[아이티데일리] 이메일을 통한 사이버 위협은 나날이 증가하고 있다. 악성 이메일 공격의 경우, 사용자가 관심을 가질 수 있는 내용으로 위장하는 사회공학적 기법을 활용하고 있다. 이러한 공격의 피해를 예방하기 위해서는 보안 솔루션 구축은 물론, 임직원을 대상으로 한 보안 교육이 필수적으로 진행돼야 한다.

실제 기업에서 발생하고 있는 악성 이메일 공격으로 인한 피해 사례를 살펴보면, 임직원의 실수로 인한 사고가 적지 않다. 엔사이퍼시큐리티와 포네몬 연구소가 작성한 ‘2020 글로벌 암호화 동향 보고서’에 따르면, 기업의 민감 데이터를 위협하는 가장 큰 요인은 ‘직원 실수(54%)’인 것으로 나타났다. 이는 ‘해킹 공격(29%)’과 ‘악의적인 내부자(20%)’보다 훨씬 높은 수치다.

임직원 실수로 인한 피해사고를 살펴보면, 대부분의 경우 임직원이 시회공학적 기법을 활용한 악성 메일을 수신한 것에서 시작된다. 악성 메일은 사용자의 관심을 끌기 위해 저작권 침해, 북한 이슈, 이력서 등 다양한 내용으로 위장하고 있다. 사용자가 내용에 속아 첨부파일을 다운로드 및 실행하거나 URL을 클릭하면 악성코드에 감염된다.

보안 인식이 부족한 임직원이 악성 메일을 실무자에게 ‘내용을 확인해달라’며 전달하는 경우도 있었다. 특히 이 경우는 임직원이 이메일 발신자가 되기 때문에, 수신자의 입장에서는 신뢰할 수 있는 메일이 된다. 메일을 전달한 임직원은 본의 아니게 악성코드 유포자가 되는 것이다.

이러한 피해를 예방하기 위해서는 이메일 보안 솔루션을 구축하는 것도 좋은 방법이지만, 무엇보다 임직원의 보안 인식 개선을 위한 교육이 필수적이다. 보안 솔루션이라는 좋은 도구가 있어도, 임직원의 보안 인식이 부족하다면 무용지물이다.

임직원들 또한 보안 인식을 높일 수 있도록 노력해야 한다. ▲의심스러운 이메일의 첨부파일 다운로드 및 URL 실행 주의 ▲SW 최신 업데이트 적용 등 필수 보안 수칙을 준수해야 하며, 뉴스 등을 통해 발표되는 최신 위협 동향도 꾸준히 확인해야 할 필요가 있다.

최근 몇 년간 보안 업계에서는 제로 트러스트(Zero Trust)가 대두되고 있다. 아무것도 신뢰하지 말아야 한다는 것이다. 일상생활에서 제로 트러스트를 쉽게 실천하는 방법이 있다. 사이버 위협의 대표적인 통로로 활용되고 있는 이메일, 메시지를 수신할 때 꼼꼼히 확인하는 것이다. 발신자가 신뢰할 수 있는 사람이라도 내용을 확인해야 하며, 조금이라도 의심이 된다면 발신자에게 연락해 메일 진위 여부를 확인하는 등의 주의를 기울여야 한다.