[컴퓨터월드] 이메일을 통한 사이버 공격 시도가 갈수록 기승을 부리고 있다. 대다수 기업의 임직원들은 고객사나 파트너사와 소통하기 위해, 그리고 심지어 사내 직원들 사이에서도 업무 관련 사항을 공유하기 위해 이메일을 활용하고 있다. 문제는 외부와 연결되는 최접점에 이메일이라는 수단이 존재하다 보니 사이버 공격에 노출되기도 그만큼 쉽다는 것이다.

글로벌 보안 업계에서는 이메일을 통한 공격을 BEC(Business Email Compromise), 즉 ‘이메일 사기’라고 지칭한다. 이메일 사기의 유형은 그야말로 다양하다. ‘이메일 용량이 가득 찼다’는 경고 메시지부터 ‘학술 대회에 초대한다’는 초대장, 설문조사 또는 인터뷰 질의서를 가장한 문서, 견적서 또는 계산서로 위장한 엑셀 파일, 급여 지급을 위한 문서로 위장한 파일, 국내 유명 클라우드 서비스 초대장으로 위장한 메일, 유명 사이트의 ‘비밀번호가 변경됐다’는 안내 메일 등 상상 가능한 모든 유형의 가짜 이메일을 활용해 대상이 걸려들기만을 기다린다.

특히 이메일 공격을 받는 대상과 평소 교류가 있는 고객이나 거래처의 이메일 주소를 도용하거나, 실제 이메일 주소와 헷갈리는 매우 유사한 가짜 메일 주소를 이용한다는 점에서 이메일 사기에 걸려들 확률은 더욱 올라간다. 여기에 APT(지능형지속위협) 공격에 준하는 이메일 사기 공격은 대상을 철저하게 파악해 이들이 실제 고객사와 주고받는 견적서나 계약서 등으로 위장한 파일을 첨부해 이메일을 보내므로 걸려들 확률이 매우 높다. 당연하게도 이 첨부 파일에는 악성코드가 숨겨져 있고, 이 코드가 실행되는 순간 랜섬웨어에 감염되거나 개인정보를 탈취하는 악성코드가 설치된다.

하지만 이러한 공격 수법은 사실 이제 상당히 많이 알려진 편이다. 현재 다수의 보안 기업들이 첨부 파일을 실행했을 때 ‘콘텐츠 사용’이나 ‘매크로 실행’과 같은 메시지가 출력될 때는 주의하고 절대 누르지 말라는 당부를 자사 블로그나 공지사항을 통해 하고 있고, 미디어를 통해서도 주의를 당부하는 기사가 쏟아지고 있기 때문이다.

하지만 그럼에도 불구하고 여전히 많은 ‘일부’ 사용자들이 이러한 내용을 제대로 인지하지 못하고 있으며, 심지어 동료 직원들에게 이러한 사기 메일을 포워딩하는 등의 사례가 주변에서 실제로 발생하는 것을 보면 안타까움을 감출 수가 없다. 조직 구성원 대다수가 이메일 사기 수법을 인지하고 있더라도, 작은 구멍이 결국 큰 사고로 확대되는 결과로 이어지는 경우가 많다.

결국 경고와 당부 등만으로 이메일 사기를 충분히 예방할 수 없다면, 시스템적으로 사기 메일의 수신을 제한하는 방법도 고려해야만 한다. 특히 국내 중소기업의 이메일 사기 예방 조치는 매우 미흡한 수준이다. 이제는 기업들 스스로 심각성을 인지해야 할 시점이며, 정부에서도 중소기업들이 이메일 사기 관련 방지 조치를 할 수 있도록 지원하고 독려해야 한다.