이글루코퍼레이션 파견관제팀 현정우

[아이티데일리] 

이글루코퍼레이션 파견관제팀 현정우 사원
이글루코퍼레이션 파견관제팀 현정우 사원

달라진 근무 환경과 진화하는 보안 위협

지난 2020년 시작된 코로나19(COVID-19)의 여파로, 바이러스 전염 및 확산 방지를 위한 사회적 거리두기가 전 세계적으로 확산됐다. 그리고 이는 업무 환경에도 영향을 줘 인원 밀집을 최소화하기 위한 비대면 근무가 적극 권고됐고, 재택근무나 원격근무 등 비대면 업무 환경으로의 전환을 가속화했다. 다시 말해 코로나19가 일하는 환경을 회사에서 가정 및 개인 공간으로, 일하는 방식을 대면에서 비대면으로 바뀌게 했고, 변화된 근무 환경은 보안 위협의 심화를 초래했다.

이러한 보안 위협 중 하나가 바로 악성 첨부파일을 포함한 이메일을 발송하거나 악성 웹사이트 접속을 유도해 개인정보를 유출시키는 악성 메일 공격이다. 사실 코로나19 이전에도 이메일을 통한 업무 처리의 비중은 높았지만, 비대면 업무 환경으로 전환됨에 따라 업무 외 전달 사항도 이메일을 통하기 시작하며 과거에 비해 더욱 많은 이메일이 오고 가게 됐다. 또 상대적으로 보안이 취약한 환경에 노출된 사용자가 늘어나면서 그 빈틈을 노려 이메일의 취약한 점을 악용하는 해커들이 더욱 기승을 부리고 있다.

코로나 팬데믹 선언으로부터 2년이 지난 지금, 사회적 거리두기 완화 추세에도 많은 회사들은 여전히 재택근무를 다양한 형태로 이어갈 것으로 보인다. 이에 최근 기승을 부리는 악성 메일 사례를 살펴보고, 이메일 보안을 강화할 수 있는 그 방안에 대해 고민하는 시간을 가져보고자 한다.

재택근무 시 보안 위협 경험 여부 (출처: 한국인터넷진흥원(KISA) - 사이버 위협 동향 보고서 2020)
재택근무 시 보안 위협 경험 여부 (출처: 한국인터넷진흥원(KISA) - 사이버 위협 동향 보고서 2020)

이메일을 통한 사이버 공격, 어떻게 다가오나?

어느 한 통계에 따르면 하루 평균 오가는 이메일의 수는 약 300억 건에 달하며 매년 그 수가 늘어날 것으로 관측됐다. 업무와 연관된 정상 메일뿐만 아니라 각종 광고 메일을 포함한 스팸 메일과 미처 눈치채지 못한 악성 메일이 하루에도 수십 건 우리의 메일함 속으로 쏟아지고 있는 셈이다. 물론 보안에 대한 사회적 인식이 점차 높아지면서 각 기업 및 기관들이 이메일을 악용한 사이버 공격에 하나둘 대비를 갖춰나가고 있는 추세이지만, 공격자들도 전략과 수법을 정교히 바꿔가며 나날이 발전하고 있다.

특히 오늘날의 사이버 공격은 사회공학적 성격을 띄고 있다. 사회공학적 공격(Social Engineering Attack)이란 인간 상호 작용의 신뢰를 바탕으로 사람을 속여 보안 절차를 깨트리고 정보를 탈취하는 행위를 일컫는데, 쉽게 말해 각종 보안 솔루션과 장비로 둘러싸인 기업의 시스템과 소프트웨어의 취약점을 노리는 대신 사람의 심리와 관련된 보안 취약점을 타깃으로 하는 공격 기법으로, 그 대표적인 예로 스피어 피싱(Spear phishing)을 들 수 있다.

불특정 다수의 개인정보를 빼내는 피싱(Phising) 공격에서 한 발짝 더 나아간 스피어 피싱은 특정인의 개인정보 탈취를 목적으로 한다. 피싱이 다수의 수신자에게 자동으로 전송되는 포괄적인 메일의 형태를 띄는 것에 비해 스피어 피싱은 공격 대상을 특정하고 그 대상이 신뢰할 수 있는 발신자가 보낸 것으로 가장된, 보다 표적화된 이메일 공격이다. 그리고 이러한 스피어 피싱 공격은 기업 사용자에서부터 정부 부처 관계자에 이르기까지 매우 광범위하게 이뤄지기 때문에 ‘나는 아니겠지’하고 방심하는 순간, 언제라도 그 대상이 될 수 있다.


