글로벌 사이버 얼라이언스(GCA)는 이메일을 이용한 사이버 공격 차단에 보안 기업이 적극적으로 나서야 한다고 촉구했다. GCA는 뉴욕카운티 검사장 사무실, 런던 경찰국, 인터넷보안센터가 공동으로 세운 비영리기관으로, 사이버 위험에 대응하고 사이버 세계를 개선해 나가는 국제기관이다.
‘스피어피싱’이라고도 불리는 이메일 공격은 가장 오래되고 보편적인 공격 기법으로, 사회공학적 기법을 적용해 정교한 타깃 공격 수단으로 이용되거나, 비즈니스 이메일 사기(BEC), 다수 대중을 대상으로 한 공격에도 이용된다.
GCA는 도메인 기반 메시지 인증 보고 및 준수(DMARC) 시스템이 이메일 공격 방어에 좋은 방법으로, 특정 기관명을 이용해 사이버 공격을 자행하는 스팸 및 피싱을 차단할 수 있다고 설명하면서, 이를 도입한 공공·민간 기관은 극소수에 불과하다고 지적했다.
DMARC는 기관 브랜드 또는 상호를 이용한 스팸, 피싱, 스피어피싱에 대해 인사이트를 제공한다. 이 시스템은 미국 소비자들의 이메일 수신함(지메일, 야후, 마이크로소프트 등) 85%와 전 세계 25억 개의 이메일 수신함을 기반으로 한다. 하지만 민간기업과 정부기관의 DMARC 도입률은 저조하다.
영국 정부는 산하 기관들에 DMARC 실행을 직접 권고했으나, 2016년 12월 기준으로 공공부문의 DMARC 도입률은 5%에 그쳤다. 헬스케어 부문의 도입률 역시 16%에 불과했다.
조직적 사이버 리스크 연구에 특화된 크로스 섹터 국제기관 GCA는 최근 진행한 조사를 통해 사이버보안 업계의 도입률 역시 낮다는 사실을 밝혀냈다.
세계 최대 규모의 사이버보안 행사인 RSA 컨퍼런스에 참석한 기업들을 조사한 결과, 기업들의 이메일 도메인 587개 중 DMARC를 사용하는 비율은 15%에 그쳤다. DMARC를 도입한 90개 기관 중 66% 이상이 DMARC 정책을 ‘비활성화’로 설정해 이메일 도메인만을 모니터링하고 있었고, 그 결과 DMARC을 제대로 활용하지 않고 있었다.
이에 세계 사이버보안 업계가 DMARC 도입에 앞장설 때가 왔다고 GCA는 촉구하고 있다. 얼라이언스는 기관들의 DMARC 도입을 적극 장려하고 있으며, DMARC 확산을 위해 무료로 DMARC 셋업 가이드를 개발했다.
DMARC를 적절히 도입하는 것은 그만큼 확실한 효과를 가져다 준다. 연구 결과, DMARC 도입 기관들이 받는 이메일 공격은 나머지 기관들이 받는 공격의 23%에 불과했다.
