눈뜨고 사기당할 수 있는 이메일 보안 위협 심각성과 주요 유형

눈뜨고 사기당할 수 있는 이메일 보안 위협 심각성과 주요 유형 

[사진 = Thomas Macaulay]

소유주 사칭 양도신청(讓渡申請) 확인메일 안 봐서 곤욕(困辱)을 당했습니다. “전자우편(電子郵便) 한통에 날아갈 뻔한 도메인” 눈뜨고 떼일 뻔했습니다. 그 사연(事緣)은 다음과 같습니다. 

직장인(職場人) 전씨는 이달 초 자신도 모르는 사이에 자기 소유(自己所有) 인터넷 도메인이 전혀 모르는 미국인(美國人)에게로 넘어가 있는 것을 발견했습니다. 도메인 양도에 동의(同意)한 적도 없고 등록비용(登錄費用)도 꼬박꼬박 낸 그에게 왜 이런 일이 생겼을까요? 

조사(調査)해본 결과 지난 1월, 누군가 전씨를 사칭(詐稱)해 한국 회사에 등록돼 있던 전씨의 도메인을 미국 회사(美國會社)로 옮기겠다고 신청했습니다. 그 과정에서 소유주(所有主) 이름을 바꿔놨던 것이 드러났습니다. 물론 이 과정에서 미국 업체(美國業體)와 한국 업체는 전씨에게 전자우편(電子郵便)을 보내 본인 동의 여부(同意與否)를 물었습니다. 그러나 전씨는 이 메일을 확인(確認)하지 않았습니다. 이는 자동적으로 ‘동의(同意)’로 성립됩니다. 국제인터넷주소관리기구(ICANN)의 바뀐 절차(節次)에 따라 지난해 11월부터 소유자가 명확한 거부의사 표시(拒否意思表示)를 하지 않으면 기관이전 절차(機關移轉節次)가 끝나도록 한 까닭입니다. 전씨는 다행히도 미국업체가 신분확인에 소홀(疎忽)했던 점을 인정(認定)해 도메인을 되돌려 받을 수 있었습니다. 

도메인등록 업체인 ‘오늘과 내일’의 장민기 과장은 “거부의사(拒否意思)를 밝혀야 하는 기간은 통상 10일인 만큼 도메인 등록(登錄) 시 제출한 전자우편 계정(電子郵便計定)을 꼭 살려놓고 도메인 상태를 ‘잠금’으로 해놔 정보변경(情報變更)을 제한해놔야 한다”고 말했습니다. 

비단 개인(個人)뿐만 아니라 해커들이 기업 내부(企業內部)로 침투해 정보를 탈취(奪取)하는 주요 수단으로 가장 많이 활용(活用)하는 수단이 이메일입니다. 이메일에 대한 공격 위협(攻擊威脅)이 높아질수록 기업들도 시스템 보안 수준을 높임으로써 방어 태세(防禦態勢)를 갖추고 있지만 해킹에 노출된 경험이 있거나 손실을 입은 기업들의 경우엔 떨어진 자신감(自信感)이 좀처럼 회복(回復)될 기미를 보이지 않습니다. 최신의 치명적(致命的)인 위협들이 기술적인 공격(技術的攻擊)이 아닌 사회공학(社會工學) 해킹 기법(技法)이 주를 이루기 때문입니다. 

사회공학 해킹 기법은 시스템이 아닌 사람의 취약점(脆弱點)을 공략해 원하는 정보를 탈취해 가는 공격 기법(攻擊技法)입니다. 시스템의 취약점을 공략하는 DDoS 공격과 같은 기술적인 해킹과는 달리 인간의 감정이나 인지적(認知的) 특성을 이용해 표적의 시스템을 무력화(無力化)하는 피싱, 스피어피싱, 비즈니스 이메일 침해(侵害), 웨일링(Whaling)등이 여기 해당됩니다. 

강력한 기업 보안 시스템 구축(構築)에 임직원들의 보안수준(保安水準) 개선이 함께 요구되는 이유(理由)이기도 합니다. 그래서 준비한 오늘의 콘텐츠는 우리 조직과 기업을 위협(威脅)하는 이메일 보안 위협의 심각성(深刻性)을 짚어보고 주요 위협에 관한 것입니다. 지금부터 함께 살펴볼까요? 

