달한다. 2023년 국내 기업의 52%가 BEC 공격을 받았고 이 가운데 15% 이상은 금전적 손실을 입었다.
스피어피싱과 사칭메일을 효과적으로 차단하려면 계층적이고 통합된 전략과 실행이 필요하다.
첫째는 메타데이터 검증이다. 이메일 헤더 정보를 분석해 발신 메일의 진위를 확인한다. 정상 메일은 Return-path, Authentication-Results, Received 등 헤더 정보가 일관성 있게 남아 있다. 피싱이나 사칭 메일은 이러한 정보가 불일치하거나 불완전하다.
둘째, IP주소와 서버 검증으로 발송 서버의 정당성을 확인한다. 발신정보 검증기술, DNS조회, 서버 운영 이력, 할당된 IP 범위 검증을 통해 정상과 해킹 메일서버를 구분할 수 있다.
셋째, RFC 표준 준수 여부를 확인한다. 이메일 프로토콜 국제 표준인 RFC5321, RFC5322를 엄격히 적용하면 위조 발신자 정보나 변조 메일 구조를 탐지할 수 있다. 공격자는 빠른 전송이나 탐지 회피를 위해 이 표준을 위반하는 경우가 많다.
넷째, 행동 기반 분석이다. 발신자의 과거와 현재 이메일 발신의 일관성을 분석해 평소와 다른 시간대 발송, 일반적이지 않은 수신자 그룹, 비정상적 요청 내용 등이 감지되면 추가 검증한다.
사내 이메일 사용자 교육도 중요하다. 발신자명 위조, 도메인 유사성 확인, 긴급 상황을 가장한 수법 등을 이해하고 있어야 한다. 기업은 정기적 악성메일 모의훈련을 실시해 임직원의 피싱 회피율을 높이는 것이 필요하다.
마지막으로 기업은 조직 차원에서 이메일을 '전사적 보안 대상'으로 인식해야 한다.
sky@realsecu.net