회사원 A씨는 아침에 출근하면 항상 이메일부터 확인한다. 상사가 지시한 업무나 거래처로부터 온 이메일이 있는지 확인하기 위해서다.
마침 급여일이었다. A씨는 메일 내용을 열어 급여명세서를 클릭하고 아이디와 비밀번호를 입력했다. 그런데 계정 정보가 맞지 않는다는 메시지가 뜬다. 두 번, 세 번 입력해도 역시 마찬가지였다. 경영관리실에 문의하니 급여명세서를 아직 발송하지 않았다는 답변이 돌아왔다. 피싱이었나? 아차 싶었다.
해커는 회사의 이메일 샘플을 아주 쉽게 구한다. 급여명세서, 세금계산서 송·수신 이메일을 탈취해서 그대로 활용한다. 여기에 링크만 자신들이 원하는 악성링크(계정 정보 탈취를 위한 로그인 화면, 자동으로 악성파일을 다운로드 받을 수 있는 사이트로 연결) 정보로 변경만 한다. 사용자가 링크를 클릭하는 순간 아이디와 비밀번호를 쉽게 수집하고, 사용자가 모르는 사이에 사용자 PC에 악성코드를 감염시킨다.
이 같은 이메일을 피싱메일(또는 악성메일)이라고 한다. 최근 피싱메일이 급속하게 증가해 사용자를 아주 쉽게 속이고 있다. 또한 랜섬웨어와 결합해 사용자의 가상화폐를 몰래 훔치거나 기업의 업무파일을 암호화한 후 비트코인을 보내라고 협박하는 사례가 비일비재하다.
일반 직원이 얼마나 악성 이메일에 쉽게 감염되는지 사이버 위기대응 모의훈련 결과를 보면 깜짝 놀라게 될 것이다.
카카오톡, 네이버, 금융 사이트, 쇼핑사이트마다 모두 다른 아이디 또는 비밀번호를 사용하는가? 인터넷 사용자 대부분은 동일한 아이디와 비밀번호를 사용할 것이다. 만일 위의 사례처럼 아이디, 비밀번호를 해커가 알아낸다면 어떤 일이 벌어질까?
특정인의 카카오톡, 네이버에 로그인해서 어떤 이슈에 관심이 있는지 알아낼 수 있고, 사칭해서 친구에게 돈을 보내 달라고 요구할 수도 있다. 쇼핑사이트에서 미리 등록해 둔 신용카드 정보로 자동 결제를 통해 고가의 물건을 구매할 수도 있다. 회사 그룹웨어에 로그인해서 공지사항에 정상파일인 것처럼 위장한 악성코드를 설치한 뒤 회사 전체 PC에 랜섬웨어를 설치할 수도 있다.
악성 메일은 조금만 주의한다면 충분히 방어할 수 있다. 아래가 모범사례가 될 것이다. 우선 발신자 정보를 항상 확인해야 한다. 보낸 사람 메뉴에 '자세히 보기'를 클릭하면 실제 송신자의 이메일 확인이 가능하다. 출처가 불분명한 이메일의 첨부파일이나 URL 실행에 주의해야 하며, 이메일 작성 때 개인정보를 함부로 입력하지 않는다. 기관을 사칭하는 이메일은 특히 주의해야 한다.
이와 함께 안티 스팸/바이러스 솔루션을 이용해 스팸·악성코드 메일과 이메일 서버 공격을 1차 차단하는 것은 아주 기본적인 보안이다. 또한 갈수록 교묘해지는 이메일 공격 수법에 대비하기 위해서는 최신 악성메일 위협 트렌드를 반영한 사용자 대상의 악성 이메일 모의훈련도 정례화해야 한다. 지속적인 사용자 보안 교육 및 모의훈련을 통해 임직원의 보안 인식을 강화하고 보안 습관을 생활화하는 것이 필수다.
이 외에 개인이 기본적으로 지켜야 할 예방 수칙으로는 △백신 소프트웨어 설치 및 주기적인 업데이트 △윈도, 스마트폰 운용체계(OS)는 최신 버전으로 유지 △사이트별로 아이디, 패스워드를 다르게 설정하고 로그인 정보 수시 변경 △'2중 인증 활성화' 기능을 통한 계정 관리 강화 등이다.
이처럼 생활 속에서 조금만 주의하고 기본적인 예방 수칙만 지킨다면 악성메일로부터 각자 정보는 안전하게 지켜질 수 있다. 보안은 기술이 아닌 생활에서 지켜진다는 점을 반드시 기억하자.
윤두식 지란지교시큐리티_ 대표 dsyoon@jiran.com
최호기자 snoop@etnews.com