전 세계적으로 코로나19와 싸우기 위해 여러 단체가 자선 기금을 조성하는 가운데, 인터넷이라는 전자 통로에서는 또 다른 종류의 전쟁이 벌어지고 있습니다. 코로나19 팬데믹 기간 동안 전 세계 수천 명의 사람들이 이메일 스푸핑 및 코로나19 이메일 사기의 희생양이 되었습니다. 사이버 범죄자들이 합법적인 것처럼 보이기 위해 이러한 조직의 실제 도메인 이름을 이메일에 사용하는 것이 점점 더 일반화되고 있습니다.
가장 최근 화제가 되었던 코로나바이러스 사기는 세계보건기구(WHO)로 추정되는 이메일이 전 세계로 발송되어 연대 대응 기금에 대한 기부를 요청하는 것이었습니다. 발신자 주소는 '[email protected]'였으며, 여기서 'who.int'는 WHO의 실제 도메인 이름입니다. 이 이메일은 피싱 사기로 확인되었지만, 언뜻 보기에는 모든 징후가 발신자가 진짜인 것으로 보였습니다. 결국 이 도메인은 실제 WHO의 소유였습니다.
하지만 이는 코로나 바이러스와 관련된 이메일을 이용해 사람들의 돈과 민감한 정보를 훔치는 피싱 사기가 증가하고 있는 일련의 사례 중 하나에 불과합니다. 하지만 발신자가 실제 도메인 이름을 사용하는 경우 합법적인 이메일과 가짜 이메일을 어떻게 구분할 수 있을까요? 사이버 범죄자들이 이렇게 큰 조직에서 이메일 도메인 스푸핑을 쉽게 사용할 수 있는 이유는 무엇일까요?
그렇다면 WHO와 같은 기관에서는 누가 자신의 도메인을 사용하여 피싱 공격을 시작하는지 어떻게 알 수 있을까요?
이메일은 전 세계에서 가장 널리 사용되는 비즈니스 커뮤니케이션 도구이지만, 완전히 개방된 프로토콜입니다. 그 자체만으로는 누가 어떤 이메일을 어떤 이메일 주소로 보내는지 모니터링할 수 있는 방법이 거의 없습니다. 공격자가 신뢰할 수 있는 브랜드나 유명 인사로 위장하여 사람들에게 돈과 개인 정보를 제공하도록 요청할 때 이는 큰 문제가 됩니다. 실제로 최근 몇 년간 발생한 모든 기업 데이터 유출 사고의 90% 이상이 어떤 형태로든 이메일 피싱과 관련이 있습니다. 그리고 이메일 도메인 스푸핑은 피싱의 주요 원인 중 하나입니다.
이메일 보안을 위해 발신자 정책 프레임워크(SPF) 및 도메인 키 식별 메일(DKIM) 과 같은 프로토콜이 개발되었습니다. SPF는 발신자의 IP 주소를 승인된 IP 주소 목록과 교차 확인하고, DKIM은 암호화된 디지털 서명을 사용하여 이메일을 보호합니다. 이 두 가지 방식은 개별적으로 효과적이지만 각기 결함이 있습니다. 2012년에 개발된 DMARC는 SPF와 DKIM 인증을 모두 사용하여 이메일을 보호하는 프로토콜로, 이메일이 DMARC 유효성 검사에 실패할 때마다 도메인 소유자에게 보고서를 전송하는 메커니즘을 갖추고 있습니다.
즉, 권한이 없는 제3자가 이메일을 보낼 때마다 도메인 소유자에게 알림이 전송됩니다. 또한 이메일 수신자에게 인증되지 않은 메일을 처리하는 방법(받은 편지함으로 보내거나, 격리하거나, 완전히 거부하는 등)을 알려줄 수 있습니다. 이론적으로는 악성 이메일이 사람들의 받은 편지함에 넘쳐나는 것을 막고 피싱 공격의 횟수를 줄여야 합니다. 그런데 왜 그렇지 않을까요?
DMARC로 도메인 스푸핑 및 코로나19 이메일 사기를 방지할 수 있나요?
이메일 인증을 사용하려면 발신자 도메인이 SPF, DKIM 및 DMARC 레코드를 DNS에 게시해야 합니다. 한 연구에 따르면 2018년에 Alexa 상위 100만 도메인 중 44.9%만이 유효한 SPF 레코드를 게시했으며, 5.1%만이 유효한 DMARC 레코드를 게시했습니다. 이는 DMARC 인증이 없는 도메인이 보안이 설정된 도메인에 비해 스푸핑에 거의 4배나 더 많이 노출된다는 사실에도 불구하고 나타난 결과입니다. 비즈니스 환경 전반에 걸쳐 DMARC 구현이 제대로 이루어지지 않고 있으며, 수년 동안 크게 개선되지 않고 있습니다. 유니세프와 같은 조직조차도 도메인에 DMARC를 아직 구현하지 않았으며, 백악관과 미국 국방부는 모두 p = 없음이라는 DMARC 정책을 가지고 있어 시행되지 않고 있습니다.
