[전문기고] 당신의 기업 이메일 환경, 보이는 것만큼 안전하지 않을 수 있다

JiranSecurity

일상적으로 받고 보내는 업무 메일, 하지만 그 속에 숨겨진 치명적인 보안 위협에 대해 생각해본 적 있으신가요? 이번 전문기고는 기업 이메일 환경에서 간과할 수 있는  보안 위협에 대해 파헤쳐보고, 어떻게 방어할 수 있는지에 대한 내용으로, 국내 유일 수사연구지인 ‘월간 수사연구’ 9월호 Criminal Focus 섹션에 게재되었습니다.

글 : 지란지교시큐리티 서양환 메일보안사업부 부장

 

시간을 거슬러 올라 90년대부터 시작된 보안위협과 그 대응에 대한 얘기를 해 보자. 바이러스를 차단하기 위해 백신을 도입하기 시작했고, 외부로부터의 침입을 방어하기 위해 방화벽이 등장했다. 그리고 얼마나 됐을까? 단순히 이러한 외부의 침입이 보안의 전부라고 생각이 될 때 쯤 내부자에 의한 정보 유출사고가 터지기 시작하였고 내부 정보 유출에 대한 이슈 대응이 IT보안 시장을 주도해 나가고 있었다. 이제 최근 이야기다. 이렇게 완전해 지는 건가 라고 인지할 때쯤 지능형 공격이라는 한층 고도화 된 보안 위협이 기존의 백신이 패턴을 통하여 막는다는 한계를 이용하여 백신이 알 수 없는 신규패턴들을 배포하기 시작하였으며, 보안 업계는 이러한 방식 또한 가상공간에서 직접 실행해 볼 수 있는 샌드박스 (보호된 영역안에서 프로그램을 작동시키는 보안 SW) 라는 기술을 통하여 이러한 침입들을 대응하고 있다.

emailenvironment1

IT 패러다임과 사이버보안 (출처 : 지란지교시큐리티)

디지털 시대, 그리고 모든 것이 연결되는 초연결시대에 데이터가 모이고 의미 있는 데이터에 집중이 되다 보니 이렇듯 이것을 노리는 보안 위협들이 커지고 있다. 정보 탈취 및 서비스 무력화 등의 기존의 플랫한 구조의 단순 범죄 목적들과는 달리 최근 등장한 렌섬웨어는 직접적인 금전을 목표로 할 수 있는 수단으로 범죄의 목적성을 좀 더 명확하게 하여 근 몇 년 사이 악성코드의 생성을 기존의 수 배 이상으로 상향하게 하기에 이르렀다.

최근 IT 기술은 이러한 보안 이슈를 막기 위해 더욱 진화된 방법으로 대응안을 제시하고 있다. 하지만 반대급부로 보안이라는 틀은 사용자에게 제약이라는 형태로 가중되어 다가왔으며, 사용자에게 불편할 수밖에 없는 상황을 만들고 최초 생각했던 편의성이 잊혀지고, 무시 된 채 통제 속의 편의성을 찾아야하는 딜레마에 빠져있는 아이러니한 현실이 되어 있다. 그렇다면, 질문을 던져볼 수 있다. 불편해지긴 했지만 그나마 안전해지지 않았을까? 조심스럽게 요즘 기업들의 IT 업무환경을 들여다보자.

그 편한 USB메모리는 이제 인식조차 할 수 없는 환경이 되었고, PC시대 산물인 CD롬은 요즘 애당초 붙어서 나오지도 않는다. 프린터를 하기 위해 인쇄버튼이라도 한번 누르게 되면 사용자 인증에 인쇄물은 출력자가 표기되고 또 로그를 남긴다. 모바일 기기를 반입할 땐 카메라 사용을 차단하기 위한 보안 스티커를 의무적으로 붙여야 하며 상황에 따라선 반입자체도 불가, 와이파이가 있고 네트워크에 연결되었지만 인가되지 않는 PC에서는 인터넷 사용이 되지 않을뿐더러, 인가된 사용자들도 인터넷을 제약적으로 사용하거나 사용자체가 허용되지 않는다. 바이러스를 탐지, 차단하기 위한 백신은 기본에, 은행사이트 접속할 때마다 추가로 설치되고 최근엔 APT관제 및 랜섬웨어방지 솔루션들, 문서는 개인 PC에 저장 하지도 못하게 하고 중앙화를 지향하며, 뭐하나 보내려면 차단과 결재에 사용자가 PC나 모바일기기를 통해 할 수 있는 많은 행위들은 어딘가에 로그를 통해 기록되어 심지어 사용시간에 대한 제약을 하기도 한다. 이렇게 보안이라는 제약 안에서 필요에 의해 또는 자기도 모르게 스스로 패쇄적인 환경을 따라가고 있으며 비용적인 측면 또한 가볍지 않다. 물론 모든 기업들이 그렇게 하고 있지는 않지만 대부분은 필요하지 않아서가 아닌 여력이 되지 않아서 못하고 있지 않을까.

