미국 IT기업들이 주요 금융사와 손잡고 날로 악랄해지는 이메일 금융사기(Phishing)에 공동 대응하기로 했다.
구글, 마이크로소프트(MS), 페이스북, 야후, 뱅크오브아메리카 등 주요 IT기업과 금융기업 15개사는 공동으로 이메일 피싱을 획기적으로 줄일 시스템 구축에 나섰다고 월스트리트저널과 AP 등 외신이 30일(현지시각) 보도했다.
이들 기업은 이날 이메일 보안에 필요한 기술표준을 마련할 실무그룹이자 시스템인 `DMARC(Domain-based Message Authentication, Reporting and Conformance)`를 발족했다. 이 시스템은 약 18개월 전 구축작업이 시작됐으며, 현재 스팸 대응에 쓰이는 기술을 기반으로 설계되고 있다.
참여사에는 AOL, 피델리티 인베스트먼트, 이베이의 페이팔, 페이스북, 링크드인, 아메리칸 그리팅스 코프, 아가리, 클라우드마크, 이서트, 리턴패스, 트러스티드도메인프로젝트 등도 포함돼 있다.
DMARC는 인터넷 도메인 소유자들이 검증을 통과하지 못한 이메일을 폐기하도록 이메일 수신서버에 요청하는 시스템을 구축할 계획이다. 이 시스템을 적용하면 발신 기업은 이메일 처리 과정이 어떻게 됐는지 피드백을 받을 수 있게 된다. 기업은 또 이 정보를 활용해 이메일 송신 방법을 만들고 이메일 수신자에게 검증을 통과하지 못해 거부된 가짜 이메일을 알려줄 수 있다.
현재 피싱 사기범이 송신자 이메일 주소를 도용해 이메일을 보내고 있지만 수신자는 그것이 가짜로 보낸 것인지 알기 어렵다. 도메인 소유자가 이를 검증할 기술이 있지만 검증을 통과하지 못한 이메일을 처리할 방안이 마련되지 않아 피싱 차단에 어려움을 겪고 있다.
DMARC의 브랫 맥도웰 의장은 “이 방안이 마련되더라도 이메일 피싱을 완전히 막을 수는 없겠지만 (피싱 사기범들은) 최소한 금융기관에서 보낸 이메일인 것처럼 위장하는 것 대신 새 방법을 고안해야 할 것”이라고 말했다.
정소영기자 syjung@etnews.com
※용어설명: 피싱(Phishing)=금융기관 등에서 보낸 이메일로 위장해 개인의 인터넷뱅킹 인증번호나 신용카드번호, 계좌정보 등을 입력하도록 유인해 이를 불법적으로 빼내는 사기 수법.