[데이터넷] 이메일은 초기 침투를 위해 가장 많이 사용되는 도구다. 사이버 공격의 91%가 이메일을 이용하고 있으며, 사용자들이 가장 관심을 가질만한 이슈, 업무와 관련된 내용으로 위장한다.

악성코드 없이 메일만으로 공격하는 스캠도 증가하고 있다. 금융감독원의 지난해 조사에 따르면 2016년부터 2021년까지 5년간 무역회사를 대상으로 한 이메일 해킹 무역사기가 2582건, 1억1600만달러 규모의 피해를 일으킨 것으로 나타났다. 이들은 거래처 자금담당 임원으로 위장해 거래대금을 위장계좌로 보내도록 유도하거나 중개무역을 구실로 피해 기업을 사기자금 수령 통로로 악용한다.

정희수 리얼시큐 대표는 “보안 탐지를 우회하도록 설계된 악성메일을 차단하기 위해 사용자들에게 메일 열람 시 주의해야 한다고 교육하고 모의훈련을 통해 보안습관을 갖도록 하고 있지만, 악성메일은 사용자의 업무 특성과 습관을 교묘하게 이용하기 때문에 이러한 방법으로 막을 수 없다. 정교하게 정상메일로 위장한 공격에 이용당했을 때 그 피해와 책임을 사용자에게 물을 수 없다”고 지적했다.

DMARC로 사칭메일 차단

악성메일 공격자들은 거래처 담당자, 신뢰할 수 있는 사이트의 프로모션 계정, 관계기관 계정 등으로 교 묘하게 위장하며, 정상 업무와 동일한 포맷의 문서와 언어를 사용해 피해자들이 의심하지 않게 한다.

메일보안 시스템은 블랙리스트 방식을 적용해 알려진 공격만을 차단하며, 제로데이 취약점 공격을 차단하지 못한다. 안티바이러스(AV), 샌드박스를 통해 알려졌거나 알려지지 않은 공격을 차단할 수 있다고 하지만, 대부분의 공격은 시그니처에 없는 공격도구를 사용한다. 샌드박스는 공격자가 쉽게 우회할 수 있으며, 샌드박스 분석에 5분 이상 시간이 걸리기 때문에 업무 생산성과 직결되는 메일 업무 전체에 인라인 방식의 샌드박스 분석을 적용할 수 없다.

사칭메일을 차단하기 위해 메일 서버 등록제(SPF), 도메인 키 식별 메일(DKIM), 도메인 기반 메시지 인 증 보고 및 적합성(DMARC) 등이 제안되는데, 이는 수·발신측 모두에 적용돼 있어야 한다. 디지서트는 ‘상표 표기 인증서(VMC)’를 통해 더 많은 기업들이 DMARC를 사용할 수 있도록 독려하고 있다.

기업이 자사에서 발송하는 메일에 VMC 로고를 첨부하면 수신자가 메일을 열어보기 전에 신뢰할 수 있는 기업에서 발송한 메일이라는 사실을 알 수 있어 사칭메일 공격에 노출될 가능성을 줄일 수 있다. 또한 디지서트는 클라이언트(S/MIME) 인증서를 이용해 이메일에 서명, 암호화하도록 하며, 스마트 씰을 통해 웹사이트 가 적법하다는 것을 확인시켜 사칭메일 여부를 쉽게 판단할 수 있게 한다.

나정주 디지서트코리아 지사장은 “VMC는 받은편지함에서 브랜드 로고를 보여줌으로써 브랜드 인지도와 오픈율, 고객 참여도를 향상시키고 이메일 신뢰를 높일 수 있게 한다. 디지서트는 이외에도 메일 신뢰도를 높일 수 있는 다양한 솔루션을 제공해 사칭메일로부터 고객과 기업, 브랜드를 보호한다”고 말했다.