기업의 94%, 피싱 공격 경험 있는 것으로 조사돼  
매년 사이버 보안위협(保安威脅) 보고서를 발행해 온 글로벌 보안 기업이자 조사기업인 마임캐스트(Mimecast)는 최근 1,025명의 글로벌 IT 의사 결정권자(意思決定權者)를 대상으로 한 조사 결과를 발표했습니다. 그 조사 결과는 상당히 충격적(衝擊的)인데 간략하게 요약하면 다음과 같습니다. 

보고서(報告書)에 따르면 사회공학 해킹 수법인 ‘피싱 공격’이 가장 두드러진 사이버 공격 유형(攻擊類型)인 것으로 조사됐습니다. 응답자의 94%가 이전 12개월 동안 피싱과 스피어 피싱 공격을 경험했으며 지난 1년간 피싱 공격이 증가(增加)했다는 응답자의 비중도 55%에 달한 것으로 나타났습니다. 

특히 사이버 범죄자들이 데이터를 훔치고 지능적(知能的)인 위협을 전달(傳達)하기 위한 사회공학적인 공격은 통제가 매우 힘들기 때문에 조직에게 점점 더 큰 우려(憂慮)가 되고 있다고 지적합니다. 이를 입증(立證)하듯 실제 이메일을 통한 사칭 공격(詐稱攻擊)은 70% 가까이 증가했습니다. 

이로 인한 기업의 손실은 어떨까요? 응답자의 73%는 이메일 기반 사칭 공격으로 인해 직간접적(直間接的)인 손실을 입었다고 답했습니다. 그리고 데이터 손실(40%) 비중이 가장 컸으며 금융손실(29%)과 고객 손실(28%) 비중도 큰 것으로 조사(調査)됐습니다. C 레벨의 운영진이나 인사부 담당자, 재정부 담당자들로 위장(僞裝)하는 경우가 가장 많았습니다. 

문제는 향후 이들 공격의 피해가 더욱 커질 것이란 불안감(不安感)이 팽배하고 있다는 점입니다. 응답자(應答者)의 61%는 올해 이메일을 통한 공격으로 회사가 부정적(否定的)인 영향을 받을 가능성이 있거나 불가피하다고 생각하고 있습니다. 막연한 두려움이 아니라 위장 공격(僞裝攻擊), 피싱 공격, 내부자 위협(內部者威脅)이 이전보다 훨씬 더 보편화(普遍化)되고 있다는 점에 기인합니다. 

전 직원이 인지해야만 하는 사회공학 해킹 기법들은 어떤 게 있나?  
앞서 언급했듯이 사회공학(社會工學) 해킹 기법이 인간의 감정이나 인지적 특성(認知的特性)을 이용해 표적의 시스템을 무력화하는 비기술적(非技術的)인 방법입니다. 보안 담당자(保安擔當者)를 포함한 직원 모두가 인지하고 대응(對應)해야 사전 예방은 물론, 피해를 최소화(最小化)할 수 있다는 점입니다. 지피지기면 백전백승(知彼知己百戰百勝)이라고 합니다. 이메일로 전파(傳播)되는 주요 위협인 피싱, 스피어피싱, 비즈니스 이메일 침해(BEC), 웨일링 등에 대해 살펴보기로 하겠습니다. 

