[사칭메일 피해 급증] 이메일 한 통에 기업 휘청

지난해 12월 '비상계엄 사태'의 혼란 속에 이를 악용한 사칭메일이 정부와 공공기관 종사자에게 대량 유포됐다. '방첩사 작성 계엄 문건 공개'라는 제목의 메일은 계엄 관련 새로운 정보를 공유하는 것처럼 위장하고 악성 파일을 첨부한 상태였다. 북한이 배후로 추정되는 이 사칭메일에 120여명이 속아 개인정보를 탈취당했다.

사칭메일은 아는 사람, 사업 거래처, 공공기관, 유명 브랜드 등으로 위장해 개인정보나 돈을 갈취하는 사기 전자메일 공격이다. 기업의 경우 바이러스에 감염시켜 거액을 요구하는 랜섬웨어가 대표적이다. '국세청입니다' '받은 편지함이 꽉 찼습니다' 등 일상 업무나 '계엄 문건'처럼 이슈가 된 사건 관련 정보인 양 제목을 달아 보내기 때문에 속기 쉽다. 일상적 업무 메일인 줄 알고 무심코 또는 호기심에 확인(클릭)하는 순간 돌이킬 수 없는 피해를 본다.

가장 최근 알려진 사칭메일 공격은 올해 1월 발생한 '서울시 공무원 사칭 피싱 메일 발송'이다. 해커는 서울시 공무원을 사칭해 대북 전단 살포 견해와 관련 비대면 회의 가능 여부를 묻고, 이를 확인하는 첨부 파일에 악성코드를 심었다. 서울시는 시민 메일 계정으로는 모집이나 참여 업무를 진행하지 않는다며 해당 메일 삭제를 공지했지만 피해 사례나 규모는 정확히 파악되지 않고 있다.

2023년 5월 드러난 '네이버·카카오 사칭 해킹 시도'도 대표적 사칭메일 공격 사례다. 당시 국가정보원 설명에 따르면 해커는 수신자가 메일을 열어보도록 발신자명을 포털로 사칭했고, 제목도 '새로운 환경에서 로그인됐습니다' '회원님 계정이 이용 제한됐습니다' 등 계정 보안 문제인 것처럼 위장했다.

일명 '국회의원 사칭 메일'은 지난 2022년 4~10월 사이에 대량으로 뿌려져 해당 메일 수신자 가운데 49명이 문서와 주소록 등을 탈취당한 것으로 확인됐다.

◇해결 비용 '눈덩이'...사이버 범죄 BEC

과학기술정보통신부와 한국정보보호산업협회가 500개 기업을 대상으로 행한 '2024년 기업 정보보호실태조사' 결과 기업이 경험한 정보 침해사고 유형(중복 응답)은 '랜섬웨어 감염'이 51%로 가장 많았다. 이어 외부 비인가 침투(해킹) 46.6%, 바이러스로 인한 시스템 마비 33.8% 순이다. 이러한 기업 정보침해 공격의 주요 공통 경로가 사칭메일이다.

하지만 조사 기업의 67.6%는 별다른 침해 대응 조치나 활동을 하지 않고 있는 것으로 나타났다.

메일 보안 전문기업 리얼시큐가 사칭메일에 대한 경각심을 높이고자 과기정통부, 한국인터넷진흥원(KISA) 조사 및 발표자료를 집계해 연표로 만든 결과 2022년 한해에만 매달 크고 작은 정보 침해 사고가 발생했다. 1월에 조선사 랜섬웨어 감염, 3월 전자업종 기업 임직원 계정 유출, 7월 콜택시 중계사 랜섬웨어 공격, 9월 정부 유튜브 계정 해킹, 11월 이태원 참사 정보 악용 등 사칭메일 공격과 이로 인한 피해가 끊이지 않았다.

기업이 가장 두려워하는 사칭메일은 잘 알거나 신뢰하는 거래처(거래 담당자)로 위장한 BEC(Business Email Compromise)다. BEC는 매출, 수출 실적 등 기업 비즈니스의 절박함을 악용해 송금이나 자금 이체를 유도한다. 또 신규 거래를 사칭해 계약서로 위장한 랜섬웨어를 첨부한다. BEC가 해결 비용이 가장 많이 드는 사이버 범죄로 불리는 이유다.

실제로 지난해 2월 홍콩의 한 금융사 직원은 BEC에 속아 2억 홍콩달러(약 340억원)를 해커에 송금했다. 놀라운 것은 해커가 정교한 딥페이크 기술을 이용해 금융사 임원을 사칭하고, 사내 이메일과 온라인 화상, 메신저 등 신뢰할만한 모든 수단을 동원해 송금을 독촉했다는 점이다. 해당 직원은 실제 임원의 요청으로 알고 송금했다고 말했다.

보안컨설팅기업 프루프포인트 조사에 따르면 매년 글로벌 기업의 76%가량이 BEC 공격을 받고 있다. 공격받은 기업 가운데 64%가 랜섬웨어에 감염됐고, 이 가운데 63%는 해커의 요구대로 비용을 지급했다.