버지니아 공대 전문가들이 실시한 설문조사에 따르면 아직 DMARC 인증을 사용하지 않는 주요 기업 및 비즈니스에서 가장 심각하게 우려하는 몇 가지 사항이 밝혀졌습니다:
- 배포의 어려움: 보안 프로토콜의 엄격한 시행은 종종 대규모 기관에서 높은 수준의 조정을 의미하는데, 이러한 기관에는 리소스가 없는 경우가 많습니다. 게다가 많은 조직에서 DNS에 대한 제어 권한이 많지 않기 때문에 DMARC 레코드를 게시하는 것은 훨씬 더 어려운 일입니다.
- 비용보다 훨씬 큰 이점: DMARC 인증은 일반적으로 도메인 소유자가 아닌 이메일 수신자에게 직접적인 이점이 있습니다. 새로운 프로토콜을 채택해야 하는 진지한 동기가 부족하기 때문에 많은 기업이 DMARC를 시스템에 통합하지 못하고 있습니다.
- 기존 시스템을 무너뜨릴 위험: DMARC는 상대적으로 새롭기 때문에 부적절하게 구현될 가능성이 높으며, 이로 인해 합법적인 이메일이 통과되지 않을 위험이 매우 높습니다. 이메일 유통에 의존하는 기업이라면 이런 일이 발생해서는 안 되므로 DMARC를 도입하지 않는 것이 좋습니다.
DMARC가 필요한 이유 인식하기
설문조사에서 기업들이 제기한 우려는 분명 타당성이 있지만, 그렇다고 해서 이메일 보안을 위해 DMARC를 도입해야 하는 필요성이 줄어드는 것은 아닙니다. 기업이 DMARC 인증 도메인 없이 계속 운영되는 기간이 길어질수록 우리 모두는 이메일 피싱 공격의 실제 위험에 더 많이 노출됩니다. 코로나 바이러스 이메일 스푸핑 사기를 통해 알 수 있듯이, 그 누구도 표적이 되거나 사칭되는 것에서 안전하지 않습니다. DMARC를 백신이라고 생각하면 사용 인구가 늘어날수록 감염 확률이 급격히 낮아집니다.
이 문제에 대한 실제적이고 실행 가능한 솔루션이 있어 DMARC 도입에 대한 사람들의 우려를 극복할 수 있습니다. 다음은 구현을 크게 향상시킬 수 있는 몇 가지 솔루션입니다:
- 구현 과정에서의 마찰 감소: 기업이 DMARC를 도입하는 데 있어 가장 큰 장애물은 배포 비용입니다. 경제는 침체기에 있고 자원은 부족합니다. 이러한 이유로 PowerDMARC는 업계 파트너인 글로벌 사이버 얼라이언스(GCA)와 함께 코로나19 팬데믹 기간 동안 3개월 동안 모든 앱 제품군, DMARC 구현 및 스푸핑 방지 서비스를 완전히 무료로 제공하는 한시적 혜택을 발표하게 된 것을 자랑스럽게 생각합니다. 몇 분 안에 DMARC 솔루션을 설정하고 지금 바로 PowerDMARC를 사용하여 이메일 모니터링을 시작하세요.
- 인식된 유용성 개선: DMARC가 이메일 보안에 큰 영향을 미치려면 SPF, DKIM 및 DMARC 레코드를 게시하는 사용자가 많아야 합니다. DMARC 인증 도메인에 '신뢰할 수 있음' 또는 '확인됨' 아이콘을 부여하면(웹사이트의 HTTPS 홍보와 마찬가지로) 도메인 소유자는 자신의 도메인에 대한 긍정적인 평판을 얻도록 인센티브를 받을 수 있습니다. 이 수치가 특정 임계값에 도달하면 DMARC로 보호되는 도메인이 그렇지 않은 도메인보다 더 호의적으로 보입니다.
- 간소화된 배포: 스푸핑 방지 프로토콜을 더 쉽게 배포하고 구성할 수 있게 되면 더 많은 도메인이 DMARC 인증에 동의하게 될 것입니다. 이를 위한 한 가지 방법은 프로토콜을 '모니터링 모드'에서 실행하도록 허용하여 이메일 관리자가 전체 배포를 진행하기 전에 시스템에 미치는 영향을 평가할 수 있도록 하는 것입니다.
모든 새로운 발명에는 새로운 도전이 따릅니다. 새로운 도전이 있을 때마다 우리는 이를 극복할 새로운 방법을 찾아야 합니다. DMARC는 몇 년 전부터 존재해 왔지만 피싱은 훨씬 더 오래 전부터 존재해 왔습니다. 최근 몇 주 동안 코로나19 팬데믹으로 인해 피싱은 새로운 얼굴을 갖게 되었습니다. PowerDMARC는 이 새로운 도전에 정면으로 맞설 수 있도록 도와드리겠습니다. 여기에서 무료 DMARC 분석기에 등록하여 코로나 바이러스로부터 안전하게 집에 머무는 동안 도메인을 이메일 스푸핑으로부터 안전하게 보호하세요.
