[디지털데일리 김보민기자] 특정 기업과 개인을 노려 금전 및 데이터를 갈취하는 지능형지속위협(APT)이 고도화되고 있다는 분석이 나왔다. 최근에는 악성코드가 없어 사전 탐지가 어려운 이메일 공격이 증가하고 있어, 기업뿐만 아니라 개인과 기관 차원에서도 주의가 필요하다는 취지다.

이메일 보안 기업 기원테크는 16일 서울 강남구 본솔빌딩에서 '이메일 시큐리티 솔루션 쇼케이스'를 열고 최신 위협 동향을 공유했다. 현장에는 김동철 대표를 비롯해 기원테크 주요 관계자들과, 파트너 및 잠재 고객사들이 참여했다.

이날 기원테크가 인용한 글로벌 조사에 따르면, 최근 3년간 사이버 범죄 유형 중 사기 메일 피해가 1위를 차지했다. 아울러 국내 코스피 200개 기업 중 사기 메일 차단 대응책이 부족한 곳은 88%를, 사기 메일 열람률은 70%를 기록한 것으로 나타났다. 코로나19 이후 재택 및 원격 근무가 두드러지면서, 이메일 환경에 보안 취약점이 커지고 있다는 점을 엿볼 수 있는 대목이다.

김동준 기원테크 영업팀 팀장은 "과거에는 스팸만 문제였다면, 이제는 사용자 환경에 맞춰 열어보지 않고는 못 배길 정도의 지능적인 메일이 문제가 되고 있다"며 "메일 자체에 (악성코드 등) 악성 요소가 없지만, 실질적으로 사기를 치기 위해 공격을 하는 사례가 포착되고 있다"고 밝혔다.

기원테크에 따르면, 공격자들은 특정 기업으로부터 금전과 데이터를 갈취하기 위해 정상 메일로 위장해 접근하고 있다. 김 팀장은 "최근 아웃룩 등 업무툴(도구)을 활용하면서 의심 없이 '회신' 버튼을 누르는 경우가 많고, 별도 메일 주소를 확인하는 과정을 거치지 않아 계정 정보가 탈취 당하는 실제 사례가 있다"고 말했다. 이어 "이럴 시 (사용자도 모르는 사이) 해커와 이야기를 주고받게 되는데, 공격자로부터 '원자재 비용을 잘못 보냈다' 혹은 '계좌가 변경됐으니 원자재 비용을 여기로 보내달라' 등의 요청을 받아 실제 송금한 사례가 있었다"고 소개했다.

메일 자체에 악성 요소가 없더라도, 오랜 기간 사용자와 소통해 신뢰를 쌓은 다음 정보를 빼가거나 금전을 요구하는 위협이 실제 발생하고 있다는 설명이다. 김 팀장은 "뿐만 아니라, 유사 도메인으로 일반적인 사람이 탐지하기 어렵게 사기 메일을 보내기도 한다"고 소개했다. 공식 발신 도메인인 'secumail' 대신 유사한 'securnail'을 활용해, 수신자가 사기 메일이라는 점을 인지하지 못하게 하는 방식이다.

이처럼 이메일 공격은 위·변조 메일, 사칭 메일, 발송 인터넷프로토콜(IP) 위조, 발신자 사칭 등 형태를 다변화하고 있다. 랜섬웨어, 첨부파일, 멀웨어, 악성 인터넷주소(URL)를 활용하는 늘고 있다. 김 팀장은 최근 발생한 SK텔레콤 해킹 사고 또한 이메일을 통해 발생했을 가능성을 점치며 "이러한 공격을 당하게 되면 단순 정보 유출에서 끝나는 것이 아닌, 기업 전체 이미지에도 큰 타격을 입게 된다"고 강조했다.

기원테크는 지속적이고 지능적인 APT공격이 활개치고 있는 만큼, 통합적인 이메일 보안 전략이 필요하다고 보고 있다. 그 일환으로 지능형 이메일 공격과 발신메일 보안 이슈에 통합 대응할 수 있는 이메일 보안 솔루션 '이지플랫폼(EG Platform)'을 제공하고 있다.

이지플랫폼은 ▲스팸 차단 솔루션 '스팸가드' ▲수신메일 보안 솔루션 '리시브가드' ▲발신메일 보안 솔루션 '센드가드' ▲이메일 콘텐츠 재조합 솔루션 '이지링커(EG Linker)를 통합 지원하는 것이 특징이다. 이메일 보안 경쟁사의 중 수신과 발신 등 특정 영역에 특화된 솔루션만 제공하는 곳이 다수인데, 기원테크는 이를 종합적으로 이용할 수 있는 환경을 구현했다.

김 팀장은 "수신의 경우 바깥에서 해커들이 공격을 하는 모양새를 보인다면, 발신의 경우 내부 직원들이 '보안 구멍(홀)'인 경우가 많다"고 말했다. 외부 공격뿐만 아니라 내부 직원이 정보를 유출하거나 금전을 갈취당할 가능성이 커진 만큼 종합적인 대책이 필요하다는 취지다.

스팸가드는 메일 유입량에 따른 유동적인 스팸 정책을 적용하고, 시그니처 바이러스를 탐지할 수 있다. 아울러 네트워크 차단 기술로 대량 메일을 사전에 차단하도록 돕는다. 리시브가드는 큐싱 등 새로운 비즈니스이메일침해(BEC) 공격을 차단하고, 악성코드를 3단계로 다중 분석 및 검사할 수 있다. URL 엔드포인트 실시간 검사도 가능하다.

센드가드는 승인·참조·차단 정책을 설정하고 암호화된 파일까지 개인정보를 탐지할 수 있다. 디지털저작권관리(DRM) 등 외부 시스템과 연동이 가능하다는 특징이 있다. 이지링커는 망분리 환경에서도 EML 콘텐츠 확인을 가능하게 하고, 첨부파일 제어와 사후검사 기능을 탑재하고 있다.

기원테크는 특허 67건, 국제전기통신연합(ITU) 1건, TI-1등급 등 인증을 받으며 이지플랫폼의 역량을 입증하고 있다. 또한 악성해킹 메일 모의훈련 서비스를 지원해, 각 조직에게 존재하는 보안 취약점을 발견하고 대응 방안을 컨설팅하고 있다. 김동철 대표는 "기원테크는 자체 기술을 기반으로 이메일에 대한 '모든 것'을 하고 있다"며 "하나에서 열까지 메일에 대해 알고 있는 만큼, 이메일 보안에 대한 자부심을 갖고 임할 것"이라고 밝혔다.