특허받은 SMTP 응답코드 분석

보다 쉽게 사칭메일을 차단하는 솔루션도 있다. 리얼시큐는 사칭메일을 선제적으로 차단하기 위해 사설 메일서버에서 발송되는 메일을 차단하는 ‘리얼메일’을 제공한다.

대부분의 사칭메일은 공식 메일 도메인에 등록된 메일이 아니다. 공식 도메인에 등록되는 메일 계정은 단 하나밖에 없으며 중복 등록이 불가능하다. 그래서 공격자들은 사설 메일서버에 공식 이메일 계정과 유사한 계정을 생성해 사칭메일을 발송하게 된다.

리얼시큐는 수신된 이메일의 SMTP 응답코드를 분 석해 사설 메일서버에서 발송된 메일인지 여부를 확인한다. 정상 메일서버에서 발송된 메일은 SMTP 응답코드 250, 출처가 불분명한 메일서버에서 발송된 메일은 550 응답코드를 받는다. 550 응답코드를 받는 메일은 사칭메일로 분류하고 차단하거나 담당자·관리자에게 확인을 요청하도록 한다.

SMTP 응답코드 분석 방식의 사칭메일 차단 시스템은 우리나라 특허 등록, 미국 특허 출원 상태이며, 우 리나라 여러 기업·기관에 공급돼 호평받고 있다. 리얼메일을 도입한 국내 한 중견기업은 스팸메일 차단 시스템, 이메일 APT 방어 시스템과 함께 사용해 이메일을 이용한 다양한 위협에 효과적으로 대응하고 있다고 밝힌다.

정희수 대표는 “이메일은 업무용과 개인용을 함께 사용하기 때문에 해커가 악용하기 용이하다. 그래서 이메일 커뮤니케이션에 제로 트러스트 원칙이 반드시 필요 하다”며 “리얼메일은 발신인을 정확하게 파악한 후 수 신하도록 해 이메일 분야의 제로 트러스트 원칙을 구현 했다. 하반기 실시간 블랙리스트(RBL) 차단 기술과 샌드박스 기술을 접목해 더 정확한 사칭메일·악성메일 차 단 시스템으로 고도화할 것”이라고 말했다.

교육·훈련으로 악성메일 피해 줄여

공격자가 사칭메일만으로 공격하지는 않으며, 스팸메일 차단, 이메일 APT 공격 방어, 악성메일 모의훈련 등 여러 보안 솔루션 및 교육·훈련 서비스와 함께 사용해야 한다. 스팸메일 차단 솔루션은 지란지교시큐리티의 ‘스팸스나이퍼(SpamSniper)’가 대표적이다.

이 솔루션은 스팸·악성코드 첨부 메일과 메일 서버 공격을 차단하며, 내부 발송 메일에 대한 모니터링을 통해 기업의 중요 정보 유출을 차단한다. 지란지교시큐리티는 메일 패턴을 수집하고 트렌드를 분석하는 전문 조직이 하루 24회 이상 최신 스팸메일 패턴을 업데이트하며, 스캠, 피싱메일까지 대응한다.

지란지교시큐리티는 사용자들이 스스로 악성메일을 열람하지 않도록 습관화하는 악성메일 모의훈련 ‘머드픽스(MudFix)’도 제공한다. 머드픽스는 훈련용 악성 모의 이메일을 내부 임직원 메일로 발송하는 지속적인 훈련을 통해 악성 이메일 해킹을 예방하는 악성 이메일 모의훈련 솔루션이다. 머드픽스는 사람의 심리를 간파하는 해킹 기법에 대응하기 위해 전문가의 자문을 받아 사회공학 해킹 대응 훈련 기법을 탑재했다.

악성메일 모의훈련은 반복할수록 성과가 두드러지게 나타난다. 과학기술정보통신부와 한국인터넷진흥 원(KISA)이 민간기업을 대상으로 실시한 ‘2021년 하반기 사이버위기대응 모의훈련’ 결과, 훈련 재참여기업 의 악성메일 감염율은 3.6%, 신규참여기업 감염율은 8.0%로 나타나 훈련이 거듭될수록 대응능력이 향상된 다는 사실이 입증됐다.

