주요 이메일 보안 위협 유형과 최근 대응 동향

JiranSecurity

이메일 보안 위협은 기업에게는 업무 중단 시간과 손실 및 복구 비용을 직원에게는 피해 보상이나 해고로 이어질 수 있다는 측면에서 심각한 보안 위협 중 하나라고 할 수 있습니다. 본 콘텐츠에서는 대표적인 이메일 보안 위협 유형을 살펴보고 최근 이메일 보안 위협의 동향을 소개합니다.

 

이메일 보안 위협 유형

글로벌 이메일 보안 벤더인 Proofpoint가 발표한 2018 Understanding Email Fraud 설문 결과에 따르면 IT 의사결정권자 82%는 이메일 사기를 우려하고 있으며 59%는 이메일 사기를 최고의 보안 위협 중 하나라고 생각하는 것으로 나타났습니다. 이메일  보안 위협이 기업의 비즈니스 영위에 심각한 피해를 줄 수 있다는 것을 인지하기 시작한 것이죠. 이메일을 통한 스피어피싱과 랜섬웨어, BEC(Business Email Compromise) 공격으로 인한 피해가 전세계적으로 증가하면서 국가적으로 대응하고자 하는 움직임도 시작되고 있습니다. 실제로 미국의 국토안보부는 지난해 정부 도메인을 사용하는 모든 연방 정부 기관을 대상으로 DMARC(Domain-based Message Authentication, Reporting & Conformance)를 의무적으로 도입하도록 지시한 것이죠. 많은 이메일 보안 전문가들이 이러한 시도를 긍정적으로 평가하고 있습니다.

그러나 여전히 많은 조직이 이메일 보안 위협을 정확히 이해하고 있지 못 하고 있습니다. 지금 우리 조직을 위협하는 이메일 보안 위협에는 어떤 것들이 있을까요?

<대표 이메일 보안 위협 유형 5가지>

 

이메일 보안위협 유형, 지란지교시큐리티
이메일 보안위협 유형, 지란지교시큐리티

 

1. 피싱(Phishing)

일반적으로 피싱은 대중을 타겟으로 대규모로 발송되며 수신자가 신뢰할 수 있는 대상을 사칭합니다. 배송 알림, 암호 만료, 메일 사서함의 용량이 가득차 있다는 알림 등 다양한 형태의 메시지가 존재합니다. 수신자는 자신이 이용하고 있는 서비스에 대한 알림의 경우 별 다른 의심없이 본문 내 포함되어 있는 링크를 클릭하여 접속한 정상처럼 보이는 악성 사이트에서 계정 정보 등을 입력하게 되고 이는 계정정보의 탈취로 이어지게 됩니다. 본문 내 포함되어 있는 첨부파일 다운로드 역시 악성코드 감염으로 이어져 결과적으로 정보의 탈취 및 파괴 등 피해를 야기합니다.

2. 스피어피싱(Spear Phishing)

스피어피싱은 특정 타겟을 대상으로 진행되는 지능형 공격입니다. 대상 타겟에 대한 분석을 바탕으로 공격 메일의 내용을 구성하기 때문에 공격을 탐지하기 어렵다는 것이 가장 큰 특징입니다. 특정 타겟에게 최적화된 공격은 장기간 동안 은밀히 이루어져 공격을 당한 사실을 몇 년 뒤에 알아차린 사례도 쉽게 찾아볼 수 있습니다. 스피어피싱은 시스템이 아닌 사람을 노린 공격이라는 측면에서 조직의 대응 한계를 유발합니다. 사람이 가진 취약성은 시그니처화 할 수 없기 때문이죠.

3. 웨일링(Whaling)

웨일링 공격은 스피어피싱의 한 종류로 특정 대상만을 노린 공격입니다. 웨일링은 ‘포경(고래잡이)로 주로 기업 내 가장 중요한 인사인 CEO나 고위급 임원 또는 유명인사 등을 타겟으로 미끼를 통해 고래(중요인사)를 낚는 다는 의미를 담고 있습니다. 고위급 대상에 대한 공격은 일반 스피어피싱보다 훨씬 더 심각한 피해를 야기합니다. 고위급 임원이 가지고 있는 권한이죠. 일반 직원들에 비해 고위급 임원들의 경우 기업 내 다양하고 중요한 정보에 대한 접근 권한을 가지고 있기 때문에 고위급 임원들의 권한을 획득하는 것만으로 큰 피해를 야기시킬 수 있습니다. 또한, 획득한 정보를 바탕으로 추가적인 공격도 가능하기 때문에 1차 피해만으로 끝나지 않을 수 있습니다. 공격자들은 타겟을 지속적으로 모니터링하고 타겟이 선호하는 내용으로 이메일을 구성하여 보내며 바로 악성메일을 보내는 것이 아닌 지속적인 교류를 통해 공격 성공율을 높이기 때문에 대응하기 어렵습니다.

