[아이티데일리] 이메일을 통한 사이버 공격은 많은 기업 임직원들이 하루에도 많게는 수십 번씩 마주하는 현실감 있고 직접적인 위협이다. 특히 이미 이메일 보안 시스템을 갖춘 일정 규모 이상의 기업들보다는 중소 규모 기업들이 피해 대상이 될 확률이 높다. 비용 부담이나 실제 효용성 등의 이유를 들어 이메일 보안을 갖추지 않은 경우가 많기 때문이다. 하지만 해가 지날수록 사이버 공격이 폭발적으로 늘어나고 한층 더 교묘해지는 상황에서, 가만히 손 놓고 있다가는 소중한 개인정보와 비즈니스 데이터를 잃고 소 잃고 외양간 고치는 후회스러운 상황이 발생할지도 모른다. 국내에서 관련 솔루션 사업을 하고 있는 전문 기업들을 통해 이메일 보안의 중요성과 솔루션 도입 시의 장점을 들어본다.

사이버 공격의 주요 통로, 이메일

이메일을 통한 보안 위협은 날이 갈수록 점점 더 심화되고 있다. 사이버 공격의 대부분이 이메일로부터 시작된다고 해도 과장된 표현이 아니다. 모든 기업의 임직원들이 고객사나 파트너사와 업무를 위해 메일을 주고받고 있으며, 사내 직원들 간에도 업무 상황을 공유하기 위해 이메일을 활용하는 것이 매우 일반적이다. 그러나 이메일은 이처럼 외부와 연결되는 최접점이자 내부까지 연결하는 수단으로 사용되기 때문에, 반대로 사이버 공격의 주요 통로로 이용되고 있기도 하다.

지란지교시큐리티 윤두식 대표는 “최근 유행하는 사칭 메일의 경우 주거래 업체나 기관 담당자의 메일 주소로 변경해 이메일을 발송하는데, 기존에 구축된 메일 보안 솔루션을 통해 발신지의 불명확함을 확인하는 절차를 거치더라도 정상적인 발신지로 인식돼 최종적으로 수신자에게 메일이 전달되는 경우가 많다”고 말했다.

공격자 입장에서 보면 이메일은 가장 많은 수의 불특정 다수에게 쉽고 간편하게 악성 프로그램을 첨부해 전파할 수 있는 최고의 수단이다. 때문에 기업과 개인을 위협하는 악의적인 이메일 공격은 앞으로도 계속 이어질 것으로 예상된다. 크리니티 서비스개발유니트 보안기술팀 임창완 이사는 “이메일을 통한 보안 위협 중 가장 대표적인 것으로는 기업 및 기관의 주요 인물들을 대상으로 개인정보를 노리는 스피어 피싱 공격과, 다양한 오피스 프로그램의 취약점을 노린 익스플로잇(exploit) 공격이 가장 심각하다”고 설명했다.

글로벌 보안 업계에서는 이메일을 통한 공격을 BEC(Business Email Compromise), 즉 ‘이메일 사기’라고 부르고 있다. 이메일 사기의 유형은 △이메일 용량 초과 안내메일 △사이트 비밀번호 변경 안내메일 △온라인 서비스 가입 초대장 △행사, 학술대회 등의 초대장 △설문조사, 인터뷰 질의서 △견적서, 계산서, 급여 지급을 위한 엑셀 문서 등으로 위장하는 경우가 대표적이다. 특히 이러한 이메일 내에 첨부된 링크(URL)를 클릭해 개인정보나 비밀번호 등을 입력하거나 첨부된 워드, 엑셀, 파워포인트, 한글 등 문서 파일을 열어 [콘텐츠 사용] 등과 같은 기능을 실행하면 악성 프로그램이 설치돼 피해를 입을 수 있다.

시큐레터 기술연구소 분석팀 양승환 팀장은 “최근 이메일을 이용한 보안 위협의 상당수는 ‘계정 정보’를 탈취하기 위한 것으로 파악된다. 이메일을 통해 가짜 사이트로 접속을 유도해 로그인하도록 만든 뒤, 이를 통해 계정 정보를 탈취하는 형태의 해킹을 하기 위해 다양한 방법이 사용되고 있다. 예를 들어 기업 임직원에게 관련 공공기관이나 기업, 거래처 등에서 사용하는 정상적인 이메일 주소로 악성 첨부파일을 포함한 이메일을 보내는 경우, 수신자는 송신자를 알고 있기 때문에 의심하지 않고 첨부파일을 열어볼 확률이 높으므로 위험도도 높다. 또한 공공기관과 기업의 관리되지 않는 웹 서비스 주소를 이용하면서 URL 리다이렉션(URL Redirection) 주소로 피싱 주소를 넣는 경우도 있다. 이 경우 신뢰할 수 있는 기업/기관의 URL 주소를 사용하는 것처럼 보이기 때문에 수신자가 해당 URL에 접속할 가능성이 높아진다”고 설명하고 “이처럼 이메일을 통한 보안 위협의 형태가 다양해지고 있기 때문에 상황에 맞는 적절한 보안 정책과 대응 전략이 필요하다”고 강조했다.

