회사에서 당황하다 - 이메일 해킹

아마 보안이 잘 된 회사에 다니시는 분들도 개인메일로 당해보신 내용일텐데, 바로 이메일 해킹입니다.

 

몇년전 이런 일이 하도 빈발해서 사내에서 대책을 검토해본 적이 있습니다. 그런데, 중소기업의 한계가 항상 내재합니다.

 

한번 당하면, 이 해커가 제 컴퓨터를 같이 들여다보고 있다는 느낌이 듭니다. 중요한 거래의 거액의 수금진행이 되는 건에 대해서만 중간에 고객사한테 해킹메일을 보내거든요. 방법도 다양합니다.

 

1) 우리가 보낸 메일은 해커가 막고, 그 메일의 문구 및 스타일을 모두 모방하여 고객사에게 마치 우리가 보낸 것 같이 메일을 씁니다. 대표적인 것이, 계좌번호가 변경되었으니 새로 변경된 계좌번호로 송금하라는 것이지요. (수차례 공지메일 등을 통해서 계좌번호 변경은 된 적이 없고 되지도 않을거라고 이야기하지만, 고객사 financial team에 신입직원이 들어오는 경우엔, 아무 소용이 없지요.) 

 

이메일 주소도 교묘합니다. 이메일 영문주소 글자중 m은 nn으로 하는 식이나, 메일계정에 숫자가 추가되는 식입니다. 사실, 상세하게 보면, 이게 해킹메일인지 알 수 는 있지만, 이메일 주소를 일일이 확인하면서 대응하는 고객사는 없거든요. 메일주소가 뜨는 건 정상으로 해두고 세부 내역엔 다른 메일주소를 링크한 경우도 있습니다. 고객사 입장에서는 지금까지 늘 커뮤니케이션을 진행한 공급사의 직원이 이야기하는 것이니 단순히 믿고 진행하는 것이지요.

 

2) 웹사이트를 얼마에 사려고 하니 팔라는 메일도 있습니다. 한번만 더 생각해보시면, 여러분 웹사이트를 사겠다는 이유도 없다는 걸 알겁니다. 그리고...그 돈을 주고 살 이유가 없지요. 근데 이런 메일에 회신하는 사람도 있는 모양입니다. 아래 캡쳐한 것은 인터넷에 이런 메일 보내준다는 겁니다. 그런걸 서비스하는 업체도 있네요.

한동안은 자기가 아프리카 어디 왕족의 후손인지 자금담당이었는데 갑자기 좋은 투자건이 생겼으니 일단 돈부터 보내라는 메일이 있었는데, 그건 좀 시들해졌나봅니다. 그런거에 돈 보내는 사람이 있다는게 신기할 정도입니다.

 

3) 요즘은 SNS (대표적으로 Whatsapp이 있습니다.)를 통해서 자기가 아는 사람인지 물어보는 경우도 있더군요. 사진은 예쁜 여자사진을 올려둬서 궁금하게 하는 경우도 있습니다. 솔직히 이걸 클릭하면 뭐가 나올 지 모르는데, 저는 그냥 차단합니다.

4) 수신자 리스트에 모르는 주소가 생성된 경우도 있습니다. 즉, 본인이 보낸 메일이 본인도 모르게 그 주소로 계속 보내지는 것이지요. 저같은 경우에 메일을 공유하면서 한사람 메일주소가 계속 돌아오는데, 알지도 못하는 메일주소에 보낸 메일이 리턴되었다는 경우가 있었습니다. 이걸 추적하니, 메일 수신자 중 한명의 이메일에 이런 주소생성이 되어있었습니다.

 

5) 당신이 야동을 보고 있는 장면을 컴퓨터 카메라로 다 찍어두었으니 비트코인으로 얼마를 지불하라는 내용입니다. 메일도 자기가 자기한테 보내는 형태의 메일로 와서 회신이나 이런 게 소용없지요. 설혹 회사 랩탑(=노트북)으로 그런 걸 보셨는지 모르지만, 일단 그런 것엔 접속 안하시는게 최선이고, 메일이 오면 그냥 지우시면 됩니다.

 

사실 이런 문제가 생기면 회사에서는 큰 손해가 날 것을 예감은 하지만, 대응단계에서는 아래와 같은 방법을 씁니다.

 

- 이메일 비번변경 : 백날 해봤자입니다. 이미 해킹이 된 컴퓨터에서 비번 바꿔봤자지요. 제일 간단한 방법이긴 한데, 그만큼 효과는 떨어집니다.

 

- 컴퓨터 검사강화 : 글쎄요..주기적으로 했는데도, 문제는 없어지지 않더군요. 개인적으로 상당히 유명한 멀웨어제로킷 / MZK / Malware Zero Kit (https://malzero.xyz/download)추천합니다.

 

- 보안에 강한 서버변경 : 개인적으론 구글메일(지메일 gmail)을 추천합니다. 기업서비스로 아웃룩 진행이 가능한데, 메일 수량에 따라 가격이 달라지는 문제도 있어, 중소기업에서는 전체직원의 이메일을 변경한다는 것이 상당히 부담스러울 수 있습니다.

 

결국, 은행정보는 바뀌지 않으니 이런 메일에 속지말라는 공지메일 이외엔 방법이 없습니다. 이런걸로 돈 벌려고하는 나쁜 사람들이 문제이긴 한데, 중소기업은 자금이 없으니 보안시스템에 많은 투자를 할 수 없다는 약점이 있는 것을 아는 것이지요. 더 좋은 방법은 이런 어나운스먼트 자체가 또 해킹당할 수 있으니, 반드시 우편 등을 통해서 공식 문서화 하는 것이 더 좋습니다. 즉, "이 회사에서는 은행정보가 바뀌면 메일로 안보내고 서면으로 보낸다"라는 의식이 고객사측에 박히게 하는 겁니다.

 

사실, 이런 문제가 생기면, 고객사로 하여금 회사의 보안시스템이 허술하다 (loophole이 생겼다)라는 인식을 갖게 하고, 향후 모든 메일 커뮤니케이션에 상호 확인을 하는 절차로 비즈니스 지연이 발생하는 손해가 있습니다.

 

이런 것 말고도 신경쓸 일이 많은데, 이런 걸로 진을 빼니 업무가 잘 안되어 무형의 손실을 보기도 합니다. 가능하면 보안시스템을 최대한으로 하는 것이 진정한 비용절감으로 생각을 하는데, 실제 자금집행을 하는 쪽에서는 이런 쪽의 잘 안보이는 것은 안하려고 하는 문제가 있지요. 적극적인 대책이 필요함에도 잘 안되고 당하는 겁니다. (그런데, 대비를 안하면서 안걸리길 바라는 쪽은 차라리 그런 것에 호되게 당해봐야 한다는 생각도 드네요. 타산지석은 고사성어로만 알고 있는 사람들은 당해도 싸다는 생각이 듭니다.)