[데이터넷] 이메일은 공격자들이 가장 많이 사용하는 공격수단이다. 거의 대부분의 업무가 이메일을 이용해 커뮤니케이션 하기 때문에 타깃 사용자를 속이기 쉽다. 악성코드 없이 메일만으로 대규모 자금 탈취에 성공한 사례도 부지기수다. 이메일 기반 위협은 대응하기가 매우 복잡하고 까다롭다. 그럴수록 제로 트러스트 원칙의 보안이 필요하다. 이메일 기반 위협 트렌드와 대응을 위해 필수적인 기술과 솔루션을 소개한다.<편집자>

이메일 기반 위협 중 가장 위험한 것은 ‘비즈니스 이메일 침해(BEC)’ 등 사칭메일로, 악성코드 하나 없이 공격자가 목표를 달성할 수 있다. 가장 많이 사용되는 BEC는 거래처 자금담당자로 위장해 거래대금을 공격자의 계좌로 송금하도록 유도하는 방법이다. BEC는 주로 고위간부, 재무 관리자, 직원 기록에 접근 가능한 인사부서 직원 등 높은 권한을 가진 사람들을 표적으로 하는데, 이메일 요청의 정상 여부를 판단하기 어려운 신입사원을 타깃으로 공격을 한다.

대한무역투자진흥공사(KOTRA)에 따르면 지난 한 해 동안 KOTRA 해외무역관으로 접수된 우리 기업 대상 무역사기 중 오랫동안 거래를 해 온 거래처를 사칭하고, 바뀐 계좌번호의 예금주도 거래처명과 동일하게 해 의심하지 못하게 한다.

송금증 등을 위조해 수입자에게도 연락을 취하면서 오랫동안 무역사기라는 사실을 인지하지 못하게 한다. 이 방법은 최소 3개국 이상 경유해 발생하는 경우가 많아 해결을 위해 국제사법공조가 요구된다.

KOTRA가 공개한 대표적인 BEC 사례로 2억7000만원 가량 피해를 입은 것이 있다. A사는 일본 유통사 B와 2009년부터 거래를 해왔으며, 물품을 선적한 후 해당 대금을 받았다. 지난해 B는 A사의 은행계좌가 변경됐다는 이메일을 받았는데, 여기에 A의 법인인감이 찍혀 있었다. B는 이 메일을 믿고 3번에 나눠 거래대금을 공격자에게 보냈다.

20년 이상 거래를 해온 해외 거래처와의 이메일을 위조한 사례도 있다. C사는 영국의 D사와 거래대금을 전신환 선송금 방식으로 결제하고 있는데, 이메일이 해킹된 사실을 알지 못하고 해커가 보낸 변경된 계좌로 7000만원 규모의 대금을 송금했다.

‘서비스형 사이버 범죄’로 이메일 위협 더 극성

BEC는 미국 FBI가 가장 위험한 공격이라고 경고한 것으로, 지난해 FBI 미국 인터넷 범죄 신고센터(IC3)에 접수된 BEC 사고 사례는 2만2000여건, 27억달러 이상피해를 입혔다. FBI는 공격자들이 전화번호 스푸핑까지 사용하기 때문에 피해를 막는 것이 더 어려워졌다고 설명한다. 메일 수신자가 해당 메일의 진위를 확인하기 위해 메일 발신처에 전화했을 때, 공격자의 전화로 발신되도록 하는 방식이다. 피해자가 공개된 회사의 전화번호로 전화한다 해도 공격자와 통화하게 된다.

BEC는 서비스형 사이버 범죄(CaaS) 플랫폼을 이용해 더 지능적으로 진행된다. 공격자들은 악성 이메일 캠페인을 생성하는 불릿프루프트링크(BulletProftLink)를 많이 사용하는데, 이 서비스는 BEC를 위한 템플릿, 호스팅, 자동화 서비스 등을 제공해 쉽게 BEC 공격을 하게 한다.

투자 사기 유인하는 스캠

BEC와 유사한 방법으로 사용자를 속이는 스캠(Scam)도 심각한 위협이 되고 있다. 흔히 알려진 ‘로맨스 스캠’의 경우, SNS를 통해 친밀감을 갖게 한 후 은밀한 사진이나 행위를 동영상으로 찍어 전송하도록 한 다음 이를 공개하겠다고 협박해 돈을 뜯어낸다.

가상자산에 안정적으로 고수익을 올릴 수 있다고 속여 투자를 유도하는 사기도 횡행하고 있다. 지난해 FBI IC3에 보고된 사기 중 가장 많은 피해를 입힌 것이 투자유도 스캠이었는데, 이 사기로 인한 피해금액은 33억달러로, 전년대비 127% 증가했다. 그 중 가상자산 투자 사기는 전년대비 183% 증가한 26억달러였다.

비싱(Vishing)이라고도 불리는 보이스피싱으로 인한 피해도 점점 증가하고 있다. 통계청에 따르면 우리나라에서 보이스피싱이라는 범죄가 처음 공론화된 2006년부터 2021년까지 신고된 누적 피해액이 4조원에 이르며, 한 건당 피해액은 평균 2500만원이다. 미국에서도 보이스피싱 사고는 심각한 문제가 되고 있다. IC3에 신고된 피해는 10억달러 이상 손해를 끼쳤으며, 피해자의 46%가 60대 이상, 이들의 69%는 2400만달러 이상 피해를 입었다.

최근에는 AI를 이용, 지인의 목소리를 복제하는 딥보이스(Deep Voice)위협도 높아지고 있다. 가족, 친구, 연인의 목소리를 위장해 교통사고를 당했다는 등의 통화로 돈을 뜯어내는 수법이다. 생성형 AI를 사용해 피해자의 확인 질문에도 그럴듯하게 답하면서 속일 수 있다.

