[아이티데일리] 이메일 피싱은 공격자에게 수익성이 높은 위협 수단으로 간주된다. 미국 사이버 보안 및 인프라 보안국(CISA)에 따르면 성공적인 사이버 공격의 90%가 이메일 피싱에서 시작한 것으로 추정되며, 실제로 FBI는 오늘날 비즈니스 이메일 침해(BEC)로 인한 손실이 500억 달러(한화 약 67조 원)에 달한다고 발표했다. 인터폴도 43개국에서 수천 명의 피해자에게 영향을 미친 ‘서비스형 피싱(phishing-as-a service)’ 사건 이후 “피싱과 같은 사이버 공격은 국경에 구애 받지 않고 가상 공간에서 이뤄지지만, 피해자에게 미치는 영향은 실질적이며 파괴적”이라고 경고했다.

클라우드플레어는 최신 피싱 동향에 관한 인사이트를 제공하기 위해 올해 ‘피싱 위협 보고서(Phishing Threats Report)’를 발간하고, 2022년 5월부터 2023년 5월까지 자사가 처리한 약 130억 건의 이메일과 고객을 위해 차단한 2억 5천만 개가량의 악성 메시지를 분석했다.

피싱 공격을 완전히 차단하기란 거의 불가능하다. 다만 선제적인 예방 조치로 조직의 대응 능력을 향상시킬 수는 있는데, 이를 위해서는 갈수록 진화하는 피싱 트렌드를 이해하는 것이 중요하다. 먼저, 익숙한 이메일 발신자에 대한 피해자의 신뢰를 공격자가 어떻게 교묘하게 악용하는지 살펴보자.

주요 이메일 위협 유형

클라우드플레어 보고서에 따르면 피싱은 여전히 가장 지배적이며 빠르게 증가하고 있는 인터넷 범죄로, 주요 원인은 이메일의 보편화와 인적 오류로 인한 보안 위협에 노출인 것으로 나타났다. 아래는 2022년 5월부터 2023년 5월까지 관찰된 주요 이메일 위협 유형을 나타낸 표로, 악성 링크, 신원 도용, 브랜드 사칭이 포함됐다.

악성 링크는 가장 흔히 사용된 이메일 위협 유형으로, 감지된 전체 위협의 35.6%를 차지했다. 해당 유형은 지난 해 실시한 조사에서도 전체 위협의 38.4%로 위협 유형 1위를 차지했다. 악성 링크를 클릭하면 사용자의 기본 웹 브라우저가 열리고 링크에 참조된 데이터가 렌더링되거나, PDF와 같은 애플리케이션이 바로 열리게 된다. HTML에서 링크에 표시되는 텍스트, 즉 하이퍼텍스트는 임의로 설정할 수 있기 때문에 실제로는 악성 사이트로 연결되지만 마치 정상 사이트로 연결되는 것처럼 URL을 설정할 수 있다.

링크를 활용한 공격은 이메일에만 국한되지 않는다. 이메일 외에도 여러 커뮤니케이션 채널을 통해 사용자를 노리는 공격이 증가하고 있으며, 이러한 공격 유형은 멀티채널(multi-channel) 피싱이라고 부른다. 링크도 흔하게 사용되는 멀티채널 피싱 수법 중 하나다.

신원 도용 또한 흔히 사용되는 위협 유형 중 하나로 꼽혔다. 조사 기간동안 감지된 전체 위협의 14.2%에서 신원 도용이 관찰됐는데, 이는 전년도의 10.3%에서 급증한 수치다. 신원 도용은 공격자 또는 악의적인 행위자가 자신이 타인인 것처럼 속여 이메일을 발송할 때 발생하는데, 메커니즘과 수법은 매우 다양하다. 유사한 도메인(도메인 사칭)이나 스푸핑된 도메인을 등록하는 방법, 표시되는 이름을 속여 신뢰할 수 있는 도메인에서 발송한 것처럼 보이도록 하는 방법, 도메인 프런팅(fronting)이나 평판이 좋은 웹 서비스 플랫폼을 사용해 이메일을 발송하는 방법 등이 있다.

