가장 쉽게 사용자에게 접근하는 해킹, 악성 이메일 유형과 2단계 인증 로그인 대응법

악성 이메일은 고객센터, 지인, 사회이슈 등 사칭해 사용자 속이고 악성 행위 시도
2단계 인증(2차 인증, 추가인증) 로그인, 보안 소프트웨어 사용 및 주기적인 업데이트 등 기본 보안수칙 준수 필요

사이버 공격자는 개인의 PC나 기업 시스템에 침투하기 위해 다양한 방법을 시도한다. 특히, 이메일을 이용한 방식은 사이버 공격자가 특별한 경로를 거치지 않고도 사용자에게 접근할 수 있는 수단이다. 악성 이메일을 이용한 사이버공격은 목적과 형태 역시 다양하다. 단순히 첨부 파일이나 링크를 통해 악성코드를 유포하는 것부터 시작해 특정 서비스를 사칭해 사용자의 ID/PW를 탈취하기도 한다. 특히 사회적 이슈를 이용해 악성 이메일을 수신한 사용자가 의심 없이 이를 열어보도록 하는 방식도 많이 쓰이고 있어 주의가 필요하다.

해킹 사고 대부분은 직장 동료, 정부 조직 등을 사칭해 악성코드를 숨긴 첨부파일이나 가짜 웹 사이트 링크 등을 포함한 이메일 공격으로 감행되고 있다. 이렇게 공격당한 시스템에서는 개인정보 및 자료유출, 금전적 피해 등을 일으킬 수 있는 만큼, 보안인식 제고를 통해 악성 메일을 판별하고 이로 인한 피해를 줄일 수 있어야 한다.

대표적인 해킹 메일 유형은 잘 알려진 포털 사이트 고객 센터를 사칭해 비인가 로그인 이력, 비밀번호 유출 등으로 속여 로그인을 유도하는 방식이다. 여기에 실제 자신의 계정 정보를 입력할 경우 해당 정보가 고스란히 사이버 공격자에게 전달된다. 실제로 북한으로 추정되는 사이버 공격 조직은 국내 언론사 기자를 대상으로 이러한 공격을 펼치기도 했다.

나아가 그룹웨어 서비스를 사칭해 이메일 용량이 초과됐다고 속여 업무용 계정 정보를 탈취하려는 형태도 있다. 최근에는 애플 고객센터를 사칭하고, 피싱 페이지를 제작해 상대적으로 정보 탈취가 어려운 애플 기기 사용자를 노리는 사이버 공격도 발생한 바 있다. 해당 사이트는 결제와 관련한 내용으로 속여, 사용자가 결제 취소를 위해 이름, 생년월일, 개인정보, 신용카드 번호 및 유효기한 등의 정보를 입력하도록 유도했다.

시의적절한 이슈를 악용하거나 공공기관을 사칭하는 형태도 있다. 가령, 연말·연초가 이러한 경우에 해당한다. 예를 들어, 연말에는 연하장으로 속인 악성 이메일을 발송할 수 있고, 연말 선물 택배 수령 등을 사칭한 악성 이메일을 보낼 수도 있다. 직장인이 연말정산을 진행하는 연초의 경우 연말정산 사칭이나 연봉계약서 사칭 등을 주로 악용하기도 한다. 뿐만 아니라 미국 대선 같은 정치적 이슈, 코로나19 백신 개발, 재난 지원금 등 사용자의 관심을 끌 만한 소재를 채택해 이메일을 열어보도록 하는 경우도 많다.

메일 형태 역시 다양하다. 대표적인 것이 첨부파일을 이용한 공격이다. 첨부파일 형태는 HWP, DOC, ZIP 등 가능한 모든 파일을 사용한다. HWP의 경우 ‘개체연결삽입’ 기능을 통해 공격자가 숨겨놓은 악성코드를 실행하는가 하면, DOC, PPT, XLS 등의 문서 파일은 매크로 기능을 통해 코드를 실행한다. 압축파일(ZIP)에는 실행파일(EXE)이나 CD 이미지 파일 등을 숨겨놓고, 사용자가 이를 실행할 경우 트로이목마 혹은 랜섬웨어 등이 설치되도록 한다. 실제로 <보안뉴스>가 최근 받은 저작권 침해 관련 사칭 이메일은 ‘침해 내용’이라는 이름으로 실행파일 몇 개를 압축해 전송했으며, 해당 실행파일은 마콥(Makop) 랜섬웨어인 것으로 드러났다.

첨부파일 대신, 첨부파일인 것처럼 위장한 이미지에 하이퍼링크를 삽입하는 방식도 있다. 사용자가 첨부파일 확인을 위해 이를 클릭할 경우 공격자가 만든 피싱 사이트로 연결되며, 해당 파일을 열어보기 위해서 로그인이 필요하다는 식으로 속여 계정 정보를 탈취할 수도 있다.

최근에는 사이버 공격 피해를 막기 위해 보안메일을 사용하는 경우도 많은 점을 역이용해 오히려 보안메일로 위장하고, 메일을 확인하면 바로 악성 페이지로 연결해 개인정보 유출을 시도하기도 한다.

이러한 공격에 대응하기 위해서 우선 수신한 메일이 정상적인 주소에서 발송됐는지 확인해야 한다고 설명했다. 가령, 고객센터에서 메일을 받은 경우 네이버, 애플, 구글, 카카오 등 도메인이 정확한지 확인해야 한다. 실제로 마이크로소프트를 rnicrosoft 같은 식으로 속이거나 구글을 goog1e로 속이는 사례도 존재한다.

