보안

프루프포인트 “코스피 기업 88%는 이메일보안 미흡··· DMARC 채택해야”

이종현
23일 기자간담회에서 발표 중인 이석호 프루프포인트 코리아 대표
23일 기자간담회에서 발표 중인 이석호 프루프포인트 코리아 대표
[디지털데일리 이종현기자] 사이버공격이 일상처럼 여겨지는 오늘날, 해커들이 가장 애용하는 공격 통로는 이메일이다. 정상 이메일 계정을 탈취하거나, 유사한 계정을 만들어 사칭하는 등의 방식이 흔히 쓰인다. 고도의 기술이 요구되지는 않으면서도 피해 규모는 큰 기업들의 골칫덩이다.

23일 글로벌 사이버보안 기업 프루프포인트(Proofpoint) 코리아 이석호 대표는 국내 기자들을 대상으로 연 간담회에서 이메일 사기 공격(Business Email Compromise, 이하 BEC)으로 인한 위협이 지속하고 있으나 이에 대응하는 기업들의 준비는 충분치 못하다고 주장했다.

2021년 미국 연방수사국(FBI)의 인터넷 범죄 보고서에 따르면 BEC는 전체 사이버 범죄 피해 중 35%를 차지한다. 작년 BEC로 인한 손실액은 25억달러가량으로, 한화로는 3조원을 넘는다. 큰 위협으로 여겨지는 랜섬웨어로 인한 손실액의 49배에 달한다.

실제 국내 대기업도 BEC로 인한 피해를 입은 사례가 있다. LG화학이다. 사우디아라비아의 기업으로부터 원료를 수입하던 LG화학은 해당 기업으로부터 납품 대금 계좌가 변경됐다는 메일을 받고 거래대금 240억원을 지급했다. 해당 계좌는 원료 수입 기업과 상관 없는 계좌였다. 이는 이메일을 해킹해 두 기업의 거래정보와 계좌정보를 파악해 사기 행각을 벌인 케이스다.

이석호 대표는 BEC를 “인류의 원초적인 사기 범죄 행위가 사이버화된 유형”이라고 정의했다. 전화를 이용한 보이스피싱, 문자메시지를 이용한 스미싱처럼 이메일을 통한 사기 범죄라는 설명이다.

그는 “BEC가 무서운 것은, 악성 첨부파일이나 인터넷주소(URL) 없이 이메일 본문 내용만으로 피해를 입을 수 있다는 점이다. 악성파일이나 URL 같은 경우는 요즘 솔루션으로 다 걸러낼 수 있지만 사회공학적 기법을 이용하는 경우는 막기 어렵다”고 말했다.

프루프포인트는 이와 같은 BEC 차단에 특화된 기술을 보유한 기업이다. 가트너 등 정보기술(IT) 시장조사기관들로부터 이메일 보안 시장 리더로 꼽힌다. 머신러닝 엔진을 통해 BEC 공격도 차단할 수 있다는 것을 무기로 내세운다.

이석호 대표는 이와 같은 BEC를 막으려면 도메인 기반 메시지 인증, 보고 및 적합성(Domain-based Message Authentication, Reporting & Conformance, 이하 DMARC)를 도입해야 한다고 강조했다.
DMARC 개념도
DMARC 개념도

DMARC는 비즈니스 이메일 공격이나 피싱 및 사기 등 사이버위협을 차단하기 위한 이메일 인증 프로토콜이다. 수신자에게 발송된 메일이 수신자가 발신자에 대해 알고 있는 내용과 일치하는지 검토한 후 메일을 처리하게 된다. 인증을 통과한 메일은 수신자에게 전달되지만 그렇지 않은 메일은 차단되는 구조다.

다만 국내 기업들의 DMARC 도입률은 저조한 편이라는 것이 프루프포인트의 분석이다. 프루프포인트가 한국 코스피 200 기업들을 분석한 결과 88%는 DMARC를 채택하지 않았다. BEC에 취약한 상태라는 설명이다.

프루프포인트에 따르면 조사 대상 기업 중 약 12%가 이메일 인증 프로토콜을 갖췄지만, 이메일 사기로부터의 보호 수준은 각각 상이했다. 이중 10%는 모니터 수준, 1%는 검역 수준의 DMARC 프로토콜을 채택해 인증되지 않은 이메일이 수신자의 이메일에 도달하고 있었다. 단 1%만이 현재 권장되는 엄격한 수준의 DMARC 프로토콜을 채택하는 중이다.

에반 두마스(Evan Dumas) 프루프포인트 아시아지역 담당 부사장은 “전 세계적으로 이메일 기반 사이버 공격으로 인한 피해 사례가 속출하고 있다. 이번 코스피 200 기업 대상 DMARC 분석 결과로 봤을 때 한국도 이메일 사기에 광범위하게 노출돼 있다”며 “모든 기업은 공급업체와 판매사, 직원, 고객 및 파트너사 간의 업무를 진행하기 위해 이메일 에코시스템에 크게 의존하고 있기 때문에 사이버 공격과 브랜드 이미지 손상의 위험이 높다”고 진단했다.

이어서 “코스피 200기업을 타깃으로 한 사이버 공격은 관련 산업 내 큰 반향을 일으킬 것이며 다양한 이해관계자와 기업에 재정적 타격을 미칠 가능성이 있다. 올해가 DMARC 프로토콜이 개발된 지 10년이 되는 해인데 한국을 대표하는 기업들 중에도 우수한 기술을 활용한 보호 시스템을 갖추지 못한 기업이 있어 안타깝다”고 부연했다.

DMARC가 유용함에도 불구하고 도입을 꺼리는 이유는 간단하다. 정상적인 메일까지도 차단할 수 있기 때문이다. 이와 관련 이석호 대표는 “프루프포인트는 전문 팀을 통해 고객사와 협력사 간에 DMARC를 잘 세팅할 수 있도록 서비스를 제공한다”며 DMARC 도입으로 인한 부작용을 최소화시켜주도록 지원한다고 강조했다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널