사이버 공격의 시작과 끝, 악성메일 파헤치기: ②악성메일 사고 사례와 대응 방안

올해 방영된 드라마 '이상한 변호사 우영우'는 서울대 로스쿨 수석졸업생 출신이자 자폐 스펙트럼 장애를 가진 우영우가 '법무법인 한바다'의 신입 변호사로 입사해 활약하는 내용이다. 이 드라마의 16화 에피소드에선 온라인 쇼핑몰 해킹 사건에 대해 다룬다. (이후 드라마 스포일러가 포함됨)

16화 내용을 살펴보면, 해킹방어대회를 우수한 실력으로 휩쓸던 최상현은 국내 최대 온라인 쇼핑몰 라온을 해킹해 개인정보를 유출한다. 라온의 개인정보 유출에 대한 방송통신위원회의 과징금 소송에서 라온 측을 변호해 승소한 법무법인 한바다는 그 후, 라온 고객들이 라온을 상대로 제기한 3조 원대의 배상 공동소송에서 라이벌인 법무법인 태산과 맞붙게 된다. 드라마에서는 라온이 해킹당한 개인정보가 암호화되어, 결과적으로는 개인정보 유출 사실이 없다는 점이 인정되어 3조 원대 공동소송은 기각하게 된다.

이 드라마에서 인용한 해킹사고는 실제 국내에서 발생한 인터넷 쇼핑몰 해킹사고가 각색된 내용으로, 실제 사건에서는 인터넷 쇼핑몰 직원을 표적화한 악성메일로 인해 개인정보가 유출된다. 이처럼 악성메일로 인한 사이버 공격은 큰 사고로 이어질 수 있기 때문에 악성메일로 인한 공격 사례를 분석하고 대응 방안을 수립해야 한다. 1편에 이어, 이번 글에서는 악성메일 사고 사례와 대응 방안에 대해 살펴보겠다.

기업의 악성메일 피해 사례

2016년 발생한 인터파크 개인정보 유출 사고는 표적화된 악성메일로 공격이 시작된다. 직원 A씨의 메일 계정과 비밀번호를 획득한 공격자는 메일 내용을 분석하여 직원 A씨의 동생을 사칭하게 된다. 가족사진으로 만든 화면 보호기로 위장한 악성코드 첨부 메일은 직원 A씨에게 발송되었고, 이를 별다른 의심 없이 실행한 직원 A씨의 PC는 악성코드에 감염된다.

직원 A씨의 PC를 감염시킨 악성코드는 공격자가 회사 내부 전산망에 접근할 수 있는 교두보가 되었다. 이후 고객 데이터베이스 서버를 관리하는 개인정보 취급자 PC에 접근해 개인정보를 유출한다. 공격자는 공격 과정에서 패스워드 관리 및 서버 접근통제 관리 미흡을 악용해 개인 정보에 접근했다. 탈취한 개인정보는 16개의 파일로 분할되어 직원 B씨의 PC를 통해 외부로 유출되고 만다.

사건 발생 이후 4년 후인 2020년, 대법원 1부에서는 방송통신위원회가 부과한 44억 8,000만 원의 과징금과 2,500만 원의 과태료 부과 및 재발 방지 대책 수립이라는 시정명령 결정에 대해서 원심 최종 확정판결을 했다. 다음 해인 2021년 서울중앙지법 민사 30부에서는 인터파크를 상대로 낸 손해배상청구소송(2016가합563586)에서 1인당 10만 원씩 지급하라는 원고 일부 승소 판결을 했다. 

공격의 시작은 악성메일 열람에서 시작되었으나, 2,540만 건의 개인정보가 유출되어 기업 이미지 실추 및 집단 소송으로 이어져 금전적 피해가 발생했다. 이렇듯 기업의 악성메일 관리 미흡은 개인정보 유출이나 대규모 해킹사고로 이어져 비즈니스에도 막대한 영향을 미친다는 것을 알 수 있다.

일반 사용자의 악성메일 피해 사례

일반 사용자가 악성메일로 받는 공격의 상당수는 사회공학기법을 이용한 방식이다. 카카오 데이터센터 화재, 연말정산 변경사항, 해외 카드결제 알림, 연말 프로모션 세일, 송년회 등으로 메일 열람을 유도하고, 첨부된 악성코드 실행이나 악성 URL에 접근해서 계정 정보를 입력하게 한다.

최근에는 공격자가 직접적인 금전을 획득하기 위해 가상화폐 요구형 악성메일이 증가하고 있다.  개인 사생활이 담긴 동영상이나 비밀번호, 연락처 등을 빌미로 지정된 기간 내에 가상화폐를 송금하라는 협박 메일인 혹스(Hoax) 메일을 발송한다. 협박 메일은 명예훼손, 프라이버시 침해 등 권리 침해를 우려한 불안심리를 이용해 단순히 가상화폐 탈취만을 목적으로 한다. 대부분은 개인정보가 해킹되지 않았고, 무작위로 메일이 발송되기 때문에 가상화폐를 송금하지 않고 수신된 메일은 삭제해야 한다.

기업과 사용자 측면의 악성메일 대응 방안

기업이나 사용자가 악성메일에 대응하기 위해서는 최근 악성메일 공격동향을 이해해야 한다. 사회공학기법을 이용한 악성메일이 여전히 많지만, 가상화폐를 노리는 악성메일도 꾸준히 증가하고 있다. 공통적으로 접속 계정 중복 사용 금지, 최신 보안 업데이트, 출처가 불분명한 소프트웨어 설치 금지 등의 보안 수칙을 준수하는 것이 중요하다.

