국내 기업 이메일 보안실태와 보안수준 향상을 위한 제언

국내 기업 이메일 보안실태 점검을 위하여 스팸스나이퍼 고객사 및 메일보안 문의 기업을 대상으로 지난 3월부터 5월까지 진행한 온, 오프라인 설문 결과의 주요내용을 공유합니다. 설문의 결과는 응답자의 특성(직급, 경력, 직무 등)과 표본의 크기에 영향을 받으므로 다른 설문 결과와 상이할 수 있습니다. [총 116개 기업 IT, 보안 담당자 대상 조사]

 

이메일 보안실태 조사 결과 주요내용

 

메일 시스템 불만족 요인
메일 시스템 불만족 요인

 

1. 이메일의 중요성 및 시스템 고도화 의지

이메일은 기업 비즈니스에 있어 핵심 채널이자 자산으로 이용되고 있지만 이메일 보안위협으로 인한 피해, 메일 시스템에 대한 투자 현황 등을 살펴보면 아직까지 국내 메일 시스템과 이메일 보안 솔루션에 대한 인식 및 관리는 그 중요성에 미치지 못 하고 있는 것이 현실입니다. 설문에 응답한 기업의 92%가 이메일을 통한 업무 비중이 ‘매우 높다(매우 중요함’)고 응답한 것에 비해 메일 시스템에 대한 업그레이드 필요성에 관한 질문에서는 ‘필요하지 않음’으로 답변한 기업이 55%메일의 중요성 대비 시스템의 고도화 의지는 높지 않은 것으로 나타났습니다.

 

2. 메일 시스템에 대한 만족도

현재 이용하고 있는 메일 시스템의 성능 만족도에 대한 질문에서 ‘불만족(매우 불만족 포함)’으로 응답한 비중은 11%로 89% 기업이 메일 시스템의 성능에 대체로 만족하고 있는 것으로 조사되었습니다. 반면 불만족 요인에 관한 질문에서 가장 많은 응답을 차지한 요인은 ‘기능 부족 및 오류’와 ‘메일 용량 부족’, ‘보안(스팸, 피싱, 악성코드 유입 등)’으로 메일 시스템을 장기간 이용하고 있는 기업에서 불만족 요인에 가장 많은 답변을 한 것으로 나타났습니다. 장기간 이용하고 있는 기업에서 불만족 요인에 대한 응답 비중이 높은 것을 볼 때 장기간 이용에 따른 시스템의 노후화가 불만족 요인에 영향을 미치는 것으로 해석할 수 있습니다. 이밖에 기타 불만족 요인으로는 ‘대용량 메일 전송 제한’, ‘아카이빙 미지원’, ‘모바일 미지원’ 등이 있었습니다.

 

3. 클라우드 전환 의지

메일 시스템의 클라우드 전환 의지에 관한 질문에서 클라우드 전환에 관심을 가지고 있거나 이미 이용 중인 기업은 59%(관심을 가지고 있음 : 47% 이미 이용중 : 6% 진행/계획중 : 6%)로 과반수 이상의 기업이 클라우드 전환을 긍정적으로 보고 있는 것으로 조사되었습니다. 또한 이용중으로 응답한 기업 85%가 최근 1~3년 내 메일 시스템을 도입한 기업인 것으로 나타났습니다. 클라우드형(서비스) 이용 기업과 클라우드 전환을 바라보는 긍정적인 분위기를 볼 때 국내에서도 메일 시스템의 클라우드 전환 움직임이 최근 시작되고 있다고 볼 수 있습니다.

 

이메일 보안실태
이메일 보안실태

 

4. 기업 내 메일보안 구축 현황과 향후 방향

설문에 참여한 기업의 95%가 스팸차단 시스템을 구축하는 등 기본적인 메일보안은 이미 운영하고 있는 것으로 조사되었습니다. 그러나 발신메일 필터 시스템(메일 DLP), 이메일 아카이빙 시스템(컴플라이언스 대응), APT 차단 시스템(이메일 APT 대응)과 같은 추가적인 보안 솔루션의 도입은 상대적으로 저조한 수준(14%~22%)으로 아직까지 국내 이메일 보안은 스팸메일 차단 솔루션 중심으로 운영되고 있는 것으로 확인되었습니다.

