코로나19로 전 세계가 혼란을 겪고 있습니다. 이 틈을 노리는 검은 손길이 요즘 기업 보안 담당자의 고민거리입니다. 사회적 거리 두기로 원격 근무가 이어지면서 온라인에서 이루어지는 커뮤니케이션의 양이 늘고 있습니다. 가장 많은 이들이 쓰는 도구는 뭐니 해도 이메일일 것입니다. 그러다 보니 이메일을 노린 공격이 늘고 있습니다.
이메일 피싱 공격은 공격자가 선호하는 방식입니다. 어려운 기술과 기법이 필요 없고, 복잡한 공격 메커니즘을 고려하지 않아도 되는 대표적인 공격입니다. 사회 공학적 기법을 동원해 공격 대상자에 대한 정보를 수집하는 것만으로도 매우 강력한 위협을 가할 수 있습니다. 이런 식으로 위협을 가하면 사용자는 아무 생각 없이 이메일을 열거나, 첨부 파일을 클릭해 공격의 실마리를 제공합니다.
요즘 유행하는 이메일 기반 공격은 ‘코로나19’를 주제로 삼는 경우가 많습니다. 이메일 열어, 첨부 파일을 보게 만드는 그럴듯한 제목과 본문으로 사용자를 속입니다. 이런 시국에 보안 담당자는 무엇을 살펴야 할까요? 현재 우리 회사에서 쓰고 있는 이메일은 사전에 얼마나 효율적으로 각종 위협을 차단하는지를 봐야 합니다. 이런 측면에서 볼 때 Gmail을 이용하는 조직은 코로나19 관련 이메일 위협 걱정을 좀 덜 해도 됩니다.
매일 1억 개 이상의 악성 이메일 차단
Gmail은 똑똑한 이메일 서비스입니다. 인공 지능 기반의 차세대 악성코드 스캐너를 이용해 이메일에 포함된 악의적인 문서나 첨부 파일을 탐지하는 것은 알 사람은 다 아는 사실입니다. 첨단 기술로 무장한 Gmail이 매일 차단하는 피싱 이메일의 수는 1억 개나 됩니다. 관련해 최근 코로나19 관련 차단 건수가 꽤 많습니다. 4월 둘째 주 기준으로 2억 2천만 개 이상의 코로나19 관련 스팸 이메일이 탐지되었습니다. 구글이 Gmail 보안 강화를 위해 적용한 머신 러닝 모델은 매일 같이 등장하는 새로운 위협을 이해하고, 이를 효과적으로 필터링합니다. 이런 노력 덕에 Gmail은 99% 이상의 스팸, 피싱, 맬웨어를 사용자에게 도달하기 전에 차단합니다.
흔히 보안은 100% 방어란 개념이 존재하지 않는다고 합니다. 보안은 늘 누군가 방어막을 뚫을 수 있다는 것을 전제로 탐지와 대응 활동을 해야 합니다. 따라서 99%의 악성코드가 사전에 차단된다고 기업 보안 담당자나 사용자가 마음을 놓고 있으면 안 됩니다. 관련해 기본적인 상식은 어느 정도 알고 있어야 합니다. 이메일 보안 상식을 높이기 위한 예 몇 가지를 소개합니다.
WHO(World Health Organization)나 정부 기관 같이 신뢰할 수 있어 보이는 기관 사칭 이메일을 이용한 맬웨어 배포 사례는 많습니다. 코로나19 관련 기부나 정보 제공으로 사용자를 유혹하는 이메일을 받아 아무 생각 없이 첨부 파일을 열면 사용자 컴퓨터를 초기 침투 거점으로 삼기 위한 일련의 작업이 조용히 진행됩니다. 관련해 구글은 최근 WHO와 협력해 DMARC(Domain-based Message Authentication, Reporting, and Conformance) 구현을 도왔고, 이를 통해 who.int 도메인을 가장하는 것을 어렵게 하여 WHO 사칭 이메일로 인한 잠재적인 사용자 피해를 줄이는 데 일조하였습니다.
