이메일의 중요성, 보안으로 이해하기
시장동향 이야기
기업의 대내외 커뮤니케이션 채널을 논할 때, 이메일을 빼고 이야기할 수 있을까? 개인적으로는 어렵다고 생각한다. 종종 이메일을 비즈니스의 낭비적인 요소로 평가하거나 다른 협업 도구를 통해 대체가 가능하다는 이야기가 보이기도 하지만, 이메일 없이 비즈니스가 가능한가?를 조금만 생각해보면 쉽지 않다는 것을 알 수 있다. 이미 이메일은 조직과 개인의 비즈니스에서 필수적으로 이용되는 Business Environment의 요소로 이메일을 쓰지 않는다는 것은 개인이나 조직의 비즈니스 커뮤니케이션을 포기하는 것과 같기 때문이다.(내부에서 협업을 위해 슬랙 등을 활용하는 것과는 전혀 다른 문제다.)
미국의 IT 조사 기업인 Raticati Group에 따르면 전 세계 비즈니스 이메일은 연평균 3%씩 증가하고 있다고 한다. 이는 2015년 하루 평균 1,125억 건의 이메일을 송/수신하는 것으로 기업 커뮤니케이션 도구의 증가 및 확대에도 불구하고 이메일에 대한 의존도는 매우 높다고 할 수 있다. (출처 : Email Statistics Report, 2015-2019) 비즈니스 메일의 증가에는 모바일 오피스의 확대도 있다. 모바일 오피스의 확대와 함께 모바일 디바이스를 통한 이메일 이용 비중 역시 크게 증가하고 있기 때문이다.
또한, 1건의 이메일만으로도 다양한 정보(Text, URL Image, Attachment, etc)를 보낼 수 있는 이메일의 특징 역시 우리가 이메일을 이용하는데 영향을 주는 장점이라고 할 수 있다. 하지만, '이메일을 안전하게 이용하고 있는가?'에 대한 물음에 자신 있게 답변할 수 있는 사람은 얼마나 있을까. 조직에서 제공하는 이메일 보안을 이용하고 있는 사람이라도 '스스로 안전한 이메일을 위한 노력을 하고 있는지?'에 대해 묻는다면 아마 답변하기 어려울 것이다. 실제로 보안 전문가들의 견해와 보안 이슈 그리고 보안 사고들을 볼 때, 이메일 보안에 대한 의식은 열악한 수준이다.
공격자들의 입장에서 이메일은 정말 좋은 공격 대상이라고 할 수 있다. 앞서 이야기한 것처럼 이메일은 비즈니스 커뮤니케이션의 필수적인 채널로 대내외 업무 진행을 위해 송수신이 반드시 요구되는 영역이다. 이는 완벽히 단절될 수 없는 영역이라는 것을 의미한다. 공격자들은 이를 이용하여 이메일 수신자가 이메일을 열람하도록 다양한 방법으로 유도하는 것이다. 물론 보안 기업들이 제공하는 다양한 스팸대응, 이메일 APT 대응 솔루션을 우회하기 위한 노력도 포함된다. 즉, 우리가 이메일을 이용하는 만큼 비례하여 보안 위협 역시 지속적으로 증가하고 있는 것이다. (이메일 보안 솔루션을 도입하고 있는 기업 역시 대기업이나 금융, 공공 등 규모가 있는 조직을 중심으로 적용되고 있는 한계도 있다.)
또한, 이메일에는 다양한 정보(Text, Url, Image, Attachment, etc)가 존재한다. 이는 기업의 주요 정보(영업정보, 거래정보, 기술정보, 기타 커뮤니케이션 정보 등)가 이메일 내에 다양한 형태로 포함되어 있다는 것을 의미한다. 다시 말해서 이메일 계정을 탈취함으로써 얻을 수 있는 이익은 개인의 커뮤니케이션부터 조직의 민감 정보까지 폭넓다고 할 수 있다. 또한 이메일은 송수신이 함께 이뤄지는 특성이 있다. 이는 개인이 보내는 정보 이외에도 회신으로 돌아오는 특정 인물의 정보까지 한 명의 정보가 아닌 다수의 정보를 획득할 수 있다는 것이다. 일례로 소니픽쳐스의 이메일 유출 사건이나 미국 힐리러 대선 후보의 이메일 스캔들과 같이 유출된 이메일은 조직과 개인 전반에 어마어마한 피해를 초래하였다.
출처 : 지란지교시큐리티 블로그이처럼 이메일은 매우 중요한 정보가 담겨 있으면서 개인을 대표할 수 있는 채널이라고 할 수 있다. 그러나 많은 사이버 위협들이 이메일을 통해 이뤄지는 것은 단순히 정보가 많기 때문은 아니다. 오히려 이메일 사용자의 보안 인식과 습관이 더 문제라고 할 수 있다. 자신의 이메일 사용 습관을 생각해보자. 수신된 이메일을 열람하는 데 있어 주의 깊게 확인하는가? 이메일 송신에 앞서 이메일 내 포함된 정보의 중요도를 체크하거나 수신인의 이메일 주소를 정확히 확인하는가? 그렇지 않을 것이다. 이메일을 Business Environment로 이야기하는 이유가 바로 여기 있다.
우리는 이메일을 너무나 습관처럼 이용하고 있다. 이는 개인뿐만 아니라 조직에도 해당되는 이야기이다. 습관은 행동하는 데 있어 깊은 생각이 요구되지 않는다. 그 말처럼 익힐 習(습), 버릇 慣(관), 익숙해진 버릇이기 때문이다. 무엇이든 처음 시작할 때 좋은 습관을 들이는 것이 중요하지만, 어느 누구도 좋은 이메일 습관을 가르쳐주지 않는다. 이미 개인과 조직 모두가 익숙해졌기 때문이다. 결국 우리의 이메일 이용 습관이 이메일을 공격자들이 가장 좋아하는 먹잇감으로 만들었다. 만약, 우리가 이메일 사용에 있어 안전하게 사용하는 습관을 처음부터 들였다면 이메일은 지금과 같이 보안 사고의 중심에 있지는 않았을 것이다.
실제로 최근 이메일을 통한 보안 위협을 살펴보면 개인에 대한 공격이 심화되고 있는 것을 볼 수 있다. 이메일 랜섬웨어 공격으로 가족과의 소중한 추억이 담긴 파일이 잠기거나, 프리랜서 디자이너의 작업 결과물이 잠기는 등 시스템 상의 정보가 아닌 일상까지 피해를 초래하고 있는 상황이다. 우리가 지금까지 익숙하게 이용했던 이메일 이용 습관이 이제 우리를 위협하고 있다.
공격자들은 더 이상 기업의 보안과 싸우는데 힘을 쏟지 않는다. 기업의 보안과 싸우기 위해서는 많은 시간과 비용 그리고 기술이 요구되기 때문이다. 반면, 개인은 많은 시간과 비용, 기술을 투자하지 않더라도 쉽게 공격이 가능하다. 기업에 비해 높은 수익을 얻을 수는 없지만 불특정 다수에 대한 공격을 통해 수익을 얻을 수 있으며, 개인이 속한 조직 내 침투가 용이하다는 장점이 있다. 이러한 상황에서 앞으로의 이메일 보안에서 고려해야 하는 가장 중요한 요소는 '개인의 취약한 보안 수준에 대한 대응'이라고 할 수 있다.
