안녕하세요. 최근 근무중인 업체에서 이메일 해킹 무역사기 이슈가 올라와
메일이 탈취당하는 것과 이를 보완할 방안에 대해 고민 중입니다.
기본적으로는 이메일 이용 시 그룹웨어 사에서 제공하는 메일 서버의 웹메일을 사용하는데
시만택의 이메일서버를 거쳐 수발신이 되고 있습니다. 메일 아카이빙을 하고 있지 않아서 직원들이 보관용
으로 pop3 를 통한 아웃룩 연동을 하고 있고 특정부서들만 메일 발신 제어 솔루션을 설치하여 smtp 까지
이용 중입니다.
최근 아웃룩을 통해 메일을 이용하던 직원과 거래처가 payment 중 저희 메일 도메인을 변조하여
***.com -> ***-co.com 의 형태로 계좌 변경을 시도를 하여 이슈가 되었습니다.
이걸 처음에는 해외 거래처가 털려서 그렇게 된 것이 아닌가 생각했지만 반대의 상황도 상정해야 하기에
악성코드 감염이나 해외사이트를 통한 문제가 있을까 싶어 pc단은 멀웨어 검사를 생각하고 있지만
웹메일 서비스를 제공하는 그룹웨어를 변경하거나 m365 exchange 서버로 아카이빙과 관리,
근본적으로 이를 방지하기 위해서 메일서버 / PC보안프로그램 / 아웃룩 중 어느쪽을 보완해야할지
보안 담당자님들의 의견을 여쭙니다.
주말에 심란한 마음에 글 올려 두서가 없을 것 같은데 의견 주신분들께 미리 감사드립니다.
9개의 답변이 있습니다.
저희 회사의 경우도.. 시스템상에서 차단 메일 체크하다보면 무역 피싱 메일이 많습니다.
솔직히 전산 담당자로선 이게 실 업무 메일인지 일일이 체크하기에는 양이 너무 방대합니다.
거래 계좌 변경등의 경우 최대한 변경을 자제하며... 우편물,FAX, 전화등을 통한 크로스체크를 해야 맞지 않을까 싶습니다.
또한 사용자들 교육이 중요할ㄷㅅ합니다.
메일서버 앞단에 항상 스팸스나이퍼나
메일서버 보안 시스템을 구축해야합니다
가쟈야아 | 11달 전
저희가 이전에는 스팸스나이퍼를 이용하다가 현재는 시만텍 이메일 보안을 이용중이긴 합니다..
보내는 사람의 도메인은 어떤 서버를 경유하든 쉽게 변조하여 보낼 수 있습니다.
작성자분 회사의 메일도메인이 인용되었다고 하나, payment 지급받는쪽을 인용해야 중간에 가로챌 수 있기때문에 작성자분 회사의 귀책으로 볼 사유는 되지 않습니다.
우려되는사항은 어느쪽인지는 확인되지 않으나, 상당히 오랜기간 전반적인 내용까지 파악하여 피싱을 했다는 점입니다.
그룹웨어, 웹메일등 전반적으로 해킹여부 점검이 필요한것으로 보입니다.(로그인IP등도 대조필요)
가쟈야아 | 11달 전
답변 감사드립니다.
안그래도 문제 발생한 메일 사용자의 로그인 정보 한달치 뽑아서 확인했으나 딱히 의심가는 정황이 아닌 건 확인하였고 거래처에 니네 문제다 라고 통보를 해야하다 보니 받아들일지 어려운 부분 인것 같습니다.
말씀 하신 상황에 대해서 메일서버단에서 할수 있는 방법은 많지 않습니다.
양쪽 어딘가의 메일서버가 해킹을 당했다면 패치를 하거나 서버단의 보안 조치를 하겠지만..
메일을 위변조한다라는것은 말그대로 해커가 메일을 흉내 내는것이니 막을 방법이 없습니다.
우리 메일 서버의 보안조치를 잘한다 한들. 상대방의 메일 서버까지 우리가 보안조치는 할수 없으니까요.
그래서 "이메일 위변조"가 아닌 "무역사기의 금전적 피해"를 막으려면..
근본적으로 이메일쪽을 보실게 아니라 "계좌를 변경하는 프로세스"를 보셔야 합니다.
계좌 정보의 변경이 있을때는 이메일 한통으로 끝나는게 아니라
계좌주 회사에 복수의 확인을 하는 절차를 준비하는것이죠.
거래처가 이메일에 속아서 다른곳에 입금하여 생기는 피해까지는 못막아도
우리회사가 사기메일에 속아서 해커에게 입금하는 피해는 막을수 있습니다.
가쟈야아 | 11달 전
의견 감사드립니다.
큰 거래처는 말씀하신 계좌 변경 프로세스를 별도로 가지고 있어 큰 문제가 없는데 해외 작은 업체들 같은 경우 이런 프로세스에 대한 대응을 잘 하지 않다보니 발생하는 문제 같습니다.
이런 이슈가 최근 몇 건 터져서 현업에서는 내부문제를 자꾸 의심하고 IT단에서는 말씀하신 것 같이 메일서버가 아닌 수신자측 문제로 보고 있으나 메일 탈취에 대한 방어를 어떻게 할 것인가에 초점을 맞추네요. ㅠㅠ
먼저 댓글 달아주신 분들 말씀처럼 이메일 계정은 위변조가 가능하고, 변조된 계정을 통해 발송된 메일은 사용자가 쉽게 속을 수 있기 때문에 대부분의 '기업 이메일 침해(BEC, Business Email Compromise)'는 사칭된 계정이나 사설 메일을 통해 발송됩니다.