이렇게 잘 갖춰진 보안의 환경 속에서도 어쩔 수 없는 부분들이 있다. 기업이 부가가치 창출을 위해 외부와의 커뮤니케이션을 할 수 없다면, 또는 정보수집을 해야 하는데 인터넷을 사용할 수 없다면. 이렇듯 어쩔 수 없는 외부와의 창구가 해커나 악성코드 유포자들에게는 유일하게 들어갈 수 있는 창구로 남아있다. 이 큰 부분을 차지하고 있는 것이 바로 웹과, 이메일이라 할 수 있겠다.

기존에 인터넷을 통하여 감염되던 바이러스는 기업의 사이트 통제 등을 통해 어느 정도 해소가 되어있기도 하고, 딱히 유포자의 입장에서도 파놓은 함정에 사용자가 들어오지 않으면 아무 소용없기 때문에 특정대상을 공격하기에는 엄청나게 유용한 수단으로 보이지는 않는다. 그렇다면 이메일은 어떨까? 많은 기업들이 커뮤니케이션의 수단으로 이메일을 많이 사용한다. 한 글로벌 리서치 기관의 조사 결과에 따르면, 이메일을 가장 중요한 업무수단으로 뽑는 사람이 80~90% 이상을 차지 할 만큼 그 중요성을 반증하는 지표가 있다. 이렇게 업무가 집중되는 만큼 중요도 또한 높아지고 있다. 주요 정보나 문서, 파일등을 누군가와 주고받을 때, 또 견적이나 금전적인 커뮤니케이션을 하기 위한 수단으로 가장 쉽고 편하며 시공간의 제약을 받지 않는 점도 큰 장점으로 작용하고 있으며, 특히나 앞에 소개했던 패쇄적인 환경 때문에 유일한 창구로 사용되고 있기도 하며 중요 문서나 파일을 저장하기 위해 스스로에게 메일을 보냈었던 일도 다들 한번쯤은 경험하고 있지 않을까, 그리고 기업 내 보안 감사나 데이터 검색의 많은 부분을 저장된 메일이 타겟이 되는 케이스도 많아지고 있다. 이처럼 이메일은 기존에는 단순히 커뮤니케이션의 수단이었다면 요즘은 내부정보의 중요 보관소로 보호해야하며 주의를 기울여야할 큰 매체가 되어있다.

 

왜 이메일이 타겟이 될까?

 

메일은 쉽게 노출되어있다. 구글링만 하더라도 특정인이나 특정기업의 분야별 대표 이메일 주소쯤 알아내는 건 크게 어렵지 않은 일이다. 하지만 이러한 정보를 민감하게 생각하는 사람도 별로 없을 듯하다. 그리고 정확하다. 웹상에 악성코드를 올려놓고 누군가 와서 감염되기를 바라는 행위와 반대로 이렇게 쉽게 알게 된 메일주소를 타겟으로 상대가 혹 할 만한 여지를 같이 주어주게 된다면 내가 원하는 사람에게 내가 포장한 내용을 직접적으로 전달할 수 있기 때문이다. 보통 이메일을 수신하는 사람 입장에서는 누구나 판단할 수 있는 스팸메일을 제외한 메일이 주로 내가 아는 사람들, 신뢰할 수 있는 사람이거나 내가 어딘가에서 활동했던 피드백으로 생각 할 확률이 높다. 2년 전쯤 모 카드회사의 명세서를 사칭하여 배포된 악성메일 역시 그러한 사유로 많은 사람들이 클릭해보고 악성코드에 감염되었던 사례, 또 크고 작은 정보유출 사고들의 접근 경로들 역시 이메일을 통해 아는 사람인척, 수신자가 관심있을 법한 내용을 담아 보내는 사례들을 보면 이렇게 신뢰라는 느낌을 잘 이용했었던 것 같다. 만약 기업이 의사소통을 하는 이 통로를 누군가 관제하고 있다면, 혹은 이를 위조 하거나 도용한다면 범죄에 응용할 만한 엄청난 리소스가 될 것이다.

emailenvironment2
이메일의 중요성 및 이메일을 통한 보안위협의 증가 (출처 : 지란지교시큐리티)

 

스캠메일이란?

 

어느 날 갑자기 주거래처의 담당자에게 메일이 한통 날아왔다.

