“비즈니스 이메일 사기 공격(BEC) 위협은 매우 심각하고 무섭고 위험한 공격입니다.”

이석호 프루프포인트코리아 대표는 23일 지난 4월 한국 법인 설립 후 처음 기자들과 만나 이같이 지적하며 “기업 간 신뢰 관계나 거래 관계를 이용해 최고경영자(CEO)나 재무담당자 등 협력사 관계자를 사칭한 BEC 공격을 상당히 유심히 관찰을 해야 되고 모니터링하고 막을 수 있는 대응수단이 필요하다”고 강조했다.

이 대표는 “이러한 이메일 사기 공격은 이메일 악성 첨부파일이나 URL 없이, 이를 이용하지 않고 이메일 구문이나 내용으로 돈을 송금하도록 만들거나 중요 자료를 보내도록 하기 때문에 스팸 필터, 이메일 지능형지속위협(APT) 솔루션도 대응하지 못하는 새로운 유형의 공격”이라고 설명했다.

이같은 BEC 공격 유형은 이메일 도메인을 사칭하는 스푸핑 공격과, 사람들이 잘 인지하지 못하도록 교묘하게 정상 도메인 글자 하나를 숫자 등으로 바꾸는 유사 도메인 공격, 피싱, 해킹 등에 의한 이메일 계정 탈취 공격이 있다.

미국 FBI가 작년에 발표한 리포트에 따르면, 이메일 사칭 공격으로 인한 손실액이 한화로 약 3조원(미화 25억달러)에 달하고, 사기 이메일 1건당 평균 손실금액이 25% 증가했으며, 건당 랜섬웨어의 손실액보다 BEC 손실액이 49배 더 큰 것으로 나타났다.

프루프포인트는 매일 이메일 사칭공격 시도를 4만5000건 차단하고 있고, 매분기 1만8000건의 급여계좌 사기 시도를 차단하고 있다. 인보이스, 송금계좌 사기 한 건으로 발생하는 270만달러의 잠재손실 피해를 막고 있다. 대부분(98%)의 공격이 기업과 협력사 간 사기 공격으로 나타난다.

국내에서도 경찰청, 한국인터넷진흥원(KISA), 관세청 등 정부기관을 사칭한 이메일 공격 시도가 많이 발생하고 있다. 몇 년 전 국내 대기업에서 BEC 공격으로 20만달러를 사기 공격자에게 실제 송금한 사례도 있었다.

이석호 프루프포인트코리아 대표(오른쪽)와 에반 두마스 포스포인트 아시아지역 담당 부사장이 한국 법인 설립 후 처음 기자들과 만나, BEC 위협의 심각성과 국내 기업의 대응 방안 적용 필요성을 강조하고 프루프포인트가 제시하는 권장 방안을 설명했다.

프루프포인트는 이같은 BEC나 스캠(SCAM)같은 이메일 사기 공격과 피싱, 계정탈취 공격까지 탐지해 막을 수 있는 이메일 보호 솔루션을 제공한다. 내부 임직원을 대상으로 발생하는 인바운드 공격을 탐지해 막는 것은 물론, 주 공격 타깃이 되는 임직원(Very Attacked Person, VAP)에 대한 가시성과 악성 사기 URL 격리, 모의 피싱과 온라인 교육 서비스 등도 제공한다.

프루프포인트는 기업 임직원을 사칭해 협력사 담당자를 공격하는 아웃바운드 BEC 공격의 경우, 사이버범죄자가 도메인을 악용하는 것을 방지하기 위한 이메일 인증 프로토콜인 디마크(DMARC, Domain-based Message Authentication, Reporting & Conformance) 구현이 필수적이라고 제시한다.


이날 이 대표와 함께 참석한 에반 두마스(Evan Dumas) 포스포인트 아시아지역 담당 부사장은 “하나의 기술 표준인 디마크는 스캠, 스푸핑, 피싱 공격으로부터 이메일 송수신자를 보호하는 프로토콜로 3단계에 걸쳐 정책을 활용할 수 있다”며 “거래처와 협력사 양쪽 모두 디마크를 구현해야 공격을 막을 수 있다”고 말했다.