미국 연방수사국(FBI)은 BEC 공격으로 인한 글로벌 기업 피해액이 최근 몇년 새 260억달러(약 35조원)를 넘어선 것으로 추정된다고 밝혔다. 국내 기업의 52%가 BEC 공격을 받았고 이 가운데 15%는 금전적 손실을 봤을 것이라는 보고서도 있다.

◇의심하면 믿게 만든다…전화 유도 등 다중 인증까지

사칭메일 공격이 끊이지 않고 그 피해 또한 계속 늘어나는 이유는 무엇일까.

보안 업계와 전문가들은 사칭메일 공격 기술은 나날이 진화하는 반면 메일보안 기술은 예전 방식에 머물러 있는 것을 가장 큰 이유로 꼽는다.

대표적으로 사칭메일의 공격 대상과 사칭메일 방어시스템의 대상이 어긋나 있다(미스매칭)는 점을 지적한다. 사칭메일 공격은 수신자를 속이기 위해 다양한 기술과 방법을 동원하는 데 반해 현재 보안시스템은 메일에 첨부된 악성코드를 탐지하는 데 초점을 맞추고 있다는 것이다. 수단과 방법을 가리지 않고 속이려 덤비는 부동산 전세 사기꾼에게 대응해 계약서만 정확하면 문제없다는 식이다.

'방첩사 계엄문건' 사칭메일은 관련 업무 종사자를 타깃으로 했고, 메일 제목과 내용에 당시 최대 관심사였던 '계엄'과 '방첩사'라는 단어를 넣어 수신자를 방심하게 했다.

이미 고도화된 사칭메일은 보낸 사람을 시작으로 메일 제목, 내용까지 단계적으로 믿음을 주면서 수신자를 속인다. 보낸 사람을 알거나 제목과 내용이 수신인과 관련된 것이면 대부분 첨부 파일까지 열어보게 된다. 수신인이 제목이나 내용을 의심하면 유무선 전화 사칭(TOAD)을 비롯해 다중인증(MFA)기술까지 동원한다. TOAD는 '가짜 거래처'로 전화를 걸도록 유도해 다중으로 사칭메일을 믿게 만드는 방법이다.

문제는 기업이 사용하는 대부분의 메일보안솔루션은 발신자를 추적 검증해 사칭메일을 확인 차단하는 기능을 갖고 있지 않다는 점이다. 해커가 다양한 형태로 활용하는 메일발송기(또는 메일시스템)를 역추적해 확인할 수 있는 보안기술이 없기 때문이다. 메일에 포함된 악성코드나 링크를 탐지해 사칭메일을 차단할 수 있다는 주장은 사칭메일 원천 차단과는 전혀 다른 얘기다.

◇사칭메일 차단 솔루션 보급 시급

기업 최고정보책임자(CIO)와 보안 담당자의 인식 부족도 사칭메일 피해가 줄지 않는 요인이다.

정희수 리얼시큐 대표는 “사칭메일을 스팸메일 정도로 가볍게 여기는 경향이 여전하다. 불특정 다수에게 뿌려지는 광고성 스팸메일은 귀찮기는 해도 큰 피해가 발생하지 않는다. 하지만 피싱, 스피어피싱을 동반한 사칭메일은 열어 본 즉시 엄청난 피해를 안긴다”고 말했다.

사칭메일 대응은 '출처가 불분명한 메일서버'나 해커가 만든 '사설메일발송기'를 추적해 진위를 확인하고 차단하는 방법뿐이다.

리얼시큐가 개발한 '리얼메일'은 발신정보를 역추적해 메일발송기를 검증하고 사칭메일을 차단하는 제로 트러스트 기반 메일보안솔루션이다. 출시 후 국정원 인증까지 받았지만 이를 도입한 기업·기관은 소수에 불과하다.

정부 부처의 소극적 대응 문제도 빼놓을 수 없다.

과기정통부와 관계 기관은 4년 전인 2021년에 '랜섬웨어 대응 강화 방안'을 발표했다. 요지는 랜섬웨어 대부분이 이메일로 전달되고, 그 출처는 '불분명한 메일서버' 또는 '사설메일발송기'라는 것을 파악했으며, 따라서 발송 근원지를 추적하는 기술을 개발해 대응하겠다는 것이었다.

하지만 발송 근원지를 추적해 차단할 수 있는 제품이 이미 상용화됐음에도 정부 차원의 가시적 조치는 없다. 기업 부담, 공급 실적, 경쟁 제품이 없다는 것을 이유로 들었다.

최근 SK텔레콤 유심 해킹 사건이 일파만파로 확산하고 있다. 지난달 27일 과기정통부와 KISA는 '유심 무상 교체' '유심보호서비스'를 내세워 피싱 사이트 접속을 유도하는 사이버 침해 공격을 적발했다며 사이트 주소 확인과 출처 불분명 경유 도메인의 클릭 자제를 당부했다. 피싱 사이트 유도에 이어 유심 교체나 유심 보호로 위장한 사칭메일이 대거 뿌려질 것으로 예상돼 대응책이 요구된다.

부산=임동식 기자 dslim@etnews.com