이러한 성과에 힘입어 많은 기업·기관이 악성메일 모의훈련을 진행하고 있으며, 이를 돕는 전문 솔루션도 경쟁적으로 등장하고 있다. 투씨에스지의 ‘BSD(BS-Defense Trainer)’가 그 대표적인 솔루션으로, 실제 악성메일과 유사하게 구성된 훈련 콘텐츠를 기반으로 700종 이상 다양한 훈련 시나리오가 제공돼 효과적인 모의훈련을 수행할 수 있으며, 단계별로 진행되는 시나 리오 기반 훈련을 통해서 사용자가 실 제 악성메일을 받았을 때 신속한 대응 을 가능케 한다.

투씨에스지는 BSD 도입 기업이 처음 모의훈련 시 1/3이 감염되지만, 3회 정도 진행하면 감염률이 8% 미만으로 떨어진다는 결과를 강조하며 모의훈련을 통한 리스크 감소 효과가 높다고 설명했다. 공공기관은 매년 의무적으로 악성메일에 대한 모의훈련을 실시하도록 의무화했으며, 국내 대기업·금융기관에서도 정기적인 훈련을 통해 메일 보안을 강화하고 있다고 설명했다.

APT 방어 일환으로 악성메일 대응

악성메일은 APT 공격의 한 단계인 만큼, APT 공격 방어의 일환으로 접근하는 관점이 주를 이룬다. 시큐레터의 경우 메일에 포함된 비실행형 악성파일을 찾아 내는 기술을 통해 악성메일 공격에 대응한다. 대부분의 메일 솔루션은 신뢰할 수 없는 실행파일 첨부를 허 용하지 않으며, 특히 망분리 환경에서는 실행파일의 업 무망 유입을 기본 차단하기 때문에 실행파일 형태의 악성코드는 유입되기 어렵다.

공격자들은 문서와 같은 비실행형 파일에 악성코드를 숨겨 유입시키는 방법을 사용하며, 사칭메일이 가장 많이 사용하는 견적서, 이력서, 협조공문, 세미나 발표자료 등에 악성코드를 숨긴다. 시큐레터는 이러한 비실행형 파일에서 악의적인 행위로 의심되는 것을 리버스 엔지니어링 기법으로 분석해 악성행위를 사전에 차단하는 MARS 플랫폼을 제공한다. 여기에서 이메일의 악성파일을 제거하는 ‘MARS SLE’와 ‘MARS SLES’, 그리고 콘텐츠 무해화(CDR)를 통해 안전한 문서만 허용하는 ‘SCDR’을 제공한다.

트렌드마이크로의 이메일 보안 솔루션은 XGen 보안과 에이펙스 센트럴(Apex Central)을 결합해 피싱, 멀웨어 탐지 효과를 높인다. 트렌드마이크로는 이메일에 포함된 악성도구와 악성 URL을 찾을 뿐 아니라 무역 대금 사기와 같은 스캠, 비즈니스 이메일 침해(BEC)를 차단한다. 머신러닝 기반 안티 멀웨어, 추가 행동 분석을 위한 샌드박스, 사용자가 링크를 클릭할 때 실 시간 URL 분석 등을 지원한다.

다크트레이스는 AI를 활용해 이메일의 위협을 자동으로 탐지하고 차단하는 ‘안티제나 이메일(Antigena Email)’을 소개한다.이 솔루션은 수신메일을 격리한 후 블랙리스트, 시그니처, 사전 정의된 위협과 비교해 상관관계를 분석하며, AI를 이용해 이상패턴을 찾아 조치한다. 스피어피싱, 사회공학 기법을 동원한 사칭 메일·악성메일, 공급망 계정 탈취, BEC 등에 지능적으로 대응한다.