피싱(Phishing)과 스피어 피싱(Spear Phishing) 
피싱(Phishing)은 그간 피해의 심각성(深刻性)과 수많은 피해 사례 속출(續出)로 인해 많은 분들이 아는 용어가 아닐까 싶습니다. 피싱(Phishing)은 개인정보(Private data)와 낚시(Fishing)의 합성어로 개인정보(個人情報)를 낚는다는 의미를 가지고 있습니다. 금융기관(金融機關) 또는 공공기관을 가장해 전화나 이메일로 인터넷 사이트에서 보안카드 일련번호(一連番號)와 번호 일부 또는 전체를 입력하도록 요구해 금융 정보(金融情報)를 몰래 빼가는 수법을 칭합니다. 전화를 이용할 경우 보이스피싱, 문자 메시지를 이용할 경우 스미싱이라고 합니다. 보다 진화(進化)된 피싱 수법 가운데 하나인 파밍(Pharming)도 여기에 속합니다. 파밍은 합법적(合法的)인 사용자의 도메인을 탈취(奪取)하거나 도메인 네임 시스템(DNS) 또는 프록시 서버 주소 변조(住所變造)로 이용자가 인터넷 '즐겨찾기'. 포털 사이트 검색, 주소입력 등을 통해 정상적인 사이트로 접속해도 피싱 사이트로 유도되어 범죄자(犯罪者)가 금전 및 개인 정보 등을 빼가는 수법(手法)입니다. 

일반적으로 대중을 타깃으로 대규모 발송(發送)되고 국세청, 은행 등 수신자(受信者)가 신뢰할 수 있는 대상을 사칭(詐稱)합니다. 배송 알림, 암호 만료, 메일 사서함 용량(容量)이 가득 찼다 등과 같이 대상이 넓은 만큼 다양한 메시지가 뿌려집니다. 수신자는 자신이 이용(利用)하고 있는 서비스에 대한 알림의 경우 별다른 의심 없이 본문 내 포함(包含)되어 있는 링크를 클릭하여 접속(接續)한 정상처럼 보이는 악성 사이트에서 계정 정보 등을 입력하게 되고 이는 계정정보(計定情報)의 탈취로 이어지게 됩니다. 본문 내 포함되어 있는 첨부파일 다운로드 역시 악성코드 감염(感染)으로 이어져 결과적으로 정보의 탈취 및 파괴 등 피해(被害)를 야기합니다. 

피싱이 불특정 다수를 타깃으로 한다면 스피어 피싱은 특정 타깃을 대상으로 진행되는 지능형 공격(知能型攻擊)입니다. 대상 타깃에 대한 분석(分析)을 바탕으로 공격 메일의 내용(內容)을 구성하기 때문에 공격 탐지(探知)가 매우 어렵다는 것이 특징(特徵)입니다. 앞서 말씀드린 것처럼 사람의 감정(感情)이나 인지적 특성(認知的特性)을 노린 공격이기 때문에 발견(發見)도 대응도 매우 힘듭니다. 

웨일링(Whaling) 
웨일링(Whaling)은 스피어 피싱의 한 종류(種類)로 특정 대상을 노리는 사회공학적 해킹 기법입니다. 웨일링은 기업 내 의사결정(意思決定) 권한을 가진 CEO나 고위급 임원(高位級任員) 또는 정치인(政治人), 연예인(演藝人) 등을 사칭(詐稱)해 미끼를 던져 중요정보와 금전(월척)을 낚는다는 의미에서 붙여진 이름입니다. 대상자(對象者)의 PC에 악성코드를 심어 기업 단체의 중요 정보 및 금전적(金錢的)인 이익을 탈취한다고 하는 점에서 피싱 및 스피어피싱과 같지만, 관계를 기반으로 한 커뮤니케이션을 지켜보다 적정한 타이밍에 타깃이 좋아할 만한 미끼를 던져 낚는 방식(方式)이라 악성코드를 쉽게 발견하기도 어렵고 규모 역시 매우 크므로 막대한 손실(損失)을 초래합니다. 미국 FBI는  웨일링 사기(詐欺)로 인한 3년간의 손실이  23억 달러가 넘으며,  미국 내 모든 주와 최소한 79개국 이상에서 발생했다고 밝혔습니다. 특히 CEO 사기로 확인된 피해자와 손실액(損失額)이 2015년 1월  이래 270% 증가했다고 하니 금전적 손실 측면에서 매우 심각한 위협(威脅)이라고 할 수 있겠습니다.  

