[이메일 보안]<하> 당신의 이메일 노리는 '해킹, 스피어피싱" 현명하게 막으려면?
2015-02-12 14:15
아주경제 장윤정 기자 = # A 그룹 인사담당 김 부장은 최근 "이력서 첨부합니다"라는 제목의 이메일을 받았다. 경력자를 채용한다고 공고를 내놓았던터라 지원자의 이력서 파일이라고 판단, 첨부파일을 열었다. 이후 김 부장은 이력서 한글파일에 첨부된 악성코드 때문에 PC가 먹통이 되고 각종 광고 팝업창이 뜨는 등 한동안 애를 먹었다.
#B 기관에 근무하는 이 과장은 퇴직한 직원으로부터 이메일을 받았다. "이직한 회사에서 잘 지내고 있습니다"라며 사진파일을 첨부했다. 최근 사진인 줄 알고 첨부파일을 클릭한 이 과장 역시 사진파일에 첨부된 악성코드에 감염, 파밍 금융사이트로 연결돼 금융사기에 걸려들 뻔 했다.
<상> 안전한 이메일 관리 위한 첫걸음, "수상하면 클릭하지 마세요"
<하> 당신의 이메일 노리는 '해킹, 스피어피싱" 현명하게 막으려면?
이메일에 첨부된 악성코드 피해가 심각하다.
이메일은 일상 생활속에서 꼭 필요한 커뮤니케이션 수단이 됐지만 편리한 만큼 자칫하면 개인의 정보는 물론 기업, 기관의 기밀까지 유출될 수 있는 치명적 위협이 된다.
예쁜 미녀의 사진에 속아, 대박 할인이라는 문구에, 지인이 보낸 안부인사로 착각할 수도 있다. 각양각색의 포장을 이용한 이메일 위협에 속아넘어가지않으려면 어떻게 해야하는지 생활 속 대처방법을 알아본다.
◆이메일 보안 교육으로 피해 최소화
최근 발생한 한수원 사태와 같은 지능형지속위협(APT) 시나리오에서 공격자는 문서 작성기 등 각종 응용 프로그램의 취약성을 이용하는 악성코드를 제작하고, 지인의 이름을 사칭하는 등 사회 공학적 기법을 이용해 이메일을 보내는 방법을 이용해 악성코드를 열람하게 만든다.
이같은 방법을 스피어 피싱이라고 하는데 불특정 대상의 개인정보를 마구잡이로 빼내는 보이스 피싱과 달리 특정 공격 대상을 정해두는 것이 특징이다. 열대지방 어민이 하는 작살 낚시인 '스피어피싱(spearfishing)'에서 차용한 표현이다.
이같은 해킹 피해를 막기 위해서는 교육이 가장 중요하다.
박원형 극동대학교 사이버보안학과 교수는 "APT 공격 중 사회공학적 보안위협으로 대표적인 것이 해킹 메일"이라며 "기업에서는 해킹 메일과 같은 APT 공격 시나리오를 만들어 해킹메일 대응훈련을 주기적으로 실시, 인사고과에 반영해야 한다. 전사적인 차원에서 인식제고를 위해 전사 훈련을 실시, 사고를 예방해야한다"고 말했다.
또 그는 "해킹 메일로 의심되는 것은 무조건 삭제해야 하며 감염징후 및 감염사실을 확인한 후 보안관련 부서로 통보해서 조치를 받아야 한다. 해킹 메일은 악성코드와 관련 있기 때문에 PC에 대한 운영체체 보안 업데이트 및 바이러스 백신의 실시간 점검이 필요하다"고 당부했다.
◆모바일 메일도 주의, 수상한 URL 클릭 'NO'
자칫 실수로 이메일에 첨부된 악성코드를 열었다고해도 당황만 하고 있을 수는 없다.
악성코드·바이러스 감염 시, 신속히 보안 프로그램을 통해 감염 여부를 확인하고 백신을 통해 치료해야 한다. 바이러스 치료와 사후 예방을 위해서도 보안프로그램은 최신 버전으로 업데이트하고 주기적으로 검사해야 한다.
일반 메일과 비슷한 형식과 내용의 스팸 메일이라면 주의 깊게 보지 않는 이상 메일공격에 노출될 수 있다. 악성코드, 바이러스 등 메일 공격을 통해 개인 자료 유실을 방지하기 위해서 중요 자료는 PC 외 별도의 저장장치에 보관해두는 것이 좋다.
또한 모바일 이용 시에도 PC사용 시의 주의사항들을 동일하게 지켜주는 것이 바람직하다.
모바일로 메일을 확인할 때에도 스팸 의심메일은 열람하지 않으며, 본문 내 링크 클릭 및 첨부파일의 실행을 자제해야 한다.
스마트폰 전용 보안SW를 설치하고 최신 상태를 유지하며, 메일을 통해 악성코드가 심어진 불법 앱이 설치되고 사용자 모바일 기기의 정보탈취 등 보안위협이 존재하기 때문에 메일 내의 파일을 다운로드 받거나 APP을 설치할 때는 악성코드 검사를 실행 후 다운로드 받아야 한다.
또 개개인 스스로가 모바일 기기 내 메일보안 수준을 높일 수 있도록 아이디, 비밀번호는 자동저장을 자제하며, 비밀번호 보안단계도 높게 설정하는 것이 좋다.
김준섭 이스트소프트 보안SW사업본부장은 "인터넷 사용 가능한 PC에서는 불특정 다수에게 보내진 메일에 포함된 파일이나 URL을 클릭하지 않는 것이 좋다"며 "최근에는 포털사이트의 계정을 탈취한 후, 주소록에 있는 모든 사용자에게 메일을 보내며 악성코드를 배포하는 사례가 많이 나타나고 있다. 지인이 보낸 메일이라도 첨부파일과 URL은 신중하게 확인하는 습관이 필요하다"고 설명했다.