아시아 태평양 지역의 주요 기업들이 이메일 인증을 제대로 구현하지 않아 사이버 공격에 취약한 것으로 나타났다.
글로벌 사이버 보안 및 규정 준수 기업인 프루프포인트(Proofpoint)가 발표한 '아시아 태평양 지역 기업 이메일 인증 채택 연구 보고서'에 따르면 아태 지역의 최고 기업 중 단 12%만이 가장 엄격한 수준의 이메일 인증을 구현하고 있는 것으로 나타났다. 이는 기업과 고객을 피싱 및 이메일 사기로부터 보호하는 데 심각한 부족함을 시사한다.
이메일 사기 증가와 인증 부족
프루프포인트의 연구에 따르면, 2024년 한 해 동안 피싱 공격이 전년 대비 60% 증가했다. 사이버 범죄자들은 기업의 신원을 스푸핑하여 악의적인 이메일 공격을 실행하며, 이를 방지하기 위해서는 도메인 기반 메시지 인증, 보고 및 적합성(DMARC)과 같은 이메일 인증 기술이 필요하다.
그러나 조사 결과, 아시아 태평양 지역의 많은 기업이 이를 제대로 구현하지 못하고 있어 심각한 보안 취약점을 드러냈다.
DMARC는 이메일이 목적지에 도달하기 전에 발신자의 신원을 검증하는 보안 프로토콜로, 도메인 스푸핑과 같은 피싱 공격을 방지하는 데 중요한 역할을 한다. DMARC에는 모니터링, 격리, 거부의 세 가지 보호 수준이 있으며, 이 중 거부 정책이 가장 강력한 보호 기능을 제공한다.
국가별 DMARC 도입 현황
프루프포인트의 조사 결과에 따르면, 아시아 태평양 지역 내 국가별 DMARC 도입 수준에 상당한 차이가 있었다.
호주는 71%의 최고 기업이 거부 수준의 DMARC를 구현해 이메일 보안의 표준을 선도하고 있다.
싱가포르는 46.2%의 기업이 거부 정책을 시행했지만, 23.1%는 DMARC 기록이 없어 피싱 및 스푸핑 공격에 취약하다.
인도는 상위 기업의 50%가 거부 정책을 시행했으며, 30.9%는 격리를 적용하고 있다.
일본은 7.4%의 대기업만이 거부 DMARC를 적용하고 있으며, 65.6%는 모니터링 수준에 머물러 있다.
한국은 DMARC를 거부 수준에서 적용한 기업이 전무하며, 격리 수준에서 적용한 기업도 1.8%에 불과하다. 51.8%의 기업은 DMARC 기록이 없다.
태국은 17.6%의 기업이 거부 정책을 시행했으며, 동일한 비율의 기업이 격리 조치를 적용했다. 52.9%는 모니터링 수준에서 머물러 있다.
중국은 4.2%의 기업만이 거부 수준의 DMARC를 적용했으며, 71.8%는 DMARC 보호를 전혀 사용하지 않고 있다.
이 같은 결과는 아시아 태평양 지역에서 이메일 보안 수준이 미국이나 영국에 비해 현저히 낮다는 점을 보여준다. 특히 한국, 태국, 일본, 중국의 경우 기업들이 이메일 사기 방지에 대한 대비가 미흡한 상태다.
이메일 인증 강화를 위한 글로벌 움직임
이메일 공급업체들은 기업들이 보다 강력한 이메일 인증을 채택하도록 압력을 가하고 있다. 예를 들어, 구글, 야후, 애플은 2023년 10월부터 G메일, 야후, 및 iCloud 계정으로 이메일을 발송하는 대량 발신자에 대해 DMARC 등의 필수 인증을 요구하기 시작했다. 이러한 조치는 스팸 및 사기 이메일을 줄이는 데 중요한 역할을 한다.
또한, 신용카드 결제 정보를 저장하는 기업들은 2025년 3월 31일까지 최신 PCI-DSS(Payment Card Industry Data Security Standard) 규정에 따라 DMARC를 반드시 적용해야 하며, 이를 준수하지 않을 경우 막대한 벌금이 부과될 수 있다.
이메일 사기 방지를 위한 권장 조치
프루프포인트는 기업들이 사이버 보안 강화를 위해 다음과 같은 모범 사례를 따를 것을 권장했다.
① DMARC 구현 : DMARC를 거부 수준에서 적용하여 도메인 스푸핑 및 이메일 사기를 방지해야 한다. 필요 시 전문가의 도움을 받아 적절한 설정을 유지해야 한다.
② 직원 교육 : 사기성 이메일을 식별하고 피하는 방법에 대해 직원들에게 교육을 실시해야 한다.
③ 비밀번호 보안 강화: 강력한 비밀번호를 사용하고 주기적으로 변경하며, 동일한 비밀번호를 여러 계정에서 재사용하지 않도록 해야 한다.
프루프포인트의 아태지역 및 일본 담당 수석 부사장인 조지 리(George Lee)는 "사이버 공격의 빈도, 정교함, 비용이 증가함에 따라 많은 기업이 여전히 매우 취약하여 피싱과 같은 악의적인 이메일 기반 위협으로 인한 상당한 위험에 노출되어 있다는 점이 특히 우려스럽다. 강력한 사이버 보안 조치를 우선시하는 것은 이러한 위협으로부터 보호하고 고객의 귀중한 데이터를 보호하는 데 필수”라고 했다.
프루프포인트의 이번 보고서는 아태 지역의 기업들이 이메일 보안 강화에 적극적으로 나서야 함을 보여준다. 특히 한국, 일본, 중국 등에서 DMARC 채택률이 현저히 낮아 기업과 고객이 피싱 공격에 노출될 가능성이 크다. 기업들은 강력한 이메일 인증 도입을 통해 사이버 위협을 예방하고 고객 신뢰를 확보하는 데 주력해야 한다.