4. BEC(Business Email Compromise)

BEC는 기업의 최고경영자(CEO), 최고재무책임자(CFO) 또는 고위 임원 등을 사칭하여 기업 내부 실무자를 대상으로 송금을 요청하는 등의 메일을 보내는 형태의 공격입니다. 특히 이메일을 통한 BEC 공격은 악성코드나 악의적인 사이트로의 접속을 유도하지 않고 사회공학만을 이용하는 형태가 많은 것이 특징입니다. 공격자들은 사칭하고자 하는 대상을 철저하게 모니터링하고 공격 대상이 자리를 비운틈을 노려 ‘송금 요청’ 메일을 재무 부서의 실무자에게 발송하면 실무자는 CEO의 요청으로 생각하고 큰 의심없이 해당 비용을 송금하게 됩니다. BEC가 무서운 점은 바로 직접적인 비용 손실로 이어진다는 점입니다. 그 피해가 심각하기 때문에 미국의 연방수사국(FBI)이 직접 나서서 BEC를 경고하고 있으며, 피해를 최소화하기 위해 수사를 계속하고 있습니다.

5. 복제피싱(Clone Phishing)

복제피싱은 공격 대상이 수신한 경험이 있는 정상 메일과 동일한 메일로 시도하는 피싱 공격입니다. 메일 본문이 이전에 수신한 메일과 동일하기 때문에 수신자의 신뢰를 쉽게 얻을 수 있다는 것이 특징입니다. 공격자는 이전 메일의 업데이트나 수정과 같은 형태로 동일한 메일을 재발송하는 이유를 설명하기 때문에 수신자는 해당 메일의 링크나 첨부파일을 실행하게 되는 것이죠.

 

대응 동향

이처럼 최근 이메일 보안 위협은 고도의 기술을 이용하기 보다는 사회공학을 이용하는 형태로 진화하고 있습니다. 고도의 기술을 연구하지 않아도 공격 대상을 분석하고 이를 공격에 이용하는 것만으로도 높은 성공을 기대할 수 있기 때문이죠. 특히 개인의 성향, 감정, 컨디션, 환경(이슈), 심리적 요인 등 다양한 변수에 영향을 받는 사람은 매력적인 공격 대상이라고 할 수 있습니다.

고도화 되는 이메일 보안 위협에 대응하기 위한 움직임에는 어떤 것들이 있을까요? 최근 이메일 보안에서 인공지능 적용 시도가 사람의 취약성을 보완하기 위한 대표적인 움직임입니다. 인공지능 기술을 적용하여 의심스러운 이메일을 사전에 필터링하는 것이죠. 또 하나의 시도는 이메일 인증 도입의 확대입니다. 앞서 말씀드린 정부 차원의 이메일 인증 도입 추진이 대표적인 사례라고 할 수 있습니다. 기업의 악성메일 모의훈련도 사회공학 기반의 공격에 대응하기 위한 대표적인 움직임의 하나입니다.

이처럼 이메일 보안 위협에 대한 경각심이 높아지면서 다양한 형태로 보안을 강화하기 위한 움직임이 추진되고 있습니다. 한 통의 유입되는 메일만으로도 심각한 피해로 이어질 수 있기 때문이죠. 지금 기업의 이메일 보안 수준을 높이기 위한 방안을 고민하고  계시다면 보안 솔루션과 조직 구성원 모두의 참여를 함께 염두하실 것을 추천드립니다. 우리가 지켜야하는 것은 이메일과 이메일의 사용자 모두이니까요.

 

레퍼런스

– Vade Secure Launches Native, AI-Based Email Security Add-On for Office 365, DARKReading

– Types of phishing attacks and how to identify them, CSO FROM IDG

– 80% of Australian businesses expect to fall victim to email fraud in the next 12 months, CIO FROM IDG

– Five things to do if your business is the victim of cybercrime, LEXOLOGY


※ 해당 사이트의 모든 콘텐츠는 저작자표시-비영리-변경금지 라이선스 정책이 적용됩니다. by-nc-nd

목록