피싱 이메일의 다른 예를 하나 더 보겠습니다. 다음 화면을 보면 코로나19로 원격 근무를 하는 조직원에게 월급 처리 관련 작업 요청을 합니다. 사내 담당자가 보낸 이메일로 여기고 ‘Proceed’ 링크를 누르면? 네, 공격자의 의도에 넘어가는 것입니다.
다음 예는 정부에서 중소기업에 보내는 이메일을 가장한 것입니다. 중소기업 특별 대출, 긴급 지원 등의 내용을 보낸다면? 믿고 열어 보는 이들이 생각보다 많을 것입니다.
다음 예는 원격 근무 관련 공지에 대한 것인데, 앞서 소개한 급여 관련 작업 요청과 마찬가지로 회사에서 온 이메일로 여기고 첨부 파일을 여는 실수를 할 수 있습니다.
이메일과 브라우저 모두 보호
구글은 코로나19 관련 각종 맬웨어 캠페인을 적극적으로 추적해 차단하고 있습니다. 구글은 위협을 식별하는 즉시 Safe Browsing API로 해당 위협 인텔리전스를 공유해 Chrome, Gmail 등을 이용하는 사용자를 보호합니다. 참고로 Safe Browsing은 위험한 사이트를 탐색하거나, 의심스러운 파일을 다운로드하고자 할 때 사용자에게 경고를 표시하는 기능입니다. 이를 통해 구글은 매일 40억 대 이상의 사용자 장치를 보호합니다.
한편 G Suite 사용자의 경우 고급 피싱, 맬웨어 제어 기능이 기본적으로 활성화되어 있어 따로 보안 강화를 위해 뭔가 설정할 필요가 없습니다. 이 기능을 다음과 같이 사용자를 각종 위협으로부터 보호합니다.
- 피싱 및 맬웨어 첨부 이메일을 새로운 격리 저장소 또는 기존 격리 저장소로 라우팅
- 비정상적인 형식의 첨부 파일이 포함된 이메일을 식별하여 관련 경고를 사용자에게 띄워, 사용자가 해당 이메일을 스팸 박스로 옮기거나 메시지를 격리
- 도메인 스푸핑을 시도하는 인증되지 않은 이메일을 식별하고 자동으로 경고 배너를 표시하고, 스팸 박스로 보내거나 메시지를 격리
- 악성 스크립트가 포함된 문서로부터 사용자와 장치를 보호
- 회사 도메인 주소를 사용하는 이메일에 일반적이지 않은 첨부 파일이 포함되어 있으면 이로부터 사용자 보호
- 링크를 포함한 이미지를 스캔하고 단축 URL 주소 링크의 위협 여부를 식별
- 회사 G Suite 디렉토리에 있는 사용자 이름이지만, 회사 도메인이 아닌 다른 주소인 이메일로부터 사용자를 보호
기본 설정만으로도 강력한 사용자와 장치 보호가 가능하지만, G Suite은 여기서 한발 더 나아가 관리자를 위한 보안 강화 기능도 제공합니다. 관리자는 구글의 피싱 맬웨어 보호 페이지에 접속해 보안 샌드박스(Security Sandbox) 기능을 활성화하고 필요한 세부 설정을 할 수 있습니다. 더불어 사용자의 보안 경각심을 환기하기 위해 다음과 같은 내용을 안내하는 공지를 띄우는 것도 보안 강화에 도움이 됩니다.
- 보안 진단 실행 권고
- 의심스러운 파일 다운로드 받지 않기, 파일은 가급적 Gmail 프리뷰 기능으로 보기
- 링크 클릭 전에 가짜 URL인지 여부 확인하기 (가짜 주소는 실제 URL과 비슷해 보이지만 자세히 보면 철자나 도메인 주소 구성이 다릅니다)
- 피싱 이메일을 받으면 이를 관리자에게 알리기
- 구글의 고급 보호 프로그램 사용하기
구글은 사용자와 장치 보호를 위해 최선을 다하고 있습니다. 하지만 이만으로는 보안에 효과적으로 대응하는 데 한계가 있습니다. 관리자의 지속적인 관심 그리고 사용자의 참여가 뒷받침되어야 더 효율적이고 효과적인 방어가 가능함을 잊지 말아야 할 것입니다.