꾸준한 성장 기대되는 이메일 보안 솔루션 시장

이메일을 통한 보안 위협이 나날이 커지는 상황에서 ‘이메일 보안 솔루션’ 역시 그 중요성이 높아지고 있으며 실제 시장도 성장하고 있다. 미국의 리서치 그룹 라디카티 그룹(Radicati Group)의 조사에 따르면, 전 세계 이메일 보안 솔루션 시장 규모는 2020년 약 32억 달러(한화 약 4조 7백억 원)에 달했으며 2024년에는 약 55억 달러(한화 약 7조 원) 이상으로 성장할 것으로 예상된다. 이메일 보안 시장의 글로벌 기업으로는 트렐릭스, 트렌드마이크로, 노턴라이프락, 시스코, 포티넷, 마임캐스트 등이 있다. 또한 국내 시장은 지란지교시큐리티가 50% 이상의 점유율을 기록하고 있으며 그외 크리니티, 시큐레터 등 다수 기업들이 치열하게 경쟁하고 있는 것으로 파악된다.

지란지교시큐리티 윤두식 대표는 “이메일이 해킹의 전초기지 역할을 하는 만큼, 이메일 보안은 모든 기업이 가장 먼저 고민하는 서비스 또는 솔루션이라 할 수 있다. 국내 이메일 보안 솔루션 시장의 경우 향후 폭발적인 성장을 할 것이라고 예상할 수는 없겠지만, 새로운 기업들이 계속해서 등장하고 또 이들이 성장할수록 이메일 보안에 대한 수요가 늘어난다는 점에서 꾸준히 성장해나갈 시장이라고 보고 있다”고 말했다.

국내 사이버 보안 시장은 어려운 경제 여건 속에서도 공공기관과 금융권, 기업 등의 디지털 전환 가속화와 함께 보안 위협이 더욱 복합적으로 변모하고 있어 업계는 향후 몇 년간 지속적인 성장을 예상한다. 특히 최근의 사이버 공격은 기업의 전산 시스템 중 가장 약한 부분을 찾아 대상에게 맞춤형 공격을 진행하는 등 한층 고도화되고 있기에, 취약한 이메일 영역을 보호할 수 있는 솔루션에 대한 관심이 늘어날 것으로 기대된다.

시큐레터 양승환 팀장은 “공격자들은 업무 문서로 위장한 악성 이메일을 임직원들에게 배포하고, 무심코 이를 클릭한 사용자를 통해 로그인 계정을 쉽게 얻어낸다. 이렇게 내부망에 접속한 뒤에는 별다른 제약 없이 영업정보시스템에 접속하거나 내부 직원 정보와 회사 기밀이 있는 데이터 저장소에도 쉽게 접근하는 등 매우 치명적인 결과를 낳을 수 있다”면서 “상황이 이렇다 보니 비대면 및 재택근무, 클라우드 업무 확대에 따른 이메일 기반의 업무 환경에서 파일 및 데이터를 보호하고자 하는 공공 및 금융기관, 기업의 수요가 계속해서 증가할 것으로 기대하고 있다. 실제 지난해 다양한 분야의 기업들로부터 이메일 보안 솔루션 도입에 대한 문의가 늘었다는 점에서 시장 확대에 대한 긍정적 신호를 느끼고 있다”고 말했다.

교체 수요, 클라우드, AI 대응 등 이슈

이메일 보안 솔루션은 일반적으로 PC에 설치하는 안티 바이러스 솔루션과는 달리, 이메일을 주고받는 네트워크 구간에 하드웨어 형태로 설치되는 것이 기본이다. 메일 서버가 수신한 이메일을 이메일 검사 장비에 전송해 악성 여부를 검사하고, 결과에 따라 허용하거나 차단하는 방식으로 작동한다. 따라서 이메일 보안 솔루션은 이메일의 내용을 검사하는 기술이 기본이자 필수 요소다. 즉 △송신 메일 서버 검증, 발신자 필터링 등 이메일 송신처를 검사하고 △메일 본문에서 링크 및 기타 위협 요소를 검사하며 △첨부파일에 악성코드가 포함돼 있는지 등을 검사한다.