AI 이용 사기는 현실로 나타나고 있다. 지난해 공격자들은 바이낸스 임원의 홀로그램을 만들어 피해자들을 사기꾼의 회의에 참석시키면서 투자자들을 속이는데 성공했다. 앞으로 BEC 공격자들은 거래처 임원으로 위장한 영상통화로 거래대금을 거래처 이름과 동일한 공격자 계좌로 보내도록 할 것이다.

정상 URL을 입력할 때 자주 일으키는 오타를 이용하는 ‘타이포스쿼팅’ 공격도 늘어나고 있다. 팔로알토 네트웍스 조사에 따르면 지난해부터 올해까지 등록된 챗GPT 악성 URL이 매일 100개 이상 발견되고 있으며, ‘openai’와 ‘chatgpt’ 등의 관련 키워드를 넣어 이를 악성 행위에 사용하는 스쿼팅 도메인이 180배 증가한 것으로 나타났다.

가짜 챗GPT 사이트는 주요 정보를 탈취하는데 사용될 뿐만 아니라 무단으로 서비스 비용을 가져간다. 앱 다운로드 시 신용카드 정보를 입력하게 하고 자동으로 카드 결제가 이뤄지도록 하는데, 사업자 정보를 공개하지 않아 사용자가 서비스 사용 중단을 하지 못하게 한다.

비현실적인 사칭메일 대응 방법

이메일 보안 솔루션으로 대부분의 공격 시도를 차단할 수 있지만, 사칭메일, BEC, 스캠은 차단하지 못한다. 자연어처리 기술을 이용해 공격자가 자주 사용하는 문장패턴을 인지하고 차단하는 기술을 지원하는 솔루션도 있지만, 공격자는 이미 이 기술의 탐지패턴을 파악하고 우회한다.

사칭메일 피해 예방을 위해 제안되는 방법 중에는 현실에 적용하기 어려운 경우도 있다. 예를 들어 의심스러운 메일일 경우 직접 상대방과 통화할 것을 권장하는데, 시차 혹은 언어의 문제로 통화가 어려울 수 있다. 또 요즘 직원들은 직접 통화하는 것을 좋아하지 않으며, 전화 통화 후 업무를 처리하면 적시에 업무 진행이 안돼 다른 문제를 야기할 수 있다. AI를 이용해 신뢰할 수 있는 사용자로 위장할 경우, 영상통화를 한다 해도 메일 내용의 진위여부를 확인하기 어렵다.

SPF, DKI, DMARC 등 이메일 인증 기술을 사용하면 신뢰할 수 있는 발신자로부터 온 메일만 수신할 수 있어 안전하다. 그러나 이 기술은 수발신 양쪽에 모두 적용돼 있어야 해 다양한 파트너와 협업하는 최근 업무 환경에서는 효과적이지 않으며, 이 기술을 우회하는 공격도 이미 오래 전부터 나타나고 있다.

이메일 보안 솔루션 기업 아모블록스(Armorblox)가 탐지한 피싱 공격의 경우, 가짜 인스타그램 지원 이메일, 사용자 자격증명 탈취를 위한 가짜 랜딩페이지를 이용해 학생 2만 2000여명의 계정이 탈취됐는데, 이 캠페인은 마이크로소프트의 보안 기능과 SPF·DMARC 이메일 인증 기술까지 통과해 이메일 인증 기술 역시 허점이 있다는 사실이 드러났다.

발신자 검증 기술로 사칭메일 차단

리얼시큐는 ‘발신자 검증’ 기술로 사칭메일을 차단한다. 이메일 본문 내용이 아니라 발신자부터 검증한다는 제로 트러스트 원칙의 ‘리얼메일’은 SMTP 응답정보를 분석해 사설메일 서버로부터 발신된 메일인지 확인하고 차단한다. 이는 대부분의 공격메일이 사설메일서버에서 발송된다는 데 착안한 것으로, 리얼메일은 SMTP 응답 정보를 고유의 알고리즘을 통해 정책별로 분류, 관리해 오탐 없이 사칭메일을 걸러낸다.

리얼메일은 SMTP 응답정보 분석뿐 아니라 이메일 수·발신 프로세스의 모든 과정을 분석해 발신자를 검증한다. DNS, 메일 헤더, IP 등의 정보를 분석해 정상적으로 등록된 서버와 계정에서 발송된 메일인지 확인해 차단-허용 정책을 적용, 정교하게 위장된 사칭메일을 찾아 차단할 수 있다.

기존 메일보안 솔루션의 블랙리스트 기반 차단 기술과 스팸 차단기술은 지속적으로 탐지 패턴을 정의해야 해 관리자의 업무가 늘어난다. 리얼메일은 사칭메일 발신자들이 발송하는 메일 도메인의 패턴을 파악해 차단하기 때문에 잦은 탐지 룰·패턴 변경이 필요 없으며 관리 포인트가 적어 보안 담당자의 업무를 증가시키지 않으면서 사칭메일을 효과적으로 차단한다.

박우영 리얼시큐 연구소장은 “진화하는 사이버 공격이 비즈니스를 위협하고 있기 때문에 경제위기에도 보안투자는 줄일 수 없다. 특히 이메일은 사이버 공격의 진입점이기 때문에 이메일 보안이 그 어느 때 보다 중요한 시기이다. 해킹메일 차단, 악성메일 모의훈련과 함께 발신자 검증을 통한 제로 트러스트 원칙의 메일보안도 필수”라고 강조했다.