[데이터넷] 설산을 오르는 등반가들은 쌓인 눈에 가려져 있는 수십 미터 깊이의 ‘크레바스’의 위험성을 알고 있다. 크레바스는 빙하 표면에 생긴 깊은 균열을 말한다. 그러나 기업·기관은 코로나19 이후 급증하는 사칭메일에 대해 경각심을 갖지 못하는 것으로 보인다.

사칭메일은 경찰청, 검찰청, 법원, 국세청을 안내문으로 위장해 관심이나 공포를 유발하기도 하며, 신뢰할 수 있는 거래처나 기관을 이용하기도 한다. 사칭메일로 인한 피해가 눈덩이처럼 불어나고 있으며, 그 어떤 기업도 이러한 위협으로부터 자유롭지 못하다.

승진 인사를 기다리는 직원이 수신한 인사팀 인사결과 통보서, 재무팀에서 보내는 급여 입금 통 지 메일을 열어보지 않을 직원은 많지 않다. 100건의 사칭메일 중 1건만 열람해도 침입은 시작된다.

사이버 공격의 91%가 이메일을 이용한다. 안티 랜섬웨어, 스팸 차단, 이메일 APT로 방어를 하고 있음에도 계속적으로 피해사례가 증가하는 이유는 메일 공격 중에서도 현재 메일 보안 솔루션이 막기 어려운 사칭메일이나 스피어피싱이 크게 늘어나고 있기 때문이다.

해당 메일 공격들은 정상적인 사용자나 기관을 사칭해 개인이 오인하기 쉬우며 보안 담당자 또한 이를 모 두 탐지하기는 쉽지 않다. 사회공학 기법을 통해 기능적이고도 고도화된 사칭메일을 완벽하게 차단하는 메일보안기술이 시급하다.

악성메일 모의훈련만으로 부족

과학기술정보통신부와 한국인터넷진흥원(KISA)에서 사이버 위기대응 모의훈련의 일환으로 진행하는 악성 메일 모의훈련에 참여하는 기업들과 인력들이 점점 늘어나고 있다. 훈련이 거듭될수록 대응 능력이 향상된다는 사실은 매우 고무적이다.

임직원을 대상으로 ‘인사발령’, ‘프로그램 업데이트 권고’, ‘코로나19 예방접종’ 등 최근 이슈의 제목과 내용으로 구성된 내부직원 사칭메일을 보내 직원들의 클릭을 유도하고 악성코드를 설치하게 하는 상황에 대 처하는 훈련을 반복적이고 지속적으로 시행하고 있다.

이 훈련은 평상시 악의적인 메일에 대한 정보보안 대과 보안 의식을 높이자는 취지는 좋으나, 의심스러 운 메일은 열어보지 않는 등 개인의 주의를 요구하는 식으로는 해커의 공격을 막을 수 없다.

사용자가 사칭메일의 피해와 책임을 모두 지게 되므로 안전한 방법이라고 하기에 무리가 있으며, 사용자의 사소한 실수로 사칭메일을 수신했을 때 입는 피해는 상상을 초월하기 때문에 기관이나 기업의 이미지와 신뢰도 또한 위험에 내몰릴 수밖에 없다. 사칭메일에 대한 보안은 개인을 넘어 시스템과 기술로 해결해야 할 문제다.

사칭메일은 사설 메일서버를 통해 사용자가 신뢰할 만한 발신자로 위장하는데, 이러한 공격으로 입은 피해는 2019년 이미 15조원에 육박하며 그 피해는 증가하고 있다. 최근 수년간 국내 굴지의 대기업들이 사칭메일로 피해를 당해 매년 회자되고 있는 것이 현실이다.

이전의 사칭메일은 불특정 다수에게 발송됐지만, 최근에는 특정인 대상으로 발송하는 스피어피싱의 형태로 진화됐다. 실제 금전 사고가 일어난 사례는 ▲국세청 세금 미납 안내메일 ▲경찰청 과태료, 범칙금 안내 ▲거래처 발주서, 계약서, 결제 계좌 변경 ▲고객센터 계정정보 제공 ▲검찰청 출두조사 등으로 위장하고 있다. 공격자는 피해자의 개인정보를 이용해 그 사람이 관심을 가질 만한 내용으로 위장한다.

화이트리스트 방식으로 사칭메일 차단

사칭메일은 기존 보안 솔루션으로 막기 어렵다. 메일 보안 시스템은 악성코드를 탐지해 제거하지만 사칭 메일 내용은 그대로 전달한다. 알려진 패턴이나 키워드, 광고성 문구가 없다면, 악성코드 없이 메일 내용만으로 진행되는 무역사기 메일이나 스캠 등의 공격을 막을 수 없다.

사칭메일 차단을 위해 여러 기술이 제안됐지만, 현실적으로 적용이 어려웠거나 기술의 안정성이 떨어져 도입되지 못했다. 대부분의 메일 보안 솔루션은 사칭메일을 직접 차단하기보다 메일에 포함된 악성코드·URL을 차단하는 수준에 머무르고 있다.

