칼럼 | 피싱 이메일과 유사한 기업 이메일… '익숙해지는 것이 문제'

기업은 피싱 방지 교육 프로그램을 매우 중요하게 여긴다. 하지만 고객과 중요한 운영 관련 커뮤니케이션을 할 때 이를 고려하지 않는 경우가 많다. 많은 기업이 일상적으로 피싱 메시지와 똑같아 보이는 메시지를 발송하고 있다.
 

많은 기업 경영진이 이런 메일이 기업의 운영을 해친다는 사실을 깨닫지 못하는 듯하다. 어떻게 그럴 수 있을까? 기업은 시스템에 대한 액세스 권한이나 자격 증명을 갖고 있는 거의 모든 고객들이 알 수 없는 링크를 클릭하거나 예상치 못한 이메일을 통해 알 수 없는 첨부 파일을 열도록 유도하고 있다. 문제를 자초하고 있는 셈이다.

이게 어떻게 잘못될 수 있을까?

주요 사이버 공격자들은 이런 기업의 CIO와 CISO에게 감사해하며 "고객이 피싱 공격에 더 잘 속도록 유도해 줘서 대단히 고맙다. 빚을 졌다. 몸값 요구서를 보낼 때 다시 연락하겠다"라는 메모를 남길 수도 있을 터다.

이를 우려하게 된 계기는 최근 두 기업으로부터 받은 이메일 때문이다. 하나는 대형 통신사에서 수리 주문 예약 문제와 관련해 보낸 메일이었고, 다른 하나는 대형 의료 기관에서 보낸 청구 메일이었다. 두 메시지 모두 예상을 벗어났다. 통신사 쪽은 내용도 모호하더니 링크를 클릭하도록 유도했다. 의료 서비스에서도 역시 모호한 문구와 함께 PDF 첨부 파일을 열라고 요청했다. 

이후 2번의 전화 통화와 여러 차례 통화 대기음을 견디고 나서야 두 메일이 모두 합법적이라는 사실을 알게 됐다. 하지만 그게 중요한 문제가 아니었다. 중요한 점은 사람들이 알 수 없는 링크를 클릭하거나 첨부 파일을 열도록 유도하는 건 IT에 있어 '자멸 행위'와도 같다는 것이다.

인증 기업 토큰(Token)의 CEO인 존 건은 이 전략을 3살 아이에게 유괴당하지 않는 방법을 가르치려는 부모에 비유했다. 그는 "3살 아이에게 '이 낯선 사람한테는 사탕을 받아도 되지만, 다른 낯선 사람한테는 안 된다'라거나 '이 낯선 사람이 잃어버린 강아지를 찾도록 도와주되 다른 낯선 사람은 도우면 안 된다'라는 식으로 말할 수는 없다. 기업은 고객에게 합법적인 것과 그렇지 않은 것을 구분해야 하는 추가 부담을 주고 있다"라고 지적했다.

여기서 문제는 지난 1년 정도 동안 피싱 수준도 달라졌다는 것이다. "이 이메일은 피싱 이메일처럼 보인다"라는 표현은 이전처럼 효과적이지 못하다. 예를 들면 피싱 메일에서 더는 오타를 찾아보기도 어렵다. 

기업이 연락을 취하려면 "주의가 필요한 새로운 청구 문제가 있다. 포털에 로그인해 살펴보라"라는 식으로 보내는 것이 적절하다.

하지만 대부분의 기업이 그렇게 하지 않는 이유는 뭘까? 일부에서는 교육 부족을 탓하기도 하지만, 종종 매우 의도적인 경우도 있다.

책임감 있는 기업이 피싱 문제를 방관한 것은 아니다. 적절한 방법으로 이를 해결하고자 했지만, "내가 얼마나 많은 포털을 처리해야 하는지 알고 있느냐. 원하는 포털 링크를 알려달라"라며 불만을 토로하는 고객도 많았다.

이는 다시 '보안 대 편의성'의 악몽으로 돌아가게 한다.

