정부까지 사칭하는 '해킹메일'...KISA '기술·보안·정보공유'로 대응

정부까지 사칭하는 '해킹메일'...KISA '기술·보안·정보공유'로 대응

한국인터넷진흥원(KISA)이 최근 빠르게 증가하는 '해킹메일'에 대응하기 위해 기술 조치, 서버 보안, 정보공유 확대 등에 나선다. 메일 보안표준 적용을 늘리고 정부, 공공기관 도메인 등록으로 관리한다. 해킹메일 대응 민관협의체를 구성하는 등 대응 영역도 넓힌다.

박진완 한국인터넷진흥원 종합대응팀장은 “사이버 공격 91%가 해킹메일로 시작된다는 조사 등 국내서도 정부기관과 도메인을 사칭한 해킹메일 유포가 극심하다”면서 “정부 차원에서 기술, 보안, 정보공유, 홍보 등 조치에 대한 필요성을 공감하고 최근 관계부처 합동으로 대응에 나선다”고 말했다.

지난해 파이어아이가 발표한 '이메일 위협 리포트'에 따르면 사이버 공격 91%가 이메일로 시작하며 해킹메일에 사용된 첨부파일 99.7%는 사회공학적기법을 이용하는 것으로 조사됐다. 특히 스피어피싱 등 사회공학기법 공격 65%는 실제 침해행위에 성공하는 것으로 나타났다.

국내 해킹메일 유포사례는 심각 수준이다. 2018년 11월 청와대 국정상황실장 사칭을 시작으로 같은 달 국립외교원, 올해 1월 통일부, 2월 헌법 재판소, 3월 경찰청, 국세청 등 정부 주요 부처 사칭 메일이 반복됐다. 메일 수신자 등에 맞춘 사회공학적 방법을 악용하기 때문에 수신자는 속수무책으로 당한다. 주의를 갖고 메일을 확인하는 데 한계가 있다.

KISA는 해킹메일 공격 경로와 메일 수신 체계 등을 바탕으로 △기술적 조치 △서버보안 △홍보강화 △정보공유 4가지 방향으로 나눠 대응에 나선다.

박 팀장은 “과거 알 수 없는 발신자 메일 주소 등으로 무차별 메일을 유포했던 것과 달리 최근 제목뿐 아니라 도메인 사칭, 정부 주소 복제 등 수신자가 단순히 주의만으로 해킹 메일 대처하는 데 한계가 있다”고 설명했다.

기술적 조치는 가장 먼저 메일 보안 표준 적용을 확대하는 데 있다. 메일서버등록제(SPF), 도메인 키 인증메일(DKIM), 도메인 기반 이메일 인증(DMARC) 사용 확대 장려한다. 이미 미국에서는 주요 정부부처에서 DMARC 활용이 87.2%에 달할 정도로 기술적 조치 준비에 앞서있다. 반면 국내서 DMARC 적용은 0.1%에 그친다.

박 팀장은 “미국은 2017년도부터 해킹메일에 대한 심각성을 인지 해 정부 기관부터 지침을 통해 DMARC 적용을 확대하기 시작했다”면서 “국내서는 아직 일부 포털 조차 DMARC 적용 준비가 되어 있지 않아 관계부처합동으로 포털, 기관 등에 기술 조치 강화하고 공공으로 시작해 민간으로 확대하고자 한다”고 말했다.

기술조치 외 해킹메일 대처법에 관한 만화제작 배포해 유관기관 뿐 아니라 대중 홍보를 시작했다. 해킹메일 대응 민·관 협의체 구성을 통해 관련 정보를 민간에 즉각 공유, 대처를 돕는다.

표 : 해킹메일 유포 사례

출처 : 한국인터넷진흥원(KISA) 제공

정부까지 사칭하는 '해킹메일'...KISA '기술·보안·정보공유'로 대응


정영일기자 jung01@etnews.com