메일 보안 솔루션은 시그니처 기반 블랙리스트 방식으로 대응하고 있으나 이 방식의 대응은 알려지지 않은 최초의 공격, 즉 제로데이 공격에는 속수무책이다. 침해 사고를 당한 이후에 대응을 하는 셈이기에 지금 이 순간에도 변형되고 있는 새로운 공격 패턴에 대응할 수 없다.

10명의 경찰이 1명의 도둑을 잡기도 힘든일인데, 지금은 10명의 사이버 패트롤이 수천, 수만 명의 해커를 잡아야 하는 실정이다. 패턴이 아닌 발신자를 검증한다면, 화이트리스트 방식을 채택한다면 어떠한 변화된 패턴 공격에도 보안이 가능할 것이다.

스팸 차단과 이메일 APT, 각각의 메일 보안 솔루션은 개발 목적이 사칭메일 관리 시스템과 다르다. 즉 사칭메일 관리 시스템 도입으로 기존 메일 보안 시스템들을 모두 대체할 수 있다는 뜻은 아니다. 사칭메일 관리 시스템은 제로 트러스트 기반의 화이트리스트 기술이 적용돼 정상적인 메일 서버에서의 메일만을 수신하므로 출처가 불분명한 사칭메일을 직접 차단하기 위한 특화된 메일 보안 솔루션이다.

발신자 정보 진실성 가려 사칭메일 차단

발신자, 즉 악의적인 메일을 보내는 공격자는 정상적인 메일서버나 정상 계정을 사용하지 않는다. 사칭메일을 보내기 위해 가짜의 사설 메일서버를 이용해 추적을 교묘히 피해간다. 물론 정상적인 메일 서버와 계정을 해킹해 대신 보내게도 할 수 있으나, 해킹을 통한 위험성이나 많은 시간을 들이기보다는 직접 사설 메일서버를 만들어 보내는 것이 훨씬 용이하기 때문이다.

사칭메일을 차단하거나 판별하는 방법은 보낸 사람이 정말 그 사람이 맞는지, 발송한 메일서버가 정상 메 일서버인지, 그 계정이 정상적인 사용자인지 검증할 수 있어야 한다. 전 세계적으로 메일 통신은 SMTP라는 국제표준 프로토콜을 이용하고 있다. SMTP 프로토콜 은 인터넷 상에서 전자 메일을 전송할 때 쓰이는 표준 프로토콜이다.

메일 통신에 대한 수신과 발신에 대한 유실을 방지하기 위해 개발된 3자리 숫자 코드를 SMTP 응답 코드 라 칭하며, 발신 측 정보를 정확히 검증하기 위한 단서로 활용하고 있다. 사칭메일 관리 시스템은 ‘SMTP 응답코드’를 통해 발신자를 정확히 검증함으로써 메일 서버의 서비스 상태를 직접 확인해 신뢰할 수 있는 정확한 판단을 제공한다.

사칭메일 관리 시스템에서 중요시하는 메일 계정 정보는 유일한 메일 정보로 절대 중복 등록될 수 없다. 도메인과 메일서버 IP는 중복 없이 DNS에 등록 관리되며, 계정도 중복없이 메일 서비스에 등록 운영되고 메 일을 정상적으로 수신하므로 사칭된 도메인과 메일 서버 IP는 DNS에 중복으로 등록될 수 없다.

따라서 공격자가 사설 메일서버를 구성하고 사칭하려는 도메인과 계정으로 사칭메일을 발송해도 SMTP 응답 코드를 발신 메일 서버에 직접 요청, 검증하고 비정상적인 코드값이 회신된다면 사설 메일서버를 정확히 확인할 수 있는 것이다.

다수의 기업들이 계속해서 사칭메일을 통해 막대한 피해를 보는 만큼 사칭메일을 근절할 수 있는 메일 보 안 솔루션이 절실하게 필요한 시점이다. 사칭메일의 근원지인 사설 메일서버 및 발신자 정보를 검증할 수 있는 메일 보안 솔루션은 새로운 메일 보안의 기준이 될 수 있다. 더해서 기존의 다양한 목적의 메일 보안 솔루션들과 더불어 더욱 강력한 방어 체제를 구축할 수 있을 것이다.

지난 6월 열린 RSA컨퍼런스에서 로힛 가이 RSA CEO는 “정보의 진실성이야 말로 보안에서 가장 우선으로 지켜져야 할 점”이라고 강조했다. 리얼시큐는 발신자를 검증하는 것으로 메일 보안을 시작하는 것과 같다고 판단한다. 차세대 보안 이념인 ‘제로 트러스트’를 기반으로 한 사칭메일 관리 시스템으로 ‘정보의 진실성’을 지켜나간다면 안전한 메일 비즈니스를 이어 나갈 수 있다고 확신한다.