악성메일 대응 방안: 기업 측면

기업 측면에서 악성메일을 대응하기 위해서는 메일 서비스 운영현황을 확인해야 한다. 자체적으로 메일 서버를 운영하는 경우, 악성메일 탐지용 보안 솔루션 기능 및 운영방법을 숙지해야 한다. 서비스형 메일 서비스를 사용하는 경우, 메일 서비스에서 제공하는 보안 기능을 숙지하고 제한된 보안 기능은 추가 보안조치를 강구해야 한다.

1) 악성메일 탐지 방안 확인

메일 서버를 자체 운영하면 악성메일 탐지를 위해 APT 탐지 솔루션, 악성메일 탐지 솔루션, 콘텐츠 악성코드 무해화 솔루션(CDR)등을 도입해서 악성메일 유입 현황을 모니터링해야 한다. 일반적으로 악성메일 탐지 솔루션에서는 탐지패턴을 제공하지만, 기업 타깃형 악성메일은 주기적으로 패턴을 분석하여 별도 필터링이 필요하다.

서비스형 메일 서비스는 자체 보안 솔루션을 도입하기 어렵기 때문에, 메일 서비스에서 제공하는 보안 기능 제공 범위를 확인해야 한다. 사용자 맞춤형 메일 필터링, 블랙 IP 차단, 첨부파일 샌드박스 분석 기능, 악성메일 탐지 이력 모니터링, 탐지 이력 보관 주기 등 서비스 제공 범위와 운영방안을 꼼꼼히 확인해야 한다.

2) 악성메일로 인한 사고 대응 절차 확인

악성메일은 선제적으로 유입되는 것을 예방하는 것이 중요하지만, 기업 측면에서는 악성메일이 탐지되지 못하는 경우도 대비해야 한다. 기업에서 운영되는 네트워크 및 엔드포인트 기반 보안 솔루션을 통해 악성코드나 악성 URL 등으로 인한 이상행위를 모니터링하고, 이상행위 발생 시에 사고 대응 절차를 수립해서 피해를 최소화해야 한다.

악성메일 대응 방안: 사용자 측면

보안담당자가 아닌 일반 사용자가 악성메일을 식별하는 것은 어렵다. 하지만 기본 보안 수칙 이외에 아래 2가지 대응 방안을 숙지한다면 의심스러운 사용자를 확인하거나, 문서형 악성코드로 인한 피해는 최소화할 수 있다.

1) 메일 발신자 주소 확인하기

이전 글에서 악성메일 발송 시에 메일 헤더의 송∙수신 정보 조작에 대해서 설명했다. 메일 송신자 주소를 신뢰도 높은 기관이나 사용자로 위장하기 위해서, 육안으로 식별하기 어렵게 조작하기 때문에 첨자(.) 추가, 숫자 배치 변경, 숫자 삭제, 도메인 변경, 대소문자 변경 등의 조작이 발생했는지 지속적인 확인이 필요하다.

송금계좌 변경이나 민감정보 회신 요구 등 보안 사고로 인한 영향도가 높은 경우, 정확한 메일 주소 확인과 업무 프로세스를 숙지한다면 변조된 메일 주소로 인한 피해를 예방할 수 있다.

2) 문서파일의 ‘콘텐츠 사용’ 실행하지 않기

MS Office의 경우 ‘보안센터’에서 인터넷에서 가져온 파일이나 안전하지 않은 위치의 파일, 첨부파일에 대한 제한된 보기 등의 ‘제한된 보기’ 설정을 제공하고 있다. MS Office 계열의 문서형 악성코드에선 공격명령어를 삽입하기 위해 주로 매크로를 사용한다. 때문에 수신된 첨부파일이 노란색 팝업창에서 보안 경로를 띄우며, ‘콘텐츠 사용’을 허용하도록 요구한다면 각별한 주의가 필요하다.

일반적인 문서는 매크로 사용률이 낮기 때문에 문서형 악성코드를 판별하는 가장 쉬운 방법은 ‘콘텐츠 사용’ 팝업이 뜨면, 악성코드일 확률이 높다고 생각하고 메일 송신자에게 재확인을 요구하는 습관이 필요하다. (매크로 기능을 사용한다고 무조건 악성코드는 아니지만, 일반적으로 악성코드일 확률이 높다.)

소 잃기 전에 외양간 고치기

소 잃고 외양간 고친다는 말이 있다. 공공기관 사칭, 이력서 사칭, 보안 위반 메일 사칭, 비즈니스 메일 사칭 등 다양한 사회공학기법은 사용자의 심리적 불안감을 이용하기 때문에 악성메일을 100% 탐지하는 것은 현실적으로 어려운 일이다. 하지만 적어도 소 잃고 외양간도 안 고치는 일은 없길 바라며, 총 2부에 걸쳐 악성메일의 공격 형태와 대응 방안을 살펴보았다.

악성메일은 고도화된 공격 기법과 사용자들의 호기심을 무기로 공격을 지속하고 있다. 해커들의 먹잇감이 되어 기업과 개인의 소중한 데이터가 탈취되거나, 시스템 장애의 유발로 경제적, 금전적 피해를 입지 않으려면 최소한의 보안 수칙 준수가 절실하다. 기업과 개인이 악성메일에 대응하기 위해선 지속적으로 보안 교육을 받고, 메일 발신자의 주소를 항상 주의 깊게 확인해야 한다. 또한 의심스러운 첨부파일은 실행하지 않는 것이 가장 간단하지만 확실하게 악성메일에 대응할 수 있는 첫걸음이다.

요즘IT의 모든 콘텐츠는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.