앞서 언급된 BEC도 오늘날의 다양한 신원 도용 형태 중 하나다. BEC는 이메일 수신자를 속여 자금을 이체하게 하는 수법으로, 멀웨어를 사용하지 않는 공격이다. FBI에 따르면 BEC로 인해 전 세계적으로 발생한 피해는 500억 달러에 달한다. BEC는 악성 링크나 악성 첨부 파일에 의존하는 대신, 수신자의 이메일 관련 행동 방식과 비즈니스 프로세스에 대한 깊은 이해를 악용하는 공격이라 할 수 있다.

주의해야 할 또 다른 주요 위협 요소는 잘 알려진 회사나 브랜드를 사칭해 피칭 메시지를 보내는 브랜드 사칭이다. 2022년 5월부터 2023년 5월까지 클라우드플레어 고객을 대상으로 총 10억 건에 가까운 브랜드 사칭이 시도됐으며, 약 1천 개의 조직이 사칭 피해를 입었다. 주목할 만한 점은 이러한 시도의 51.7%에서 위협 행위자가 20개의 유명 글로벌 브랜드 중 하나로 위장했다는 사실이다. 가장 많이 사칭된 브랜드는 마이크로소프트(Microsoft)였다.

또한 브랜드 사칭 방지책으로 자주 언급되는 SPF, DKIM 및 DMARC 표준과 같은 이메일 인증만으로는 위협을 막는 데 한계가 있음이 드러났다. 이는 공격자가 이러한 인증을 우회해 이메일 제품군을 속이고 있기 때문인데, 실제로 위협적인 메시지의 무려 89%가 SPF, DKIM 또는 DMARC 검사를 통과한 것으로 나타났다.

피싱 방지를 위한 제로 트러스트(Zero-Trust) 보안 모델의 중요성

피싱 공격은 점점 더 정교해지고 있으며, 기존의 접근 방식만으로는 위험한 공격을 충분히 예방하기 어려워졌다. 조직이 이러한 공격과 고도화된 위협에 대비하기 위한 가장 효과적인 대책은 바로 제로 트러스트 보안 모델을 도입하는 것이다.

규모에 관계없이 모든 조직은 제로 트러스트 보안 모델을 네트워크와 애플리케이션뿐만 아니라 이메일 함에까지 도입해야 한다. ‘절대 신뢰하지 않고 언제나 검증할 것’을 원칙으로 하는 제로 트러스트는 모든 사용자를 인증하고 권한을 부여하며, 지속적으로 검증해 오직 적합한 트래픽만 조직의 애플리케이션과 데이터에 도달할 수 있도록 하는 보안 프레임워크다.

이메일의 보급화에도 불구하고, 대다수의 조직이 여전히 특정 개인과 시스템의 메시지를 신뢰하는 전통적인 ‘성과 해자(castle-and-moat)’ 모델을 따르고 있다. 하지만 제로 트러스트 보안 모델에서는 그 어떤 사용자나 디바이스도 이메일 등 앱이나 네트워크 리소스에 대한 완전하고 자유로운 접근 권한을 갖지 못하도록 한다. 이러한 사고방식의 전환은 멀티 클라우드 환경이나 원격 또는 하이브리드 인력을 운용하는 조직에게 특히 중요하다.

인증이 설정돼 있거나, 잘 알려진 도메인에서 보냈거나, 이전에 연락한 적이 있는 사람이 발신했다고 해서 해당 이메일을 신뢰해서는 안 된다. 제로 트러스트 모델에 기반한 클라우드 이메일 보안 솔루션을 채택하는 것은 공격자가 사용자의 신뢰를 쉽게 악용하지 못하도록 막기 위한 필수 조치이며, 나아가 나날이 진화하고 복잡해지는 피싱 위협에 유연하게 대처하는 핵심 방안이다.