“악성메일 신고합니다.”
한 통의 이메일이 파수 사내 악성메일 신고센터로 들어왔습니다. 회사 경영진이 실제로 받은 메일을 신고한 것인데요.
“2025 Benefits & Payroll Update”라는 제목의 2025년 복지 및 급여를 안내한 해당 메일에는 관련한 PDF 파일도 같이 첨부돼 있었습니다. 겉보기에는 회사에서 받을 수 있는 업무 메일을 비슷하게 작성한 단순한 악성메일로 보였지만, 자세히 살펴보면 정교하게 설계된 함정이 숨어 있었습니다.
우선 해당 악성메일은 회사의 모든 구성원이 아닌 경영진만을 특정해 발송됐습니다. 가장 많은 권한과 정보를 가지고 있을 경영진을 특정한 것부터 마구 뿌리는 스팸메일과는 결을 달리합니다. 첨부된 파일명에도 경영진의 이름을 넣었고, 문서 내용에도 회사 로고와 함께 수신하는 경영진의 이메일과 회사명을 한 번 더 기재해 더욱 회사 문서처럼 착각할 수 있게 문서를 꾸몄습니다. 발송인의 이름도 회사명입니다. 더불어 QR 코드를 활용해 웹 브라우저가 아닌 모바일 브라우저로 피싱 사이트로 접속하게 유도했습니다. 메일 본문에 링크를 담지 않아 보안 솔루션의 탐지를 피하면서도 모바일 브라우저로 접속하면 PC 웹 브라우저보다 상대적으로 URL을 꼼꼼하게 확인하기 어렵다는 점을 이용한 것입니다.
여기서 끝이 아닙니다. QR코드를 통해 접속했을 때 보이는 페이지 또한 아주 교묘하게 만들어져 있습니다. 마이크로소프트 로그인 페이지를 그대로 본떠 만든 해당 페이지에는 경영진의 이메일 주소가 입력된 상태로 보이게 설정돼 있었습니다. 평소 자신이 로그인을 했던 실제 마이크로소프트 로그인 페이지로 착각하게끔 기획된 것이죠. 이에 아무런 의심 없이 자연스럽게 비밀번호 입력해 로그인 하고, PDF 문서에 나와 있는 내용의 문서를 보려고 하면 이제 비밀번호가 탈취되는 형태였습니다.
이 일은 다행히 그리고 당연하게도 피해로 이어지지 않았습니다. 제목과 내용이 국문이 아닌 영어로 쓰여있어 악성메일로 판별하기가 쉽기도 했지만, 평소 사내에서 매월 진행하는 악성메일 모의훈련 덕분에 위 메일을 받은 경영진은 즉시 사내 신고센터에 내용을 전달했고, 신고센터의 빠른 조치로 잠재적 피해를 막을 수 있었습니다. 그러나 이 사례는 단지 수많은 악성 메일 중 일부에 불과합니다. 지금 이 순간에도, 더욱 교묘하게 진화한 악성메일이 여러 방지 시스템과 스팸함을 통과해 메일함으로 들어옵니다. 그리고 언젠간 한국어로 작성된 더욱 그럴듯한 문서와 함께 들어올 수도 있습니다.
계속해서 진화하는 악성메일
최근의 악성메일은 오타가 가득하거나 어색한 번역체로 수상한 링크를 보내는 정도를 이미 넘어섰습니다. 정교하게 만들어진 악성 메일은 수신자가 해당 메일에 대해 의심하거나 생각하기도 전에 클릭하도록 유도합니다. 그 대표적 방법으로 우리가 자주 접하는 메일의 포맷을 그대로 모방하곤 하는데요. 포털 사이트의 로그인 알림, OTT 서비스 계정 접근 안내, 회사 내부 시스템 드라이브 용량 초과 알림 등이 대표적으로 활용되는 사례입니다.
여기서 그치지 않고 더욱 진화한 악성메일 공격자는 실제 임직원의 이름을 도용하고, 기업의 프로젝트 진행 상황까지 파악한 뒤에 실제로 받을 법한 메일을 보내기도 합니다. 이를 BEC(Business Email Compromise), 비즈니스 이메일 침해라고 하는데요. 기술적으로 필터링될 수 있는 악성 코드를 첨부하지 않고 이메일 내용은 물론 첨부 파일, 내부 문서 양식, 로고까지 치밀하게 위장한 다음, 회사의 한 인물을 특정하여 정보를 탈취하는 사이버 범죄로 많은 기업에 피해를 주고 있습니다. 앞서 소개한 HR팀이나 재무팀을 사칭한 급여/비용 관련 공지 메일이 그 대표적인 예시라고 할 수 있겠습니다.
이처럼 BEC 공격은 기술적 취약점이 아니라 사람의 심리와 루틴을 겨냥하는데요. 한두 통의 이메일을 적은 용량으로 발송하는 데다가, 평판이 좋은 IP 주소나 도메인을 활용하고, DMARC를 우회하기도 해 전통적인 보안 필터나 시스템으로는 탐지하기가 어렵다는 것이 더욱 무서운 점입니다. 긴급함을 표현하는 단어를 넣어 심리적인 압박을 하고, 수신자가 자발적으로 비밀번호와 같은 중요한 정보를 입력하도록 시나리오형 공격을 진행하기에 더욱 치명적입니다.
현실 대응력을 키우는 Mind-SAT 모의훈련
나날이 진화하는 악성메일, 그러면 우리는 어떻게 막을 수 있을까요? BEC 같이 고도화된 공격은 결국 보안 솔루션이 다 막을 수 없기에 이로 인한 피해를 막기 위해서는 기술 방어선을 넘어 행동 기반 훈련이 반드시 병행되어야 합니다. 사람의 심리와 루틴을 겨냥하고 실수를 노리는 공격이 많아지는 만큼, 회사 구성원들이 악성메일을 받았을 때 위협을 알아차리고 무심코 클릭하지 않도록 감수성과 판단력을 지닐 수 있게 훈련해야 하는 것이죠.
그리고 가장 좋은 훈련 방법은 악성메일 모의훈련을 지속적으로 반복해서 진행하는 것입니다. 파수의 Mind-SAT을 통해 정기적으로 모의훈련을 실시하면, 다양한 고객 및 섹터에 대한 훈련 경험을 보유한 컨설턴트가 충분한 사전 컨설팅을 통해 회사 업무 상황과 트렌드가 반영된 악성메일 템플릿을 작성하고, 훈련 방법을 제시하기 때문에 임직원 모두가 의심하는 습관과 현실 대응력을 자연히 체득할 수 있습니다. 세 가지 훈련 유형(개인정보 입력 유도형, 링크 접속 유도형, 첨부파일 실행 유도형)을 통해 다양한 상황을 연습해 볼 수 있는 것도 장점입니다.
끊임없이 진화하는 악성메일은 지금도 우리 회사의 정보를 노리고 있습니다. 파수 Mind-SAT과 함께 악성메일에 맞서 실전 대응 능력을 갖춘 조직으로 성장해 보세요! 임직원 개개인의 보안 의식 강화는 이제 선택이 아닌 필수입니다.