비즈니스 이메일 침해(Business Email Compromise)  
위키피디아에 따르면, 비즈니스 이메일 침해(Business Email Compromise attacks, 이하 BEC)는 대상 조직에 부정적(否定的)인 영향을 미치는 특정 결과를 얻기 위해 e-메일 사기를 이용해 상업, 정부 및 비영리 조직(非營利組織)을 공격하는 사이버 범죄의 일종입니다. 기업의 최고경영자(CEO), 최고재무책임자(CFO) 또는 고위 임원 등 비즈니스 거래 관련자(去來關聯者)를 사칭해 기업 내부 실무자(實務者)에게 송금을 요청하는 등의 메일을 보내는 형태(形態)의 공격입니다. 금전이나 내부 정보를 탈취(奪取)하기 위한 목적으로 부정 조작(不正操作)된 이메일을 보내는 스피어 피싱에 속하지만, 악성코드나 악의적인 사이트로의 접속(接續)을 유도하지 않고 사회공학만을 이용하는 형태가 많은 것이 특징입니다. 공격자들은 사칭하고자 하는 대상을 철저하게 모니터링하고 공격 대상(攻擊對象)이 자리를 비운 틈을 노려 ‘송금 요청(送金要請)’ 메일을 재무부서(財務部署)의 실무자에게 발송하면 실무자는 CEO의 요청으로 생각하고 큰 의심 없이 해당 비용(該當費用)을 송금하게 됩니다. 송금 요청이 대표적(代表的)이지만 BEC의 공격 유형은 다음의 다섯 가지로 요약(要約), 정리(整理)할 수 있습니다. 

1) CEO 사기 :  CEO 사칭 이메일을 담당자에게 보내 공격자(攻擊者) 소유의 계좌로 금전 송금(金錢送金)을 지시합니다. 긴급용도(緊急用途)로 빠른 처리를 지시하기 때문에 담당자가 심리적(心理的)으로 검증할 시간을 충분히 갖지 못하고 해동(解凍)하게 되므로 피해가 큽니다.    

2)  가짜 청구서 사기 : 회사 고위 임원 이메일 계정에 접근(接近)한 후 담당자에게 지급 날짜가 돌아오는 청구서(Invoice)에 대해 거래처(去來處) 입금 계좌 번호가 변경(變更)됐다고 통보하는 이메일을 보내는 경우입니다. 이때 새로운 입금 계좌 번호(計座番號)는 해커 소유입니다.  

3)  변호사 사칭 : 법률 회사(法律會社) 변호사 이메일 계정에 접근한 후 변호사(辯護士)를 사칭해 분쟁 해결(紛爭解決)을 위한 금전 송금 요청 메일을 보내는 것입니다. 수신자(受信者)에게 금전 송금은 비밀이며 긴급 처리(緊急處理) 사항이라고 언급합니다.  

4)  어카운트 부정 조작 : 직원의 이메일 계정 접근(計定接近)한 후 직원을 사칭해 거래 관계에 있는 고객(顧客)에게 송금 주소가 변경되었다는 이메일을 보내는 경우(境遇)입니다.  

5)  민감한 정보 탈취 : 회사 고위 임원의 이메일 계정 접근한 후 회사 중요 정보(重要情報)를 다루는 직원에게 이메일을 보내어 민감(敏感)한 정보를 보내달라고 요청(要請)하는 경우입니다.  

BEC가 무서운 점은 바로 직접적(直接的)인 비용 손실로 이어진다는 점입니다. 2017년 당시 미 FBI는 총 30억 달러 이상의 손실(損失)을 보고하는 등 직접 나서 BEC를 경고(警告)하며 피해의 심각성 때문에 피해 최소화(被害最小化)를 위한 수사를 지속하고 있습니다.  

지금까지 이메일을 통해 전파되는 주요 위협에 대해 살펴봤습니다. 우리가 위협(威脅)에 대해 인지(認知)하고 있어야 하는 이유를 다시 한 번 강조(强調)하고 싶습니다. 유명 해커이자 보안 전문가인 케빈 미트닉(Kevin Minick)을 말로써 대신(代身)하고자 합니다.  

"기업 정보 보안(情報保安)에 있어 가장 큰 위협은 컴퓨터 바이러스, 패치가 적용(適用)되지 않은 중요한 프로그램이나 잘못 설정된 방화벽(防火壁)이 아니다. 가장 큰 위협은 바로 당신(當身)이다”.