포티넷의 경우 통합위협관리 관점에서 악성메일·사칭메일을 차단한다. 포티넷은 위협 인텔리전스, 행위기반 분석, 피싱 URL 검사, 악성파일 차단, DLP 등의 기술을 통합한 이메일 보안 솔루션을 제공한다. 더불 이메일 모의훈련 프로그램도 제공해 임직원의 메일 보안 습관을 키울 수 있도록 한다.

윤성욱 포티넷코리아 이사는 “공격자는 기업에 도입된 보안 솔루션을 우회하기 위해 지메일 도메인을 활용하고, 긴급성을 요하는 내용을 전달해 피해자가 제대로 판단하지 못하게 한다. 이 같은 지능적인 침해 시도에 대응하기 위해 포티넷은 메일 UTM 방식으로 메일 전체 플로우를 보호한다. 스팸방지, 행위분석, URL 분석, DLP, 아웃바우운드 메일 검사 등을 하나의 장비에서 관 리하고 보호하며, 상관관계 분석과 침해 발견 시 빠른 대응으로 이메일 커뮤니케이션을 보호한다”고 말했다.

브랜드 보호로 사칭메일 원천 차단

신뢰할 수 있는 기업·기관으로 위장하는 피싱·스피 어피싱은 사칭에 악용된 조직에게도 큰 피해를 입힌다. 사람들이 많이 사용하는 포털, 금융사, 이커머스 기업, 게임사 등으로 위장한 사이트에서 피해자가 개인 정보·금융정보를 입력했거나 공격자의 유도에 속아 돈을 송금했다면, 피해자는 피해를 구제받기 어렵다. 법적으로 공격자가 위조한 대상 사이트 운영사는 책임이 없지만, 기업의 브랜드 신뢰도, 사회적 책임에 따라 고 객들이 피해를 입지 않도록 자사 사이트와 브랜드가 도용당하지 않도록 관리하는 것도 중요하다.

이러한 공격은 지켜야 할 정보가 많은 기술회사에 더욱 집중되고 있는데, 스플렁크 보고서에 따르면 피싱 공격 피해는 전체 산업 평균 45%, 기술회사는 57%였다. 브랜드 사기 웹사이트는 산업 평균 38%, 기술회사 49%에 달한다.

이에 위협 인텔리전스(TI) 서비스를 통해 제공되는 브랜드 보호 솔루션이 주목받고 있다. 브랜드 보호 솔루션은 인터넷이나 다크웹·딥웹 등에서 고객의 브랜드 사칭, 조작된 로고, 피싱 사이트 제작 정황 등을 찾아 조치하도록 하는 서비스다. 레코디드퓨처, 그룹아이비, S2W, 에이아이스페라 등 국내에 제공되는 거의 대부분의 TI가 이 서비스를 제공하고 있으며, 기술기업과 금융기관, 이커 머스, 게임 등의 고객으로부터 높은 관심을 받고 있다.

사칭메일, 악성메일 공격은 사용자들의 습관, 업무 특성, 심리를 이용하기 때문에 피해입을 확률이 매우 높다. 가장 먼저 사용자들이 의심스러운 메일을 열람하지 않도록 훈련하는 것이 중요하지만 사용자의 주의 만으로 공격을 막을 수 없으며 근본적으로 위험한 메일 이 수신되지 않도록 해야 한다.

메일보안을 위해서는 업무 관련 주요 사용자의 이 메일 도메인을 등록해 등록되지 않은 발신지의 메일은 차단하거나 경고하며, 최근 생성된 도메인에서 발송된 메일은 위험성 여부를 판단하고, 계좌송금이나 ‘특가’·‘프로모션’ 등 사기메일에 많이 사용되는 문구에 대해 사기성 여부를 검증하는 단계를 적용하는 것이 필 요하다.