이메일은 기업의 대외적 소통의 핵심 도구로, 악성 콘텐츠가 포함될 경우 개인 및 조직에 심각한 위협을 초래한다. 피싱, 악성 URL, 첨부파일 등을 활용한 공격으로 데이터 유출, 운영 중단, 경제적 손실 등 피해를 입을 수 있다. 이를 막기 위해 기업은 AI 기반 이메일 보안 솔루션과 다단계 인증(MFA), 실시간 위협 분석 등을 통해 보안 강화를 추진하고 있지만 점점 더 정교해지는 사이버 공격으로 보다 강력한 보안 의식이 필요하다.

글로벌 보안 기업 호넷시큐리티(Hornetsecurity)가 악성 콘텐츠를 포함하는 기업 이메일 이용한 사이버 공격에 대한 보안 보고서를 발표했다.

이 보고서는 2023년 11월 1일부터 2024년 10월 31일까지 호넷시큐리티 보안 서비스를 통해 처리된 556억 건의 이메일을 검토한 결과를 기반으로 작성됐다.

이 보고서에 따르면, 올해 기업이 받은 전체 이메일 205억 건의 36.9%가 원치 않는 이메일로 분류됐다. 이 중 악성 콘텐츠 포함 이메일은 2.3%로, 총 4억 2780만 건에 달하는 것으로 나타났다.

보고서는 ‘피싱’이 올해 전체 사이버 공격의 약 33%를 차지해 여전히 가장 널리 퍼진 공격 형태라고 말했다. 556억 건의 이메일 분석 결과, 피싱은 해마다 주요 관심사로 주목받고 있었다. 악성 URL과 고급 수수료 사기가 각 22.7%와 6.4%로 뒤를 이었다.

리버스 프록시 자격 증명 탈취 공격

보고서에 따르면 작년 대비 거의 모든 악성 파일 공격은 감소했다. 그러나 HTML 파일(20.4%), PDF 파일(19.2%), 압축 파일(17.6%)은 2023년부터 올해까지 상위 3개 파일 유형으로 남아 있었다.

데이터 분석 결과, 악성 첨부 파일을 사용한 공격이 감소했는데, 지난 1년 동안 리버스 프록시 자격 증명(reverse-proxy credential) 탈취 공격이 증가했기 때문이다. 이 공격은 공격자가 리버스 프록시 서버로 사용자의 아이디나 비밀번호 등 자격 증명을 탈취하는 방식이다. 보통 첨부 파일이 아닌 악성 링크로 사용자를 속여 가짜 로그인 페이지로 리디렉션해 실시간으로 자격 증명을 탈취한다. 이 과정은 이중 인증(2FA)조차 우회할 수 있다.

악성 URL은 두 번째로 흔한 공격 유형으로, 전체 공격의 22.7%를 차지했다. 2023년 이후 URL을 사용한 공격이 급증하며 자격 증명 탈취 시도에 사용하는 빈도가 증가하고 있다. 이블징스(Evilginx)과 같은 도구는 공격자가 가짜 로그인 페이지를 설정해 사용자가 입력한 자격 증명을 캡처할 수 있다.

표적화된 공격

보고서는 전체적인 공격은 감소했지만  모든 산업이 여전히 공격 받고 있다고 말했다. 특히 마이닝(mining), 엔터테인먼트, 제조업은 랜섬웨어 공격과 이중 갈취(double extortion) 사기의 주요 표적이 되고 있다고 설명했다. 이중 갈취 사기는 해커가 피해자의 데이터를 암호화해 접근을 차단하거나 유출하는 협박으로 금전적 요구를 하는 방식이다.

DHL 및 페덱스(FedEx)와 같은 배송 브랜드는 온라인에서 가장 많이 사칭된 브랜드로, 고객들은 실제 기업의 커뮤니케이션과 유사한 피싱 사기의 표적이 되고 있다. 도큐사인(DocuSign)과 페이스북은 작년 대비 두 배 이상의 사칭 시도가 증가했으며, 마스터카드(Mastercard)와 넷플릭스 역시 눈에 띄는 증가를 보였다.

호넷시큐리티 CEO 다니엘 호프만(Daniel Hofmann)은 “공격 방법의 일정한 패턴은 고무적이지만, 점점 더 표적화된 소셜 엔지니어링 전술로의 변화는 기업이 지속적으로 경계를 늦추지 않아야 한다는 것을 의미한다.”고 말했다.

보고서는 제로 트러스트(Zero Trust) 사고방식을 강조했다. 제로 트러스트 방식은 이메일 보안을 강화하기 위해 사용자와 기기, 애플리케이션, 데이터 접근을 지속적으로 검증하는 원칙에 기반한다. 신뢰를 기본값으로 가정하지 않고, 모든 접근 요청에 대해 다단계 인증, 사용자 행동 분석, 데이터 암호화, 최소 권한 접근 제어를 적용한다.

이 방식은 피싱, 악성코드, 계정 탈취와 같은 이메일 기반 위협을 효과적으로 방어하며, 실시간 모니터링과 의심스러운 활동 차단을 통해 보안 사고를 예방한다. 제로트러스트는 특히 하이브리드 및 원격 근무 환경에서 이메일 보안의 핵심 전략으로 자리 잡고 있으며, 조직의 민감한 데이터와 네트워크를 보호하는 데 필수적이다.

호프만은 “조직이 기본적인 보안 관행을 우선시하고 제로 트러스트 사고방식을 수용해 취약점을 정면으로 다루고 강력한 보안 문화를 조성해야 한다.” 라며 “보안이 강한 기업을 구축하기 위해 모든 사람에게 사이버 보안이 개인에게 미치는 영향과 위협을 막기 위한 개인의 역할을 이해시켜야 한다.”라고 말했다.