“당사의 주거래 은행이 바뀌어 계좌 사본이 변경되었으니, 향후 아래 계좌로 입금해주세요.”

메일주소도 같아 보이고 메일 밑에 항상 쓰는 발신자의 서명 또한 같아서 의심하지 않고 다음번 송금은 바뀐 계좌를 통해 이루어지고 있었다, 그렇게 한두 달이 지나고 거래처에서 연락이 왔다. “수금이 원활하지 않게 이루어지고 있으니 신경 써 달라”는. 알고 보니 거래처에서는 계좌를 바꾼 적이 없었고, 발신자 역시 거래처의 담당자가 아닌 스캐머로 밝혀졌던 것이다.

최근 이러한 방법을 통하여 금전사고를 앓고 있는 기업들이 하나 둘 늘어나고 있다. 사전적인 의미로 “기업 이메일 정보를 해킹해 거래처로 둔갑시켜서 무역 거래 대금을 가로채는 범죄 수법을 말한다” 의 뜻을 지닌 스캠메일이 최근 많이 등장 하고 있다. 특히나 이메일은 시공간의 제약이 없는 터라 해외 거래가 많은 기업들에겐 더 큰 위협요소로 다가오고 있다. 이유인즉, 해외의 누군가와 일을 하는 방법이 무엇이 있을까? 직접 만나지 않으면 통화를 해야할테고, 그렇지 않다면 메시지를 남겨놓고 확인하는 방법으로 이메일을 많이 이용할텐데, 만약 6~12시간의 시차가 나는 해외거래처와의 업무라면 어떨까? 서로의 업무시간이 엇갈려 메일을 보냈냐고, 확인했냐고 확인 할 수 있는 검증조차 힘들 것이다. 그렇다 보니 지금까지는 주로 해외에 지사가 있거나 해외 업체와 일을 하는 기업들이 타겟이었지만 결코 앞으로는 그게 전부이진 않을 것이다.

 

스캠메일을 방어하기 위한 방법을 찾기 위해 분석하던 중 스캠메일을 크게 두 가지 타입으로 압축해 보았다.

첫 번째는, 메일 위변조를 통한 스캠

사실 이메일을 잘 들여다보면 여러 가지 속성들에 의해 생각보다 복잡하게 구성이 되어있다. 그중 하나가 from과 봉투발신자, 흔히 일반적으로 메일을 열었을 때 보낸사람이 발신자라고 알고 있으며 실제로도 그렇다. 하지만 이 부분이 봉투발신자에 해당하는 부분이다. 실제 발신자가 a@a.com 이더라도 이메일을 받는 수신자에게는 b@b.com 으로 표기하여 보내는 것이 가능하다. 몇 번쯤 경험 해봤겠지만 abc@abc.com 에서 수신된 메일의 발신자가 “홍길동”으로 표기된 적을 본적이 있을 것이다. 이러한 홍길동이라는 표기를 대신하여 aaa@aaa.com을 표기한다면 쉽게 눈치 챌 수 있을까?

그리고 또 하나는 reply-to라는 것인데 보통의 사용자들이 메일을 읽고 회신버튼을 눌러서 회신 했을 때의 목적지를 지칭한다. 이것 역시 일반적으로 발신했던 상대에게 회신을 한다고 알고 있으며 실제로도 그렇다. 하지만 이부분 역시 속성에 따로 정의하여 발신했던 사람이 정의한 주소로 회신을 보낼 수 있는 방법이다. 예를 들면 a@a.com 이 보낸 메일에 회신 버튼을 눌렀는데 b@b.com 으로 메일을 보내게 하는 방법이다. 해당 방법은 사용자가 회신 버튼을 눌렀을 때 목적지의 주소가 표기되기 때문에 눈치 챌 수 있지만 회신 버튼 누른 후 사용자 메일까지 확인하는 꼼꼼함을 갖은 사람이 몇이나 될까?

사실 조금만 신경쓴다면 이와 같은 형태의 메일을 보내는 건 딱히 어려운 일도 아닐 것이다. 이러한 방법을 이용하여 발신자를 속여서 스캐머 B가 A인척 메일을 보내고, 회신 목적지를 속여 A가 받아야할 메일을 B가 받아서 다시 A인척 하고 메일 통신이 이루어지는 것이다.

 

두 번째는, 유사 도메인을 만들어 속이는 방법이다.