특히 이러한 유형의 공격들은 사용자를 특정해서 이름과 부서, 심지어는 담당업무와 계좌번호까지도 파악한 후 공격이 이루어지기도 하기 때문에 기존 스팸 차단 솔루션이나 링크/첨부파일에서 위협을 탐지하여 차단하는 이메일 보안 솔루션들만을 가지고 방어하는데에 한계가 있습니다.
이를 보완하기 위해 사용자 스스로가 해킹 메일을 수신했을 때 효과적으로 대응할 수 있도록 도와주는 훈련 솔루션이나 무역 업무를 하는 기업에는 발신자 위변조 메일(사칭 메일)을 차단하는 솔루션도 최근 들어 많이 사용되고 있는데 함께 검토해보시면 좋을 것 같습니다.
가쟈야아 | 11달 전
답변 감사드립니다.
해외 거래처에 공문은 뿌려놨으나 내부적인 해결방안을 원하고 있어 위변조 메일(사칭 메일)을 차단하는 솔루션을 알아봐야 겠네요.
메일 보안 솔루션과 엔드포인트 보안, 스팸관련까지 종합적으로 점검하고 컨설팅이 필요할 것 같습니다.
해당 현황에 대해 추천받을 수 있는 솔루션상담실 추천드립니다.
가쟈야아 | 11달 전
내부적으로 검토 후 글 올려봐야겠습니다. 답변 감사드립니다.
솔루션상담실을 통해서 전문 업체의 진단과 컨설팅을 받아 보시기 바랍니다.
메일 사용하면서 이런 case는 빈번하게 발생합니다.
보안은 어느 한쪽만 해서 되는 일은 아닙니다.
메일 시스템이 있으면, 메일보안솔루션 줘서 보안 위협을 한번 필터링해주는게 좋구요.
메일을 열람했을 경우를 대비하여 PC단 보안 솔루션도 있는게 좋습니다.
위 메일변조와 같은 악성 메일을 사용자가 판단할 수 있는 이메일 모의훈련도
한번씩 실시해야 변조된 메일을 사용자가 걸러낼 수 있습니다.
가쟈야아 | 11달 전
답변 감사드립니다.
메일 보안 서버와 PC단 보안은 저희 회사에서는 이용중이나 문제 발생한 해외 거래처 쪽으로
솔루션을 도입해라 하고 권장은 할 수 있지만 저희가 도입을 해줄 수는 없어 막막합니다 ㅠㅠ
topkslee | 11달 전
거래처에 강요할 순 없는게 맞습니다.
주기적으로 보안 이슈에 대해 거래처에 언급할 필요는 있습니다.
관련 자료도 수집해놓으시면 좋구요
발신자 메일 주소를 임의 변경해서 메일을 발송하는 것은 얼마든지 가능합니다.
telnet 등을 이용해서 메일 서버 ( SMTP )에 접속해서 수작업 메일을 보낼 경우에는 발신자 메일 주소를 직접 타이핑해서 입력해야 하는데, 메일 주소 형식만 갖춰서 임의 지정하기만 하면 되는 것이 발신자 메일 주소가 되겠고요.
아웃룩, 썬더버드 등의 메일 클라이언트에서도 자신의 메일 주소를 임의 지정해 두고 사용하고 있는 형태가 되고요.
상대편의 메일 주소가 정상적인 믿을 수 있는 것인지 어떤지는 수신자 측에서 잘 판단해서 결정해야 할 내용이 되겠습니다.
몇년 전부터 임의 변경된 메일 주소를 이용한 스팸이 너무 많기 때문에 이에 대한 대응 방안으로 유명 메일 서버들은 발신자 메일 주소와 실제 발신한 서버 주소의 도메인을 비교해서 일치하지 않을 경우에는 스팸으로 간주하고 수신 자체를 차단해 버리거나 스팸으로 처리하고 있는 실정이고요.
스팸 솔루션을 이용해서 임의 변경한 메일 주소인지를 체크해서 스팸 처리하도록 하거나 사용자가 주의해서 메일을 확인하도록 교육시키는게 필요하겠습니다.
발신자가 임의 변경된 메일 주소로 수신한 메일에 대해서 임의 변경된 메일 주소의 도메인 소유자가 책임을 질 내용은 거의 없을 거라 생각되고...
임의 변경한 메일 주소를 이용해서 메일을 발송한 사용자로 인해 해킹 등의 피해가 발생했다면...
메일 발송자와 메일을 수신한 사용자에게 1차적인 책임이 있는 것이 되겠고...
다음으로 스팸 솔루션 등으로 보안 대책 마련을 하지 않았고, 사용자 교육을 제대로 시키지 않은 수신인측 메일 서버 관리자에게 책임이 있다고 보면 될걸로 보여 지네요.
가쟈야아 | 11달 전
답변 감사드립니다.
해외 거래처들에게 스팸 도메인을 차단하라고 전달은 했으나 저희 메일이 인용이 되었으나
저희 문제다 라고 생각하시는 분들이 많아 정말 그런가 싶기도 하여 글 올려보았습니다.
근본적으로는 양방향 다 보안과 사용자 교육에 대해 신경써야하는데 저희만 쪼아대니
갑갑하네요. ㅎㅎ