두마스 부사장에 따르면, 첫 번째는 모니터(Monitor) 단계로 인증되지 않은 이메일을 수신자의 받은편지함이나 기타 다른 폴더로 이동하게 한다. 그 다음은 검역(Quarantine) 단계로, 인증되지 않은 이외에는 정크 폴더나 스팸 폴더, 휴지통으로 이동시키는 것이다. 마지막은 거부(Reject) 단계로, 인증되지 않은 이메일은 수신자에게 도달되지 못하도록 차단하는 매우 강력한 보호 수준의 대응이다. 이 경우 제대로 설정되지 못하면 오탐지로 인한 정상 이메일이 차단되는 등의 문제가 있다.

프루프포인트는 이 DMARC를 기업과 협력사 간에 제대로 구현할 수 있도록 지원하는 프로페셔널 서비스를 제공한다. 아울러 전세계 모든 인터넷 도메인을 스캐닝해 4억개 넘는 것으로 알려진 유사 도메인을 탐지해 고객들에게 제공해 차단을 요청하는 디스커버리 및 차단 서비스도 제공한다.

프루프포인트가 국내 코스피(KOSPI) 200 기업을 대상으로 DMARC 분석을 실시한 결과, 코스피 200 기업의 대다수(88%)가 기업 정보 보호에 필수적인 이메일 인증 프로토콜을 갖추고 있지 않아 고객, 파트너사 및 내부 직원이 이메일 사기에 쉽게 노출될 수 있는 것으로 나타났다.

조사 대상 기업 중 약 12%만이 DMARC 이메일 인증 프로토콜을 갖추고 있었다. 이 가운데 10%는 DMARC의 모니터 단계, 1%는 검역 수준의 DMARC 프로토콜을 채택해 인증되지 않은 이메일이 수신자의 이메일에 도달하고 있었다. 단 1%만이 현재 권장되는 엄격한 수준의 거부 단계를 채택한 것으로 나타났다. 이는 코스피 200 기업 88%가 사기성 이메일을 적극적으로 차단하지 못하고 있다는 것을 의미한다.

두마스 부사장은 “이는 한국만의 문제가 아니라, 아시아태평양 지역 주요 지수에 편입돼 있는 대부분의 기업들이 한국과 유사한 채택률을 보이고 있다”라면서 “이메일은 사이버 범죄자들이 가장 많이 활용하고 있는 이 위협 유입 경로로, 모든 기업들이 사업을 영위하고 거래를 수행하는데 있어 이메일 의존도가 굉장히 높다. 이로 인해 침해나 브랜드 타격 위험이 굉장히 높다”고 경고했다.

이어 그는 “조사 대상이 된 200대 기업들은 이메일 기반의 공격에 당연한 표적이 되고 있다. 이들을 대상으로 대규모 사이버 공격이 발생한다면 매우 큰 파장이 일어날 수 있고, 다수의 이해 관계자들과 또 기업들의 재정적으로 큰 타격을 줄 것”이라며 “DMARC 정책을 채택하는 것은 매우 간단한다. 고객의 DNS 환경에서 구현될 수 있다. 일정 기간 동안 모니터 단계를 유지한 뒤 모든 이메일 통신과 인증을 확인, 검증한 뒤 확신이 서면 거부 단계까지 단계를 상향시키는 것을 권장한다”고 제안했다.

한편, 프루프포인트는 2002년 6월 미국 캘리포니아 서니베일에서 설립된 정보보안 회사로, ‘사람 중심 보안(People Centric Security)’ 철학을 바탕으로 이메일 보호, 내부자위협관리(ITM), 보안인식 교육 사업을 전세계에서 진행하고 있다. 포춘 100, 1000, 2000 기업 중 가장 많이 사용하고 있는 솔루션 1위에 오른 기업으로, 포레스터, 프로스트앤설리반 등 여러 시장조사업체 분석 결과 이메일 보안 시장 리더를 유지하고 있다. 이 회사는 지난 2012년 처음 도입된 DMARC 개발에 참여한 기업인 리턴패스(ReturnPath)와 클라우드마크(Cloudmark)를 지난 2016년과 2017년에 각각 인수했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network