피싱 문제는 상황이 두 단계이기 때문에 더 복잡하다. 고객이 기업의 링크를 클릭한다고 해서 피해를 입는 것은 아니다. 실제로는 기업이 의도치 않게 고객이 알 수 없는 링크를 클릭하도록 유도하기 때문에, 실제 피싱 공격 이메일을 접했을 때 피해를 입을 가능성을 야기할 수 있다. 기업이 보낸 이메일 때문에 피싱 메일을 클릭했다는 것을 증명할 수 없을 때, 기업은 책임을 지는가?

더 심각한 문제도 있다. 예전에는 의심스러운 링크에 마우스를 갖다대고 합법적인 링크인지 확인하라는 조언이 있었다. 하지만 오늘날에는 이런 조언이 통하지 않는다. 우선 많은 커뮤니케이션이 마우스가 없는 모바일 환경에서 이뤄지고 있다. 베이즈(Bayes)의 CEO 데이비드 피어슨은 모바일 디바이스에서 길게 눌러 링크를 미리 보기할 수 있지만, 링크가 쉽게 열릴 수 있기 때문에 매우 위험하다고 지적했다. 또한 노우비4(KnowBe4)의 방어 에반젤리스트인 로저 그라임스에 따르면 공격자들은 마우스 오버를 위조하는 기술을 이미 습득했다.

그 뿐만 아니라 많은 기업이 청구, 예약, 배송, 결제 등 다양한 기능을 위해 서드파티 업체와 협력하고 있다. 다시 말해 즐겨 찾는 기업의 이름을 기대한 고객이 이메일 목록에서 낯선 업체를 보게 되는 경우가 많다.

다시 사용자를 위한 기본적인 조언으로 돌아가면, 예상치 못한 링크는 클릭하거나 첨부 파일을 열지 말아야 한다. 결제 카드 뒷면에 있는 번호 같은 신뢰 가능한 수단으로 합법성을 확인할 수 있는 경우를 제외하고 예외는 없다.

한편 IT 컨설턴트인 앨런 앨포드는 피싱과 유사한 메시지를 제거하기가 쉽지 않다고 말했다. 그는 "악성이나 의심스러운 메일을 클릭하지 않도록 사용자들을 교육한다. 직원처럼 보이지만 실제로는 아닌 것들에 대해서도 마찬가지다. 그런데 아웃소싱된 HR SaaS 제품이 HR 책임자를 '대신해' 전사적으로 이메일을 보낸다. 마케팅 부서에도, 영업 부서에도 같은 이메일을 보낸다. 결론은 클릭하지 말라는 조언이 비현실적이라는 것이다"라고 설명했다.

앨포드는 "유일한 대응책은 최종 사용자에게 대역 외 발신자에게 연락해 확인하도록 교육하는 것이다. 그리고 나서 '하지 말아야 할 것'에 대해 사용자들을 교육하는 대신 기업을 교육해야 한다"라고 말했다.

사이버 위험 관리 회사 사이버세인트의 CEO인 패드릭 오라일리는 이러한 문제의 대부분이 같은 회사 내 사업부 간의 단절에서 비롯된다고 말했다. 그는 "보안 및 IT 부서와 운영 부서 사이에 단절이 있는 경우가 많다. 있어야 할 수준보다 더 분리돼 있는 경우가 많다"라고 지적했다.

TCF스트레티지의 CEO인 브라이스 오스틴은 더 직설적으로 "링크를 클릭하라는 이메일이나 첨부 파일을 보내는 모든 회사는 비즈니스 프로세스를 재고해야 한다"라고 언급했다.

다만 피어슨은 이메일 피싱 문제 해결의 ROI가 더 큰 문제라며, "위험 환경을 계산할 때 이메일 피싱 문제는 충분히 우선순위가 높은가? 그렇지 않다"라고 말했다. 특별히 우선순위가 높지 않은 것이다.

이는 바뀌어야 한다.

* Evan Schuman은 리테일 기술 사이트 StorefrontBacktalk의 설립자 겸 편집자이며 CBSNews.com, RetailWeek, Computerworld, eWeek의 칼럼니스트로 활동했다. ciokr@idg.co.kr