또한, 첨부파일이 있거나 외부 링크가 걸려 있는 경우 발신자에게 유선 및 문자 등으로 먼저 확인하고, 개인정보나 계정인증관련 메일이 수신됐을 경우 메일에 포함된 링크를 클릭하는 대신 직접 해당 사이트에 방문해서 확인하는 습관을 들여야 한다고 덧붙였다. 이 밖에도 첨부파일 클릭 시 파일이 다운로드 되지 않고 계정정보 입력을 요구하는 경우 주의해야 한다.

메일 로그인 시 비밀번호 만으로는 결코 안전하지 않으며 매번 사용할 때마다 비밀번호를 대체할 수 있는 새로운 적용 방안(추가 인증, 비밀번호 대체, 새로운 비밀번호)이 필요하다.

 

 

또한, 메일 로그인 시 2단계 인증(2차 인증, 추가인증)을 지원할 경우 귀찮더라도 이를 적극 활용하는 것이 좋으며, 해당 기업 역시 2차 인증을 적용하는 것이 필요하다.

 

메일에 대한 2단계 인증(2차 인증, 추가인증) 솔루션인 BaroPAM을 도입해야 하는 이유는 다음과 같다. 
 
1. 보안 강화를 위하여 사용자 식별ㆍ인증을 위한 OTP 등을 활용한 2단계 인증체계 적용
 
2차 인증 적용(예: ID/PW + OTP), 일정 횟수(예: 5회) 이상 인증 실패 시 접속 차단 및 인증수단을 특정하지는 않고 있으나, 지식기반.소유기반.특정기반 인증 수단 중 서로 다른 방식에 속하는 인증수단 2개를 조합해서 사용해야 함.
  

2. 악의적인 목적으로 만들어진 프로그램인 악성코드에 의한 불법적인 우회/원격접속을 차단

 

악의적인 목적으로 만들어진 프로그램인 악성코드 프로그램에 의하여 정보자산의 접속정보(Desktop to Application, Desktop to Desktop, Desktop to Server, Desktop to Database, Server to Server 등)를 불법 취득한 뒤 불법적으로 정보자산에 우회/원격으로 접속하는 것을 차단 해야 함.

 
3. 분실.도용.해킹으로 인한 사용자 비밀번호 초기화에 적용
 
사용자 본인 스스로 로그인-ID, 특정항목, 일회용 인증키를 입력하여 맞으면 새로운 비밀번호를 등록하여 사용하게 함.
 

악성 이메일을 이용하여 악의적인 목적으로 만들어진 프로그램을 이용하여 해커들은 Desktop to Application, Desktop to Desktop, Desktop to Server, Desktop to Database, Server to Server 등의 정보자산의 접속정보를 알아 낸 뒤 불법적으로 정보자산에 우회/원격접속하여 개인정보 및 자료유출, 금전적 피해 등을 발생시킨다.

 

이처럼 악의적인 목적으로 만들어진 프로그램인 악성코드를 탐지 및 제거하는 백신 솔루션과 정보자산 접근제어 2단계 인증(2차 인증, 추가인증)을 통한 불법적인 우회/원격 접속을 차단하는 BaroPAM 솔루션이 결합하여 정보자산의 보안을 강화하는 시너지 효과를 낼 수 있다.

 

기본적인 보안 수칙을 준수하는 것 역시 중요하다. 이메일 계정 비밀번호를 수시로 변경하고, 문자 메시지, 모바일 OTP 등을 통한 2단계 인증(2차 인증, 추가인증) 로그인을 설정하는 것이 좋다. 2단계 인증(2차 인증, 추가인증)을 사용할 경우 계정 정보가 탈취되더라도 2차 인증 수단 없이는 공격자가 해당 계정을 사용할 수 없기 때문이다. 이와 함께 안티 바이러스 등 보안 소프트웨어를 설치하고, 실시간 감시와 자동 업데이트 기능을 켜두는 것이 좋다. 마찬가지로 운영체제, 소프트웨어 업데이트 역시 항상 최신 버전으로 유지해야 한다. 최신 업데이트에는 새롭게 발견된 보안 취약점을 제거하는 내용이 포함돼 있기 때문이다.

 

"아무 것도 하지 않으면 중간은 간다"는 건 오래된 말이고, 클라우드 시대에는 통하지 않는 말이다. 새로운 시대에는 새로운 보호 장치가 어울린다. 비밀번호 하나로 관문을 지키는 건 더 오래된 방식이다. 시스템과 인프라는 자꾸만 새 것으로 바뀌는데 왜 예전 것들을 부여잡고 있는지 각자가 스스로를 검토해야 할 때다.

 

결론은 보안 강화를 위하여 어느 한 구간만 보안 강화는 별로 도움이 되지 않으며, 이제는 모든 정보자산에 대한 2단계 인증(2차 인증, 추가인증) 솔루션인 BaroPAM의 적용은 선택이 아닌 필수로 보다 더 안전하게 정보자산을 보호할 수 있다.

 

"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"

 

앞으로 정보 보안의 흐름은 보안은 강화하고 사용자의 불편함을 최소화하는 방향으로, 기억할 필요가 없는 비밀번호! BaroPAM이 함께 하겠습니다.