내용인즉 서울시에서 사용하는 이메일의 도메인이 seoul.com? seoul.net? seoul.go.kr? seoulcity.go.kr? seou1.com? seou1.go.kr 이러한 도메인에서 메일을 수신하였는데 서울시청입니다 라고 하면 대부분은 ‘그렇겠구나’ 할 것이다. 눈치 챈 이도 있겠지만 사실 우리는 알파벳 소문자 “l”과 숫자“1”정도도 육안으로 구분하기 힘들다. 뿐만 아니라 상대의 도메인 주소를 100% 외울만한 일도 없었고 그럴 필요도 없었다. 이렇게 비슷하거나, 상대방이 크게 신경쓰지 못할 듯한 도메인을 생성해서 그 사람인척 하고 메일을 보낸다. 이러한 방법은 뭔가를 위배하거나 위조하지 않고 정상적인 접근을 사용하였기 때문에 탐지도 어려워 보인다.

실제 필자가 봤었던 유사도메인을 이용한 스캠 피해 사례가 있다. 해외에 수출을 하는 A사와 주거래처 B사가 있다. A사의 회계담당은 B사를 사칭한 B`로부터 결제계좌 변경 안내 메일을 받았다. 그리고 B`에게 입금을 하게 되었다. 뒤늦게 사기 당했다는 사실을 알게 되었고, B`를 조사했지만 B`는 존재하지 않는 도메인이었다. 알고 보니 도메인 생성에서 소멸의 사이클이 1년 주기임을 이용하여 1년전부터 도메인을 생성하였으며 소멸되기 며칠전부터 이러한 사기행각을 했었던 걸로 파악된다. 그리고 조사했을 땐 이미 소멸되어 없어졌을 때 이다. 사실 그전에 A, B사 각각의 담당자 정보와 하는 일들 그리고 주로 메일에 쓰는 서명파일등 많은 정보 수집이 필요했을 것이다. 그리고 이러한 범죄를 위해 1년 전부터 치밀하게 준비하고 집요하게 기다려서 사기행각을 벌였던 사례이다. 이러한 스캠메일로 인해 국내에서만 작게는 수백만 원 크게는 200여억 원에 이르기 까지 크고 작은 피해들이 속출하고 있다.

emailenvironment3
이메일 스캠 시나리오 (출처 : 지란지교시큐리티)

 

스캠 메일에 대한 대처 방안

그렇다면 어떻게 방어해야 할까?

일단 첫 번째 소개한 수발신자 위변조를 통한 방법들은 최근 진화한 스팸방지 솔루션들을 통하여 탐지 및 차단이 가능하다. 실제 메일 속성과 표기되는 값들을 비교하여 수상한 메일을 차단하거나 알림을 주는 방식이다. 하지만 사람이 직접 수발신자를 검토하거나 정확한 메일주소를 찾아보기가 현실상 힘들다는 부분을 감안하면 무조건 시스템을 통해 걸러줘야 하는 부분이다. 문제는 유사도메인을 통해 일어나는 범죄를 어떻게 차단할 수 있는가이다. 잘 확인하고 의심되는 이메일은 함부로 열어보거나 회신하거나 하지 말라고 하는 교육이 중요하지만 이 방법 또한 한계가 있다.

이에 최근 공공기관 및 기업에서는 컨설팅 조직에서 권장하는 이메일 해킹 모의 훈련들을 보면 사용자들에게 기업차원의 보안교육을 철저히 하고 관리자가 교묘하게 위장한 악성코드 혹은 스캠메일을 샘플로 만들어 사용자들에게 배포한 후 지정한 메일을 열어보거나 해당 내용에 반응을 하게 되었을 때 해당인원을 별도로 집계하여 인사고과에 반영하거나 추가 교육을 하는 등 이메일을 통한 보안 위협에 대응하는 사례가 늘고 있다.

초기 이메일을 통한 보안 위협은 대량으로 배포되는 단순 스팸메일 형태에서 이제는 한 번의 공격을 성공하기 위해 6개월, 1년을 기다리는 치밀함을 보이는 수준까지 올라간 사회공학적 분석을 통한 체계적인 공격 형태의 패턴을 보이고 있다. 이메일 사용은 비즈니스상에서 그 중요성과 의존도가 더욱 가중될 것이며, 이에 사용자의 인식과 주의가 더욱 필요할 것으로 본다. 시간이 지날수록 이메일에 대한 위협은 고도화, 지능화되는 양상을 띠며 증가할 것이고, 그 피해 역시 비례 증가할 것이다. 이메일은 커뮤니케이션의 도구일 뿐 아니라, 기업의 주요 비즈니스 정보가 담겨있는 중요 자산이자 공간이기도 하다.


※ 해당 콘텐츠의 저작권은 ‘수사연구사’에 있으며, 사전 동의에 의해 해당 사이트에 게재되었습니다.
※ 해당 사이트의 모든 콘텐츠는 저작자표시-비영리-변경금지 라이선스 정책이 적용됩니다. by-nc-nd

목록