끊이지 않는 사칭-해킹메일 공격, 방안은?
KISA, 메일보안 표준의 기술적 조치와 대처법 홍보가 중요
곽중희 기자
|
|
|
지난 26일 강남 토즈 컨퍼런스점에서 열린 ‘이슈앤톡’에서 박진완 KISA 종합대응팀장이 '정부보호기관을 사칭한악성메일에 대한 대응방안'을 발표하고 있다. |
외부기관 사칭을 통한 해킹메일이 극성을 부리고 있다.
KISA(한국인터넷진흥원)는 지난 26일 강남 토즈 컨퍼런스점에서 열린 ‘이슈앤톡’에서 정부보호기관을 사칭 악성메일에 대한 대응방안을 발표했다.
KISA는 사이버 공격의 91%가 이메일에서 시작하며, 이메일의 첨부파일을 클릭해 악성프로그램에 감염되는 경우가 대부분이라고 전했다. 또한 해커들이 사용하는 첨부파일의 99%가 사회공학기법을 사용한다고 말했다.
해커들은 주로 기업의 임원, CEO, 직원의 계정, 도메인을 사칭해 메일을 보낸다. 보낸 메일의 90% 에는 악성코드가 없고 10%에만 있다. 사용자는 90%의 메일이 안전했기에 10%메일도 의심 없이 열어보고 악성코드에 감염된다.
이렇게 악성메일의 기법은 날로 발전하고 있다. 최근엔 청와대, 국회 등의 정부기관을 사칭해 메일을 보내기도 하고, 메일 주소의 알파벳을 교묘하게 바꿔 메일을 보내는 경우도 있었다. 또한 휴가철을 맞이해 항공사를 사칭, 가짜 전자항공권을 보내 악성메일을 유포하기도 했다.
KISA는 중요한 내용의 메일인 경우, 보낸 사람, 메일 주소를 꼼꼼히 확인해봐야 한다고 당부했다.
국내의 메일 발신 기관의 77%는 서버에 SPF(Sender Policy Framework-메일서버등록제-메일 수신측에서 송신자가 지정한 발신 서버에서 보낸 메일인 지 확인하는 인증 기술)이 적용돼 있다. 하지만 메일 수신 기관은 사칭 메일 차단 시스템이 0.1%도 채 적용돼 있지 않다. 따라서 수신 기관에서는 발신 서버에서 보낸 메일인지 대부분 확인하지 못한다. 메일 이용자의 경우, 대부분 부주의한 이메일 열람으로 인해 악성코드에 감염됐다.
또한 KISA는 사칭을 통한 악성메일을 막기 대응 방안을 소개했다.
국외에는 DMARC 도입이 대표적이다. DMARC(도메인 기반 이메일 인증)는 Envelope와 mesaage From을 대상으로 SPF, DKIM 기술을 적용, 발신자 사칭과 메일 평판 관리를 통해 해킹을 방지하는 인증 시스템이다. 미국의 연방정부 기관 중 87.2%가 이 시스템을 도입해 81.6%가 적극적으로 이용하고 있다.
이어 KISA는 국내 대응방안으로는 메일보안 표준의 기술적 조치, 서버보안, 해킹메일 대처법 홍보강화, 해킹메일 정보 상호 공유 등이 있다고 전했다.
주요 메일 보안인증기술로는 SPF와 DKIM, DMARC가 있다. SPF는 Envelope From를 점검, 송신 IP 주소를 비교해 발송서버의 사칭을 검증하는 기술이다. DKIM은 Message From을 대상으로 전자서명을 하게해서 메시지의 무결성과 발신자 사칭을 확인하는 기술이다.
하지만 DMARC, DKIM, SPF, 세 기술 모두 발신과 수신측이 해당 기술과 관련된 프로그램을 가지고 있어야 적용이 가능하다는 어려움이 있다.
KISA는 이메일 사칭해킹을 막기 위해 메일 보안인증기술을 적극적으로 홍보해, 다수의 기관과 기업이 사용할 수 있도록 노력할 방침이다.
박진완 KSIA 종합대응팀장은 “이메일 공격을 막기 위해선 먼저 수신자가 메일을 열 때 각별한 주의가 필요하다. 대응 기술이 아무리 좋아도, 사용자가 부주의로 악성메일을 클릭하고 첨부파일을 열면 이후엔 대처가 어려워진다며 사용자의 주의가 중요하다”고 말했다.
한편 이날 발표 후에는 ‘외부기관 사칭, 도용 해킹메일 대응방안’에 관한 QnA가 이어졌다.
Q. DMARC 적용 0.1%밖에 안되는 이유는 뭔가요?
DMARC는 2015년에 기술이 나왔으며, 미국에서 연방기관 기관 대상 적용 의무화 한 게 2017년이다.
국내 포털 사이트 네이버는 적용돼 있는데 아직 다른 포털까지는 확대가 되지 않아, 홍보가 필요한 상황이다.
메일 보안을 적용하려면 메일 서버에 적용하는 방법과 메일 보안솔루션으로 제공해도 된다. 국내 메일보안 솔루션들도 정부 정책에 발맞춰 적용해나가는 것으로 알고 있다. 정부가 주도적으로 적용하고 민간까지 확대해 나가도록 적극적으로 권고할 예정이다.
Q. 각 기업들은 자체 도메인을 쓰는데, 기업들도 DMARC 적용률이 적은 지?
DMARC는 발/수신자 모두 적용돼 있어야 기능할 수 있다. 그래서 정부 부처나 기관 모두 전체적으로 적용하자는 것이고 이후 민간까지 확대해 나가겠다.