사례로 살펴보는 이메일 보안 위협

앞서 언급했듯 최근 이메일을 악용한 사이버 공격이 크게 증가함에 따라 그 내용과 유형 또한 매우 다양한 모습을 보인다. 아래의 사례는 글로벌 물류 업체인 DHL을 사칭한 피싱 메일로, 배송조회 서비스로 위장해 사용자로 하여금 큰 의심 없이 첨부된 링크를 누르도록 유도했다.

링크를 통해 연결된 피싱 페이지는 배송 확인을 위한 사용자의 계정 정보를 요구하고 있는데, 보통 일반적인 피싱 공격의 경우 사용자에게 아이디와 패스워드 모두를 요구하는 것에 반해 이번 사례는 사용자의 메일 계정이 사전에 입력돼 있어 습관적으로 패스워드를 입력하고 로그인할 가능성을 더욱 높였다. 만약 사용자가 계정 정보를 입력해 로그인을 진행하게 되면 그 정보는 공격자의 수집 서버로 유출되게 되고, 이렇듯 계정 정보가 전송되고 나면 사용자는 수집 서버 응답에 의해 실제 공식 홈페이지로 리다이렉트된다.

배송조회 페이지를 사칭한 피싱 페이지 (출처: 이글루코퍼레이션 취약점분석팀)
배송조회 페이지를 사칭한 피싱 페이지 (출처: 이글루코퍼레이션 취약점분석팀)
계정 정보 수신 후 정상 홈페이지로 리다이렉트 (출처: 이글루코퍼레이션 취약점분석팀)
계정 정보 수신 후 정상 홈페이지로 리다이렉트 (출처: 이글루코퍼레이션 취약점분석팀)

그렇게 되면 결국 사용자는 자신의 개인정보가 피싱 페이지를 통해 유출된 것인지 그 피해 사실조차 인지하기 어려워지기 때문에 공격자는 지속적으로 정보를 탈취할 수 있으며 차후 공격 수단으로 피해자(사용자)의 컴퓨터를 활용하거나 탈취한 계정을 도용해 피해자 주변인을 대상으로 한 2, 3차의 후속 공격도 가능해진다. 다시 말해 피해자는 본인도 모르는 사이에 공격자가 되어버리고, 공격자가 내부 인프라에 존재하게 되었다는 것 자체만으로도 그 특성상 더욱 치명적인 결과를 초래할 위험이 있다. 더욱이 전 세계에서 중요한 의사소통 수단으로 사용되는 이메일이기에, 그만큼 날로 고도화되는 이메일 보안 위협에 경계하고 또 경계해야 할 필요가 있겠다.

다음은 올해 1월부터 5월까지 이메일을 통해 유포된 사이버 공격을 유형에 따라 분류해 정리한 표이다.

이메일을 이용한 사이버 공격 타임 라인 (출처: 이글루코퍼레이션)
이메일을 이용한 사이버 공격 타임 라인 (출처: 이글루코퍼레이션)

이메일을 통한 사이버 공격은 때와 시기를 가리지 않고 꾸준히 유포되고 있으며 불특정 다수를 대상으로 하는 피싱에서 특정인을 타깃으로 하는 스피어 피싱으로 그 수법이 점차 교묘해지는 추세를 보인다. 특히 명절이나 선거, 그리고 코로나19와 같이 사회 전반의 관심을 받는 주제를 미끼로 삼아 더욱 고도화된 방법으로 수신자를 속이는 공격이 성행하고 있다.

그들의 궁극적인 목적은 정보 탈취를 통한 금전 탈취에 있다. 그렇기에 단순히 특정인의 개인정보를 탈취하는 것에서 끝나는 것이 아니라 이를 통해 기업의 기밀 정보를 노리는 등 공격자는 더욱더 많은 정보를 빼내기 위해 꾸준히 시도한다. FBI가 발표한 ‘2021 인터넷 범죄 보고서(2021 Internet Crime Report)’에 따르면, 2021년 신고된 기업 이메일 침해(Business Email Compromise ; BEC) 공격은 1만 9,954건이며 피해액은 24억 달러에 달한다. 전년도와 비교해봤을 때 공격 건수와 피해액은 각각 3%, 33% 증가했으며 그 중에서도 피해액은 매년 최고치를 갱신하고 있는 모습이다. 이는 곧 이메일 보안 위협이 기업에게 점점 더 큰 타격을 주고 있음을 시사한다.


이메일 보안, 어떻게 강화할 수 있을까?

그렇다면 이렇듯 다변화하는 이메일 공격에 대비해 보안 수준을 강화할 수 있는 방안에는 어떠한 것들이 있을까.