최근에는 공공기관을 중심으로 클라우드 기반의 이메일 서비스를 도입하는 경우가 늘어나고 있어, 이메일 보안 솔루션 역시 클라우드 환경에 대응하고 관련 서비스 고도화에 나서고 있는 것으로 파악된다. 크리니티 임창완 이사는 “이메일 클라우드 전환 부분에서 많은 실적을 올리고 있는 크리니티는 클라우드 환경에 맞는 이메일 보안 서비스를 제공하고 있으며, 향후 있을 위협에 대응해 서비스를 고도화해 나갈 계획이다. 이와 함께 2024년까지 클라우드 서비스에 대한 통합 보안관제 서비스 론칭도 계획하고 있다”고 말했다.

이밖에 인공지능(AI) 기술을 활용해 스팸 필터링을 우회하는 등의 기법이 발견돼, 관련한 기술적 대응을 비롯해 보다 적극적인 형태의 새로운 방어 기법에 대한 연구도 진행되고 있다. 크리니티 임창완 이사는 “국내 이메일 보안 시장은 대부분 신규 시장보다는 기존 제품의 노후화 및 CC인증 만료로 인한 교체 사업으로 진행되고 있다”고 시장 분위기를 전하고 “기존 제품을 고도화해 지능형지속위협(APT) 대응 기능과 최근 이슈가 되는 랜섬웨어 탐지 기능이 복합된 제품이 시장에서 경쟁력 있는 제품이 될 것으로 생각한다”고 덧붙였다.

이메일 보안 솔루션 시장의 미래

지란지교시큐리티 윤두식 대표

지금까지의 이메일 보안 솔루션 시장은 이메일 자체에 대한 스팸 및 피싱을 차단하는 데 초점이 맞춰져 있었다. 즉 다른 공격들 및 다른 솔루션들과 분리해 생각해 왔던 한계가 있다. 국내 대부분의 제품이 각 솔루션에 충실한 차단과 방어 기능에 집중해 있었다. 하지만 향후 이메일 공격은 다음과 같은 이유로 인해 타 보안솔루션과 강결합한 제품 및 서비스로 진화할 것으로 생각된다.

1. 이메일 공격은 모든 악성공격의 전초기지 역할: 이메일 공격은 기업 내부 시스템을 감염시킬 수 있는 전초기지로 훨씬 활발히 이용될 것이다. 악성행위는 시스템을 공격하는 것보다 사람의 실수를 유발해 감염시키는 것이 훨씬 쉽기 때문이다. 일단 한 명이라도 감염되면 그 기업의 내부 시스템은 쉽게 감염을 전파할 수 있다.

2. 소셜엔지니어링을 통한 피싱, 타깃형 공격: 사람을 속이는 행위를 소셜엔지니어링이라 하는데, 특정인을 표적으로 삼아 그 사람이 그동안 주고받았던 메일 내용과 유사하게 메일을 작성해 공격하면 클릭하지 않을 수 없게 된다. 앞으로는 중요한 업무를 하는 직원, 예를 들어 회계담당자, 재무 담당자, 대고객 응대 담당자 등 IT와 보안에 관련이 없고 지식이 부족한 담당자들을 대상으로 하는 공격이 훨씬 많아질 것이며, 그 성공확률은 훨씬 높아질 것이다.

3. 랜섬웨어, 정보 유출 공격과 결합된 공격: 이메일 공격은 파일을 암호화시키는 랜섬웨어 공격과 정보 유출을 같이 시도하는 경우가 많아지고 있다. 랜섬웨어를 통해 돈을 뜯어내는 작업을 하면서, 그와 동시에 돈을 보내지 않는 경우를 대비해 정보 유출을 하겠다는 위협이 같이 발생하게 된다. 기업의 입장에서는 데이터 복구도 중요하지만, 대외 신뢰도가 훨씬 중요해질 수 있으므로 공격에 대한 대응이 훨씬 어려워질 수 있다.

4. 클라우드+SaaS 결합형 기반: 최근 들어 모든 악성 공격이 클라우드 서비스화되고 있다. RaaS(Ransomware as a service)와 같이 공격 툴도 SaaS화 되고 있어 기반 지식이 많지 않은 초보 해커들이라도 악성코드 공격을 하기가 매우 쉬워지고 있다. 앞으로 이러한 추세는 훨씬 강화될 것이다.

