8 October 2024
안녕하세요 인텔렉추얼데이터입니다.
기업의 업무 과정에서 이메일은 필수적인 도구입니다. 아마 지금 이 시간에도 수많은 분들이 이메일을 확인하고 있거나 이메일을 보내고 있으리라 생각합니다. 이처럼 모두가 사용하는 이메일인 만큼 오래전부터 오늘날까지 끊임없이 해킹의 대상이 되어왔습니다. 오늘은 이메일 해킹과 보안에 대해 이야기해보려고 합니다.
지속적 해킹 위험에 노출된 이메일
2023년 11월, 대통령실 행정관의 이메일이 해킹당한 사실이 뒤늦게 밝혀졌습니다. 북한으로 추정되는 외부 공격자가 보안이 담보되지 않은 행정관의 네이버 메일 계정을 공격한 뒤 중요 자료에 위협을 가하는 전형적인 '이메일 해킹' 수법이었습니다.
또한 7월에는 마이크로소프트(MS)가 미국 정부기관을 비롯해 25개 조직의 이메일 계정이 해킹 공격을 받았다고 발표하기도 했습니다. 공격을 가한 주범은 중국 집단으로 알려진 '스톰-0558'으로, 해커는 MS 계정 고객 키를 활용해 토큰을 위조한 뒤 아웃룩(Outlook)에 접근한 것으로 확인되었죠.
이메일을 향한 다양한 공격 방식과 공격 시도
사실 이런 이메일 해킹은 굉장히 고전적인 해킹 방식입니다. 업무용으로 이메일이 쓰이면서 기밀정보를 포함한 중요한 정보를 이메일을 통해 얻을 수 있게 되지 피싱과 같은 고전적인 수법을 시작으로 API 해킹, 콘텐츠 스푸핑, 크로스 사이트 요청 조작(Cross Site Request Forgery, CSRF) 등 이메일 자체를 포함하여 이메일 서비스를 수행하는 웹 어플리케이션까지 광범위한 공격 시도가 일어나게 되었습니다.
한국인터넷진흥원(KISA)에서는 사이버 위협 동향 보고서를 통해 '해킹 메일'과 같은 위협 대응을 촉구하고 있으며, OWASP(the Open Web Application Security Project) 재단에서는 아예 스푸핑과 같은 개별 공격 방식에 대한 공격방법과 대응 방안을 알리고 있습니다.
여러 사이트 계정 통일, 통합 로그인 서비스가 위험한 이유
하지만 이메일 해킹을 통해 얻어낼 수 있는 정보값 자체가 많다는 특징 상, 가장 보편화된 해킹 시작 점으로 쓰이다보니 수많은 공격 방법이 있어서 대응이 그만큼 까다로워질 수 있습니다. 특히나 사람들이 하나의 계정으로 여러 사이트의 계정을 통일해서 사용하거나, SSO(Single Sign On)과 같은 통합 로그인 서비스 등을 사용하다보니 국가 보안 시스템이 해킹된 것은 아니라는 대통령실의 입장이 있었지만 실제로는 어느 영역까지 해킹되었는지 판단하기 쉽지 않은 상황에 빠지기도 합니다. 해커들의 입장에서 보면, 한 포털 계정 정보만 입수하면 다른 사이트 계정을 침투하기가 쉬워진다는 의미가 되거든요. 또한 최근 사용되는 패스워드 관리자나 자동 로그인 등의 관리자 기능이 공격자에게 파악되면 연쇄적인 공격에 노출될 위험성이 커집니다.
보안 사고를 당한 당사자는 산업통상자원부에서 대통령실로 파견 나온 공무원으로 업무 신속성을 위해 네이버 메일을 사용하는 과정에서 북한 해커가 행정관의 아이디와 패스워드 등 계정정보를 탈취, 대통령실 자료가 외부로 유출된 것으로 파악되었다고 보도되었습니다. 이는 국가정보원에서 해커조직을 모니터링 하던 중 순방 일정 등의 정보가 포착되어 역추적한 결과 네이버 메일을 통해 유출된 것이라 했는데요.
특히나 네이버의 경우 대형 포털이라는 특징 때문에 중국이나 러시아, 북한 해커들의 집중공격 대상이 됩니다. 과거에는 보안이 취약한 커뮤니티 사이트나 몇몇 개인 쇼핑몰 사이트의 루트(관리자) 권한을 탈취, ID와 패스워드를 모조리 확보한 뒤 해당 계정으로 접속을 시도하는 식으로 연쇄적 침입을 시도했었는데요. 요즘은 변조된 어플리케이션을 설치하게 하여 정보를 직접적으로 빼가거나 위조된 사이트로 접속을 유도하는 등의 공격을 시도하기도 합니다. 광고와 홍보 등 정상 이메일인 것처럼 위장해 사용자가 링크에 접속하도록 유도한 뒤 악성코드와 유해 파일 등을 유포하는 공격도 증가하고 있습니다. 이후 보안 취약점을 이용해 시스템에 침입하는거죠.
피싱 메일, 피싱 메시지 공격을 피하기 위한 방법
대부분의 경우 사용자에게 악성 링크를 전달, 침투를 수행하게 됩니다. 그 방법으로 피싱 메일이나 피싱 SMS 메시지 등이 사용되는데요. 몇 가지 지침을 잘 확인하는 것만으로 많은 공격을 막아낼 수 있습니다. 대부분의 공격 트렌드는 스피어 피싱, 워터링 홀 공격, 공급망 공격등인데요. 최종적으로는 피싱 메일이나 메시지, 어플리케이션 등으로 연결되어 계정 정보를 입력하게 하는 경우가 많습니다. 특히 도메인이 숨겨진 단축 URL이나 도메인이 유사한 링크로의 접속을 유도하는데요. 이런 페이지들은 실제 페이지와 비교했을 때 도메인 주소가 상이하거나, 인증서 정보가 상이하다는 차이를 보입니다.
최근 해커들이 생성형 AI를 통해 이런 피싱 메일을 보낸다고는 하지만 결국 공격 자체가 대동소이한지라 이메일 발신자 정보, HTML 링크가 향하는 도메인, 해당 사이트의 스크립트 사용 여부와 인증서 여부 등을 조금만 신경쓰고 지켜보면 피싱 사이트와 정상 사이트를 쉽게 구분할 수 있습니다.
시스템적으로 망분리, 문서 DRM, 통신 암호화, 이상징후 탐지와 같은 솔루션을 설치하여 이런 공격을 방지할 수 있습니다만, 보안이라는게 결국 어느 정도의 불편함을 감수할 수밖에 없는지라 지금과 같이 '편의'를 위해 쉬운 길을 택하면 결국 사고가 발생할 수밖에 없습니다. 그렇기에 각 개인의 보안의식 제고와 교육이 반드시 선행되어야 합니다. 이런 사고에 대해 단순히 개인의 부주의로 인한 책임일 뿐이고 시스템에는 문제가 없다는 식으로 넘어갈 수는 없는거죠.