먼저 국가기관이나 지자체 그리고 공공기관 등을 포함한 공공부문에서는 매해 민간 보안 전문 기업과 협업해 해킹 메일 대응훈련을 실시하고 있다. 모의 해킹 메일을 발송해 열람률이나 신고율 등을 평가함으로써 직원들의 보안 인식을 제고하고, 유사 사이버 공격 발생 시 보다 능동적으로 대응할 수 있도록 사전 대응 역량을 강화한다. 물론 이러한 모의 훈련은 해킹 메일에만 한정되지 않고, DDos(Distributed Denial of Service: 서비스 거부 공격) 등 여러 종류의 사이버 모의 훈련을 체계적으로 진행함으로써 보다 전반적인 보안 수준 향상에 힘써야 할 것이다.

다음으로 민간부문에서는 각종 보안 솔루션 및 서비스 도입을 통해 안전한 이메일 통신 환경을 구축하고, 해킹 메일 대응훈련 등을 진행하며 기업 전반의 사이버 공격 대응 역량이 제고될 수 있도록 노력하고 있다. 상대적으로 보안 여력이 부족한 영세·중소 기업들은 서버에 대한 보안 점검을 무상으로 지원해주는 ‘내서버 돌보미’와 같은 여러 지원 서비스들을 활용해 보다 적극적으로 보안 위협에 대한 대응 수준을 강화해나갈 필요가 있겠다.

무료 원격보안점검 서비스 ‘내서버 돌보미’ (출처: 이글루코퍼레이션)
무료 원격보안점검 서비스 ‘내서버 돌보미’ (출처: 이글루코퍼레이션)

코로나19가 앞당긴 스마트오피스 환경은 전통적인 보안 경계를 흐려지게 만들었고, 보다 세심한 보안 활동이 필요한 시점이 됐다. 보안을 위해 기업 및 기관, 산업 전체가 공동으로 노력해야 함은 물론 사용자 개개인도 행동에 나서야 할 때가 된 것이다. 보안 행동에 주의를 기울이는 것은 전체적인 보안을 향상하는 데 생각보다 훨씬 더 큰 효과가 있다. 이에 일상 속에서 쉽게 실천할 수 있는 다음의 보안 수칙을 제시해본다.


○ 내부(내부망) 메일 주소와 외부(인터넷망) 메일 주소를 분리하여 사용할 것

관리의 편리함과 효율성을 위해 또는 습관적으로 업무 관련이 아님(광고성, OTT 서비스 구독 회신 등)에도 불구하고 내부 메일 주소를 기입하는 경우가 있다. 그러나 이렇듯 내부 메일 주소가 많이 공개되면 공개될수록, 자연스럽게 피싱/악성/스팸 메일 등에 노출될 확률도 높아지게 된다. 그렇게 되면 메일에 대한 분별력이 떨어지고, 메일함 속에 숨어 들어온 사이버 공격에도 쉽게 노출되기 마련이다. 하여 의식적으로라도 업무를 위한 메일 주소의 노출을 최소화할 필요가 있으며, 이를 통해 업무나 기업 내부 정보와 관련된 데이터 유출의 빌미를 제공하지 않도록 유의해야 한다.


○ 제로 트러스트(Zero trust) 관점으로 바라볼 것

제로 트러스트란 모든 접근을 잠재적 보안 위협으로 바라보고, 결국 아무도 신뢰해서는 안 된다는 것을 기본 전제로 하는 전략이다. 이메일을 통한 사이버 공격이 날로 발전해감에 따라 발신자가 내부자라고 할지라도 믿을 수 없는 상황이 됐다. 보안 장비를 통과해 메일함에 도달한 악성 메일은 사회공학적 기법으로 사용자를 현혹한다. 그럴싸한 말로, 그럴싸한 페이지 화면으로 말이다. 그렇기 때문에 사용자는 발신자와 제목이 애매하면 열람 자체를 하지 않는 것이 좋고, 내부자가 보낸 메일일지라도 의심이 갈 경우엔 사전에 유선 등의 방법으로 확인을 해보는 것도, 이메일을 악용한 사이버 공격으로부터 개인정보를 지키는 좋은 방법이 되어줄 것이다.


삶의 기반이 디지털화될수록 우리는 정보보안에 더욱 큰 관심을 가져야 한다. 사이버 공격이라는 것이 어떠한 방법으로 어느 순간 다가올지는 아무도 알 수 없지만, ‘귀찮고 불편할수록 보안은 잘되고 있는 것이고 간단하고 편할수록 보안에는 구멍이 생긴다’라는 말을 명심하며, 사용자 개개인이 경각심을 갖고 보안 문제에 협력해 나감으로써 보다 견고한 보안 체계를 구축해나갈 수 있길 바라는 바이다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지