그러나 추가로 이어진 각각의 보안 솔루션의 필요성에 관한 질문에서 ‘APT 차단 시스템’은 96% 기업‘발신메일 필터 시스템(메일 DLP)’은 85% 기업‘이메일 아카이빙 시스템(컴플라이언스 대응)’은 70% 기업이 필요성을 느끼고 있다고 응답하는 등 향후 기업의 메일보안 솔루션 수요는 스팸차단 시스템 외 보안 솔루션으로 확대될 것으로 보입니다.

 

5. 샌드박스 vs CDR

대표적인 APT 공격 대응 방법인 샌드박스에 대하여 ‘들어본적 없음’으로 응답한 기업은 55개(47%)로 나타났으며, 이 중 29개 기업이 301명 이상 규모의 기업으로 엔터프라이즈 규모에서도 샌드박스에 대한 인지가 높지 않은 것이 확인되었습니다. 반면 최근 국내에서 본격적으로 소개되고 있는 CDR은 74% 기업이 ‘들어본적 없음’으로 응답했으나, ‘들어본적 있음’으로 응답한 기업 30개 중 19개 기업이 301명 이상으로 엔터프라이즈에서 관심이 높은 것으로 조사되었습니다.

이는 행위기반 솔루션을 우회하는 기술들이 증가함에 따라 샌드박스 외 APT 공격 대응 솔루션에 대한 관심이 높아지고 있는 것을 보여주는 결과라고 할 수 있습니다.

* 샌드박스(Sandbox) : 가상 환경에서 파일을 실행, 행위분석을 통해 위협 차단

* CDR(Content Disarm & Reconstruction) : 문서 파일 내 액티브 콘텐츠를 무해화하고 안전한 문서 파일로 재조합

 

6. 모바일에서 메일보안(캡쳐, 첨부파일 다운로드) 제어 필요성

모바일 오피스와 함께 모바일 디바이스에서도 메일을 통한 비즈니스가 가능해지면서 추가적인 보안 이슈 역시 등장했습니다. 메일에 첨부되어 있는 파일을 디바이스로 저장하거나 디바이스의 화면캡쳐 기능을 이용하여 메일의 내용을 사진으로 보관하는 것이죠. 디바이스의 유실이나 도난 등에 의한 정보 유출 위협과 기업의 기밀 정보가 관리 대상이 아닌 개인 디바이스 저장되는 보안 이슈가 기업 내에 문제로 부상하면서 모바일에서의 제어 필요성이 대두되고 있습니다. 실제 설문에서도 약 67% 기업이 필요성을 느끼고 있는 것으로 나타났으며, 기업 규모가 클 수록 해당 솔루션에 관심이 높은 것으로 조사되었습니다.

 

설문 결과에서 나온 것처럼 국내 메일보안 역시 클라우드, 보안 영역 확대 등 글로벌 메일보안 트렌드를 따라 움직이는 것으로 보입니다. 하지만 몇 가지 메일보안에 대한 오해와 인식 부족과 같은 해결해야 하는 과제도 존재합니다. 예를 들면 메일 시스템 고도화는 업무 생산성으로 연결되기 때문에 필요성이 높다는 것이죠. 

 

이메일 보안수준 향상을 위한 제언

국내를 타겟으로한 지능형 공격은 이메일을 통해 지속적으로 유입되고 있지만 설문 결과처럼 아직까지 국내 이메일 보안은 ‘스팸차단 시스템’이라는 기본적인 보안에서 머물고 있는 상황입니다. 이메일을 통한 보안위협의 위험성을 경계하는 목소리는 지금도 계속해서 증가하고 있습니다.

Infowatch에서 발표한 2017 데이터 유출 리포트에 따르면 기업 임직원에 의한 내부 정보유출 비중은 60.5%로 이메일과 웹, 클라우드를 통해 가장 많이 유출되고 있는 것으로 조사되었으며 내부자에 의한 정보유출 피해가 심각한 것으로 나타났습니다. 특히 내부자에 의한 정보유출은 비 숙련, 실수 등 의도하지 않은 유출이 82.9%로 정책의 운영만으로는 이를 완전히 차단하기 어려운 것이 특징입니다. 또한 지난 5월 25일 시행된 EU의 GDPR 역시  이메일 내 포함되어 있는 데이터에 대한 보안과 관리의 필요성은 더욱 강조되고 있습니다.

