인터넷 보안 솔루션 기업 바이퍼 시큐리티 그룹(VIPRE Security Group)이 ‘2023년 1분기 이메일 위협 동향 보고서’를 발표했다. 이 보고서는 이메일 기반 공격과의 끝없는 싸움에서 사이버 보안 업계를 지원하고 항상 존재하는 이메일 보안 문제를 해결하기 위해 연구되었다.

바이퍼 연구원들은 2023년 초 내내 거의 20억 개의 이메일을 분석하여 ‘이메일 위협 동향 1분기 보고서’를 제공하고 이메일 기반 공격과의 끝없는 전쟁에서 업계와 항상 존재하는 이메일 보안 문제 해결을 지원했다.

보고서의 주요 결과를 살펴보면 금융 기관(25%)이 가장 많은 공격 대상이었으며, 77%의 피싱 이메일이 악의적인 링크를 사용했으며, 스팸 메일의 대부분(76%)은 미국에서 발생했다. 연구원들은 알려지지 않은 서명이 없는 야생 악성 이메일에 대해 10만 개 이상의 새로운 이메일을 탐지했다

바이퍼는 20억 개의 이메일 중 5%인 22만8000개를 스팸으로 분류했다. 이러한 스팸 이메일 중 13만7000개가 콘텐츠에 기인한 것으로, 이는 사기꾼들이 감염된 링크나 첨부 파일을 클릭하여 송금과 같은 작업을 수행하도록 피해자에게 강요하는 것을 선호함을 시사한다. 잠재적인 피해자들이 첨부 파일을 열거나 링크를 클릭하는 것을 점점 더 경계하기 때문에, 스팸 메일 발송자들은 내용에 기인하는 스팸 이메일을 선호할 가능성이 높다.

스팸 이메일의 4분의 1 이상(28%)이 피싱 캠페인에 속했으며, 77%는 악의적인 링크를 활용했고 23%는 악성 첨부 파일을 활용했다. 대부분의 PaaS(Phishing-as-a-Service) 공급자가 사전 구축된 피싱 키트의 첨부 파일보다 URL을 선호하기 때문에 의심스러운 링크가 맨 위에 나타났을 가능성이 있다. 흥미롭게도 손상된 웹사이트로 인한 악성 링크가 지난 1년 동안 26% 증가하여 이제 대략적인 URL이 의심스러운 첨부 파일보다 성능이 더 우수함을 시사한다.

사이버 범죄자는 ▲웹 사이트의 양식에 악성 스크립트 포함 ▲클릭 시 맬웨어 에이전트가 다운로드되도록 함 ▲합법적인 하이퍼링크를 악의적인 하이퍼링크로 교체 등의 수법을 통해 웹 사이트를 활용했다.

그러나 악성 스팸 이메일의 97%에 악성 첨부 파일이 포함된 반면 악성 링크는 3%에 불과했다. 이는 악성 스팸 발송자가 링크와 비교할 때 첨부 파일을 통해 더 많은 성공을 거두었음을 시사한다.

놀랄 것도 없이, 금융 기관(25%)이 여전히 가장 많은 공격 대상 분야이며, 의료(22%) 및 교육(15%) 제공업체가 그 뒤를 바짝 따르고 있다. 사이버 범죄자들은 방대한 양의 민감한 데이터를 처리하기 때문에 금융 기관과 교육을 대상으로 삼는 것을 좋아한다. 비즈니스 연속성이 필수적이고 몸값을 지불할 가능성이 높기 때문에 의료 서비스 제공업체는 랜섬웨어를 배포하는 데 선호되는 대상이다.

그러나 더 놀라운 사실은 스팸 이메일의 76%가 미국에서 발신되었다는 점이다. 이는 사이버 범죄가 일반적으로 비서구 국가에서 발원한다는 가정과 모순된다. 러시아는 놀랍게도 3년 전 1위를 차지했지만 3위 안에 들지도 못했다. 그러나 스패머는 자신이 미국에 있다고 암시하기 위해 고의로 자신의 지리적 위치를 난독화하여 결과를 왜곡하는 경우가 많다는 점을 기억하는 것이 중요하다.

사칭 브랜드와 관련하여 마이크로소프트는 2023년 1분기에 DHL, WeTransfer 및 애플과 같은 다른 상위 브랜드보다 거의 3배 더 사칭 되었다. 이러한 차이는 지난 2월 마이크로소프트 원노트를 악용하는 사이버 범죄자가 크게 증가했기 때문일 가능성이 높다.

가장 우려되는 것은 알려진 서명이 없는 악성 이메일에 대해 10만 개 이상의 새로운 메일이 발견됐다는 것이다. 바이퍼는 동작 탐지 기술을 통해 이러한 이메일을 발견했다. 즉, 기본적인 서명 기반 이메일 보안 툴이 이메일을 탐지하지 못했을 것이다. 이메일 위협이 곧 사라질 것이 아니라 점점 더 심각해질 수도 있다는 것은 분명하다.

우스만 초드하리(Usman Choudhary) 바이퍼 최고 제품 및 기술 책임자는 "가장 기초적인 공격 기술 중 하나임에도 불구하고 이메일 기반 위협은 계속해서 헤드라인을 장식하고 있으며 세계 최대 기업을 무릎 꿇게 만들고 있다."라며, "정보가 없는 체크박스 보안 인식 교육을 제공하는 것만으로는 충분하지 않다. 조직은 최신 연구에 따라 접근 방식을 조정해야 한다."조언했다.

이어 초드하리는 "이 보고서를 작성하기 위해 엄청난 노력과 국제적인 자원, 경험이 풍부한 분석 및 엔터프라이즈 수준의 기술이 투입되었다. 우리는 이메일 보안 분야에서 독보적인 위치를 차지하고 있으며, 그렇지 않으면 알려지지 않은 중소기업들에게 우리의 전문 지식과 정보를 제공하는 데 전념하고 있다."고 덧붙였다.