이메일 해킹은 이메일 계정을 해킹한 뒤 회사 임원으로 위장해 송금 요청을 하거나 기존 거래 회사의 계좌번호를 해커의 계좌로 변조하는 '사회공학적 기법'을 기반으로 공격하기 때문에 성공율이 65%에 달한다고 한국인터넷진흥원(KISA)은 지난달 26일 '외부기관 사칭 등 해킹메일의 기술적 대응' 기자간담회에서 밝혔다.
사회공학적 기법은 이미 알고 있는 지인 혹은 상대방의 심리를 이용한 공격으로 직장상사로 위장한 이메일 혹은 직접 이메일 계정을 해킹하여 악성코드·랜섬웨어를 유포하거나, 검찰 등 정부기관에서 요청하는 것처럼 불안을 줄 수 있는 내용으로 사용자를 현혹하는 해킹 기법을 말한다.
이러한 피싱 메일은 "귀하의 계정이 해킹 당했습니다"라는 자극적인 제목으로 유포돼 링크를 클릭하거나 첨부된 파일을 실행하게 되면 사용자의 PC나 스마트폰이 해킹 당하게 되고, 이를 이용해 금품을 요구하거나 정보를 갈취해 2차 피해를 양산하게 된다.
급증하는 피해 사례들을 학습한 정부도 이메일 해킹에 대한 심각성을 인식하고 피해 방지를 최소화하기 위해 나서고 있다. 정부는 지난달 해킹 메일을 기술적으로 식별하고 차단하는 '메일인증기술표준'을 확대 보급하겠다고 발표했다. 한국인터넷진흥원(KISA)을 통해 메일 보안표준인 메일서버등록제(SPF), 도메인키인증메일(DKIM)의 검증을 모두 지원하는 도메인기반이메일인증(DMARC)의 적용을 확대해 사회공학적 기법으로부터 스캠·피싱 여부를 확인하고 보호할 수 있도록 적극 활용한다고 한다.
SPF는 발신 측이 정상적으로 등록된 서버인지를 확인할 수 있도록 지원해주고, DKIM은 이메일 위변조 여부를 확인하는 기술표준이다. 이 두 가지 검증 결과를 토대로 발신 측의 신원을 확인하고 사칭 여부를 정확히 판단할 수 있으며, 이 두 가지 검증을 모두 지원하는 것이 DMARC이다.
그러나 국내에서는 아직까지 DMARC 활용 사례가 미미한 수준이다. 한국인터넷진흥원(KISA)에 따르면 국내 SPF 적용률은 높은 수준이지만 미국 연방정부 기관의 87.2%가 DMARC 를 도입한 것과 달리 국내의 DMARC 적용률은 0.1% 그치고 있다. 그만큼 이메일 보안에 대한 인식이 낮다는 증거다. 정부가 나서 메일인증기술표준 적용에 대한 홍보와 함께 민간에서 보급이 빠르게 확대할 수 있도록 권고할 방침이라지만, 실효성에 대해서 의문을 제기하는 목소리가 높다.
국내 이메일 해킹 피해액은 신고한 것만 수십억원, 신고하지 않은 것은 수백억원이 넘을 정도로 피해 사례는 지속적으로 늘어나고 있지만, 실제로 피해를 입기 전까지 관심이 없는 게 문제다. 민간에서도 정부와 적극 협력하여 이메일 해킹 위협에 대해 알리고 DMARC를 적용한 해킹 방어 기술에 대한 대대적인 홍보를 기획할 필요가 있다.
이메일 해킹 방지를 위해 기업들에 실질적으로 도움을 줄 수 있는 몇 가지 예방하는 방법이 있다. 회사에 가장 큰 피해를 주는 이메일 해킹 사례는 '송금 오류'이므로, 기본적으로 업체나 직장 내로부터 이메일로 요청을 받아 송금해야 할 때 각별한 주의가 필요하다.
송금 요청자가 회사 대표(CEO)라면 문자나 카카오톡으로 송금요청이 맞는지 재차 확인하고, 해외 기업이라면 이메일이 아닌 팩스로 통장사본과 기업의 사업자 사본을 받아서 확인하는 절차가 반드시 필요하다. 즉 각 담당자들이 경각심을 가지고 신중하게 확인하고 처리하는 것이 기본 중의 기본이다. 관리자와 업무 담당자들이 기본적으로 숙지하고 반드시 점검해야 할 5가지 예방법을 꼭 확인하고 점검하기를 당부한다.
첫째, 발송자가 불분명한 메일에 첨부된 파일은 절대 열어보면 안 된다. 해커가 hwp나 doc, pdf 등에 악성코드를 삽입해 파일을 열면 자동으로 PC가 감염되고 해커에게 원격조정을 당해 모든 이메일과 회사 정보가 노출 될 수 있다.
둘째, 메일서버에 pop3, imap 은 물론 smtp에 대해서도 접근 가능한 아이피를 제한해야 한다. 국내 대부분의 메일 호스팅은 모든 아이피가 전체 다 개방돼 있다. 전체 아이피가 개방된 메일 서버는 해킹에 100% 노출돼 있으므로 반드시 특정 아이피로만 제한하도록 변경하거나 제한 기능을 제공하는 서비스 업체로 메일 서버를 변경해야 한다.
셋째, 이용중인 메일 서버가 스캠 및 스팸메일을 사전에 걸러내기 위한 다양한 다중 필터(RBL, SpamAssasin, Bayesian filter, Razor2, Pyzor, SUBL, DNSBL 등)를 지원하는지 확인이 필요하다. 만약 의심스러운 메일들이 계속 들어오고 있다면 필터를 적용하지 않고 있는 경우일 수 있으므로 필터를 지원하는 메일 서버로 전환 업그레이드를 하는 것이 안전하다.
넷째, 메일 서버에 발송자가 정확한지 체크하는 SPF, DKIM, DMARC을 지원하고 실제로 사용 중인지 체크한다. 메일서버를 호스팅 회사에서 이용하고 있다면 메일서버등록(SPF), 도메인키인증 (DKIM), 도메인기반이메일인증(DMARC) 3가지를 지원하는지 꼭 확인하고 지원하지 않으면 지원하는 곳으로 변경하는 것이 안전하다. 국내에서는 0.1%만 도메인기반이메일인증(DMARC)을 사용하고 있는 만큼 아직 도입하지 않은 곳이 99% 여서 시급한 개선이 필요하다.
마지막으로, 요청이 정상적인 요청인지 또한 계좌번호가 정확한지 2차, 3차 수작업 확인도 필요하다. 전화와 팩스 등으로 송금 요청이 정당한 요청인지 계좌번호가 정확한지 팩스로 통장사본을 요청해야 한다. 주의 사항은 이메일로 요청하면 해커가 팩스로 허위 계좌를 보낼 수 있으므로 이메일 보안이 허술하다면 불편하더라도 전화나 팩스로 다시 요청을 해야만 한다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]