이처럼 기업의 이메일은 외부로 유입되는 위협과 내부정보 유출과 같은 내부위협 그리고 이메일에 저장되어 있는 데이터에 관한 컴플라이언스 등 다양한 요인에 막대한 영향을 받기 때문에 지속적인 관리와 모니터링이 필요한 기업의 핵심자산이라고 할 수 있습니다. 장기적인 관점에서 이메일 보안수준 향상을 위해서는 위의 솔루션들을 구축하는 것이 필요한 것은 사실입니다. 본 콘텐츠에서는 단기적으로 적용해볼 수 있는 방안에 대해서만 서술하겠습니다.

 

1. 악성메일 모의훈련 및 교육 실시

악성메일 모의훈련은 악성메일로 위장한 훈련메일을 사내 임직원들에게 배포하고 임직원들의 행동 결과(보안팀 신고, 다운로드&실행, URL클릭, 삭제 등)를 통해 사내 이메일 보안 수준 점검이 가능합니다. 또한 모의 훈련 결과를 바탕으로 기업 임직원에게 맞는 메일보안 교육과 정책을 운영할 수 있기 때문에 기업의 메일보안 수준 향상을 기대할 수 있습니다.

 

2. 퇴사자 이메일 관리

퇴사자 이메일은 보통 기업의 이메일 계정 관리 대상에서 벗어나기 때문에 보안 위협의 유입을 모니터링하기 어려습니다. 메일 계정 해킹 시 기업 내부 및 외부 파트너들을 타겟으로 하는 공격의 주요 채널이 될 수 있어 기업 이미지 하락, 파트너의 손실 발생 시 책임의 문제 등을 유발할 수 있습니다. 퇴사자 메일의 데이터는 별도 백업을 진행한 후 삭제하거나, 보안 담당자 및 관리자의 관리 범위에 두는 것이 필요합니다.

 

3. 현재 운영 제품의 고도화

현재 운영하고 있는 스팸메일 차단 시스템을 포함한 메일보안 솔루션의 기능 및 버전 업데이트를 항상 최신으로 운영하는 것이 필요합니다. 또한 보안 벤더가 제공하는 유지보수 역시 계약을 통해 정기적으로 점검하고 지속적인 관리를 통해 최신의 보안 상태를 유지해야 합니다.

 

4. 정기적인 백업

메일 데이터에 대한 정기적인 백업으로 피해 발생 시에도 비즈니스를 지속할 수 있도록 준비해야 합니다.

 

5. 발신메일 보안 정책 도입

발신메일 차단 시스템을 운영하지 않고 있더라도 외부로 나가는 메일에 대한 보안 정책을 규정하고 임직원들에게 배포, 교육을 정기적으로 실시함으로써 의도치 않은 정보유출 위험을 축소할 수 있습니다. 이러한 정책의 운영은 컴플라이언스 위배 시 기업이 얼마나 보안을 유지하기 위하여 노력했는지에 대한 척도로서도 평가받을 수 있다는 점에서 도입을 검토할 필요가 있습니다.

 

간단하지만 기업 이메일 보안수준 향상에 도움이 되는 방법에 대해서 알아봤습니다. 그러나 정책과 교육만으로는 한계가 있는 것도 분명 사실입니다. 장기적으로 기업의 이메일 보안수준 향상을 위해서는 무엇보다 기업 환경에 맞는 최적화된 보안 솔루션을 검토하고 도입해야 합니다. 또한 이메일 보안은 인/아웃바운드와 보존하고 있는 이메일 자산에 대한 관리 등 넓은 개념에서 접근해야 합니다. 양방향 채널과 자산으로 인식하는 것부터 메일보안의 시작인 것이죠.

 


※ 해당 사이트의 모든 콘텐츠는 저작자표시-비영리-변경금지 라이선스 정책이 적용됩니다. by-nc-nd

목록