이민우기자
[아시아경제 이민우 기자] 정부나 공공기관을 사칭하는 이메일이 기승을 부리고 있지만 여전히 메일을 받을 때 적용되는 최신 보안조치의 적용률이 0.1%에 불과한 것으로 나타났다.
28일 한국인터넷진흥원(KISA)에 따르면 국내 이메일 서버에 이메일 인증 프로토콜(DMARC) 기술을 적용한 비율은 0.1%에 불과한 것으로 나타났다. 미국은 지난 2017년 10월부터 연방정부 기관들을 대상으로 이를 적용하는 것을 의무화했지만 국내에선 여전히 도입율이 낮다는 지적이다. DMARC를 적용하면 서버 관리자가 설정한 보안 수준에 맞춰 수신된 이메일을 검사하고, 그 인증을 통과해야만 수신자에게 전송된다. 관리자가 특정 도메인 주소를 지정할 경우 이 주소에서 발송되지 않은 메일은 모두 수신거부 되는 셈이다.
박진완 KISA 종합대응팀장은 "정부에선 이를 이미 도입했지만 기업과 민간에선 이를 도입하지 않아 정부와 공공기관을 사칭하는 메일로 인한 피해가 늘어나고 있다"며 "구글, 마이크로소프트(MS) 등 해외 업체들은 이미 도입해 적용하고 있는 만큼 국내에서도 민관이 협력해 이를 늘려갈 필요가 있다"고 설명했다.
실제로 올해 초부터 이미 통일부, 헌법재판소, 국세청 등을 사칭하며 실제 공문서와 유사한 제목과 내용으로 포장한 해킹 메일들이 기승을 부렸다. 이들은 발신 주소를 '@president.go.kr', '@korea.kr' 등 실제 정부가 보낸 이메일로 가장하기도 했다. 하지만 이메일 IP 주소는 미국 등 해외로 설정된 경우가 대부분이었다. 또한 휴가철을 고려해 전자항공권 등 예약 관련 안내인 척 하는 내용도 상당했다. 이 경우 도메인 주소를 대부분 가짜였다. 특히 이들은 자체적으로 악성코드를 담기보단 메일 안에 악성코드를 감염시킬 수 있는 링크를 첨부하는 방식을 주로 사용했다. 악성코드가 담겨 사전에 걸러지는 것을 막기 위해서다.
박 팀장은 DMARC를 널리 적용하기 위해서는 민관의 협력이 중요하다고 강조했다. DMARC는 관리자 설정에 맞춰 유효성·연관성 검사가 이뤄지는 만큼 피싱 메일이 아니더라도 걸러질 수 있다. 그만큼 발신인이 믿을만한지 사전에 확인한다는 의미다. 또한 발·수신자 모두 적용돼야 작동한다. 때문에 일부 기업만 도입할 경우 DMARC를 적용하지 않은 거래처로부터 온 메일이 차단될 수도 있다. 때문에 박 팀장은 전체적으로 빠르게 확대 적용할 필요가 있다고 강조했다. 그는 "DMARC 기술이 비교적 최신 기술인만큼 아직까지 적용이 안 된 경우가 많다"며 "정부가 주도적으로 적용하고 민간까지 확대해 나가도록 적극 권고할 예정"이라고 했다.
이민우 기자 letzwin@asiae.co.kr<ⓒ경제를 보는 눈, 세계를 보는 창 아시아경제(www.asiae.co.kr) 무단전재 배포금지>