5. 이메일부터 권한관리, 엔드포인트 보호까지 모두 포함한 통합서비스 필요: 이메일은 모든 공격의 전초기지 역할을 하므로 이메일이 한번 뚫리면 그 내부 시스템에 매우 큰 영향을 미치게 된다. 하지만 모든 공격을 이메일 단에서 차단하기는 힘들며 이메일 공격이 성공하더라도 내부 권한관리, 엔드포인트 보호, 데이터 보호가 유기적으로 연결돼야만 공격을 원활하게 차단할 수 있을 것이다. 또한 해당 공격이 어떤 루트를 통해 들어왔는지 정확한 분석이 이뤄져야 하므로 네트워크 게이트웨이부터 엔드포인트까지 풀 루트를 하나의 사이클로 묶어 분석하고 차단할 수 있는 시스템간 결합이 필요할 것으로 생각된다.

중소기업도 솔루션 도입 고민해야

다만 대체로 어느 정도 성장을 한 기업들이 이메일 보안 솔루션 도입을 고민한다는 점은 국내 시장의 성장을 저해하는 요인인 것으로 분석된다. 크리니티 임창완 이사는 “대기업이나 중요 기관들은 이메일을 통한 공격을 방어하기 위한 전문적인 보안 시스템들을 갖추고 있으나, 그외 중소기업들은 비용 부담과 효용성에 대한 의문 등의 이유를 들어 보안 관련 투자에 적극적이지 못한 편이다”라고 말했다.

하지만 이메일을 통해 악성코드나 랜섬웨어에 감염돼 실제 업무에 지장을 초래하거나, 데이터 유실 등과 같이 돌이킬 수 없는 피해를 입게 된 후에는 이미 늦게 된다. 따라서 이제는 중소기업도 이메일 보안 솔루션 도입을 고민해야 할 필요가 있다고 업계는 강조한다. 특히 기존에 장비 기반의 구축형이었던 이메일 보안 솔루션이 클라우드 기반 구독형으로 서비스되기 시작하면서 초기 부담이 크게 줄어들어, 중소기업의 이메일 보안 강화 여건이 한층 좋아진 것으로 파악된다.

지란지교시큐리티 윤두식 대표는 “최근에는 지속적으로 모의훈련 솔루션 등을 이용하는 등의 예방으로 직원들의 이메일에 대한 보안 인식이 높아져 실제 피해가 발생하는 사례가 줄어들고는 있지만, 결국 전체 직원 중 1명만이라도 악의적 이메일에 포함된 첨부파일을 실행하면 기업 전체가 랜섬웨어에 감염되는 것은 물론, 기업의 정보가 유출되거나 금전을 요구하는 등의 추가 피해로 이어진다”고 강조했다. 윤 대표는 또한 “메일 공격 유형에 대응하기 위해 이메일 보안 기술도 발전하고 새로운 제품이 개발되고는 있지만, 지능적인 위협 메일은 선제적인 차단이 어렵다. 따라서 기업에서는 사용자 PC에서도 악성 행위나 파일을 차단할 수 있도록 에이전트(Agent) 기반의 보안제품을 필수로 도입해 실제 피해까지 이어지지 않도록 대비해야 한다”고 조언을 덧붙였다.

크리니티 임창완 이사는 “업무에서 이메일은 가장 기본적이면서 오래된 커뮤니케이션 수단이다. 이 때문인지 엔드유저들은 ‘이메일은 장애만 없으면 되지’, ‘내가 보낸 메일이 잘 가고, 상대가 보낸 메일이 잘 들어오기만 하면 되지’ 등의 사고에 머물러 있다. 또한 이메일을 통한 보안 사고가 많이 발생하고 있지만 이를 직접 겪어보지 않은 엔드유저들은 다양한 보안 위협에 무방비로 노출돼 있는 것이나 다름없다”면서 “그렇기에 기업과 기관의 보안 담당자들이 좀 더 적극적으로 임직원의 보안 인식개선을 위해 노력했으면 하는 바람이다. 이외에도 하나의 보안 솔루션으로 다양한 보안 위협을 막을 수 없다는 점을 인지할 필요가 있다. 일반적으로 기업이나 기관에서 시스템을 도입할 때 저비용/고효율이 의사결정의 중요한 기준이 되지만, 보안에 대해서만큼은 이 기준을 후순위로 둘 필요가 있다고 생각한다”고 말했다.