발신자 주소 조작해 발송

위·변조 쉽고 차단 어려워

“미심쩍은 메일 열지 말아야”

 

 

  최근 고려대 구성원 메일 주소로 피싱 메일이 대거 발송되고 있다. 5월 해킹 프로그램 유포로 메일 기록이 유출된 지 두 달여 만이다.(고대신문 2022호 ‘고려대 구성원 PC 해킹에 메일 기록·내용 유출됐다’) 디지털정보처(처장=김승주 교수)는 학내 구성원에게 링크를 클릭하지 말라는 주의 메일을 발송하는 등 적극 대응하고 있으며 기술적 보안 강화도 조치할 계획이다.

 

  점점 늘어나는 피싱 메일

  7월 21일 고려대 메일 도메인을 사용하는 구성원 일부에게 ‘단말기를 해킹했다’며 암호화폐로 금전을 요구하는 메일이 발송됐다. 이는 발신자 주소를 조작한 피싱 메일로 밝혀졌다. 디지털정보처 정보인프라팀은 일부 학내 구성원이 이러한 발신자 위·변조 메일에 계정 정보를 입력해 피해를 입은 것으로 확인했다. 

  해킹 위험이 계속 도사리는 만큼 구성원 불안도 커지고 있다. 이윤재(정보대 컴퓨터25) 씨는 “학교 메일을 확인할 때마다 피싱에 주의하라는 정보인프라팀의 경고 메일이 와 있어 피싱 메일로 인한 피해가 우려된다”고 했다. 김하경(이과대 화학24) 씨는 “메일과 포털이 연동돼 있다 보니 학교에 제공한 개인정보가 유출될 것 같아 걱정된다”고 말했다.

  디지털정보처에 따르면 최근 문제가 된 피싱 메일에는 발신자 주소를 실제와 다르게 위장하는 스푸핑(Spoofing) 기법이 활용됐다. 수신자의 이메일과 동일한 도메인을 표시해 자신에게 보낸 것처럼 위장하거나 ‘@korea.ac.kr’ 도메인처럼 보이게 하는 수법이다. 메일 내용에 링크를 첨부하고 학교 홈페이지와 유사한 피싱 페이지로 접속하게 한 뒤, 로그인을 유도해 개인정보를 탈취하고 단말기 감염을 꾀한다.

  김승주 디지털정보처장은 “학교 메일은 주소가 대부분 공개돼 있고 기업이나 공공기관보다 보안이 허술해 피싱 메일에 비교적 취약하다”며 “과거에는 해커가 정부나 금융기관을 직접 노렸다면 이제는 학회나 대학을 겨냥하는 방식으로 바뀌었다”고 했다. 3월 성균관대 학내 구성원의 메일 주소로 다량의 피싱 메일이 발송됐고 부산대에서도 송금을 유도하는 피싱 메일이 유포돼 혼란이 있었다. 정보인프라팀은 “과거에는 피싱 메일이 수신되더라도 내용이 어색해 금방 들통났지만 최근 생성형 AI의 발달로 한글 메일이 자연스럽게 작성되면서 피해가 늘고 있다”고 분석했다.

 

  보안 기능 강화, 소통 방해할 수도

  문제는 피싱 메일을 기술적으로 차단하기 어렵다는 데 있다. 정보인프라팀은 “이메일 프로토콜은 구조적으로 발신자 주소 등 *헤더 정보를 쉽게 위·변조할 수 있다”며 “해커가 외부에 공개된 다양한 서버를 탈취해 메일을 발송하기 때문에 사전에 피싱 메일을 차단할 수 없다”고 했다. 박정흠(정보보호대학원) 교수는 “대학은 학생, 교원, 행정 조직 등 서로 다른 성격의 조직으로 구성돼 있어 기업이나 공공기관처럼 모든 사용자의 계정을 통합 관리하기 어렵다”며 “여러 정보 시스템이 제대로 분리·차단되지 않았고 누가 어디까지 시스템을 사용할 수 있는지에 대한 권한 관리도 허술한 편”이라고 말했다.

  대응 수위를 높이려 메일 시스템 보안을 강화하면 학내 구성원의 메일 이용에 불편을 초래할 수 있다. 김 처장은 “메일 보안 기능이 향상되면 정상적인 메일이 스팸으로 분류되고 화면 캡처가 불가능해진다”며 “**도메인 인증 기능을 적용하는 방법이 있지만 모든 연구·교육 기관이 보안 표준을 적용하고 있지 않아 중요한 메일이 수신되지 않을 수 있다”고 했다. 기준혁(문과대 사회25) 씨도 “보안 절차가 까다로워지면 메일로 교수님과 소통하는 데 차질이 생길까 걱정된다”고 말했다. 

 

  보안 의식 강화로 피해 막아야

  디지털정보처는 피싱 메일 피해를 막기 위해 기술적 조치와 보안 인식 제고를 병행하고 있다. 정보인프라팀은 “메일 보안 필터링 정책 고도화, 위험 도메인 차단, 실시간 모니터링 강화 등 기술적 조치와 안내 메일 발송, 보안 공지 강화 등 인식 확산 캠페인을 지속하고 있다”고 했다. 이 외에도 추가적인 해킹·피싱 메일 피해를 막기 위해 △정보보안 현황 진단 △서버 보안 점검·복구 시스템 도입 △구성원 대상 모의 훈련 강화 등 정보보호 개선 사업을 추진할 예정이다. 박 교수는 “학교의 규모를 고려할 때 더 적극적인 대응 체계가 필요하다”며 “옥스퍼드대, 스탠퍼드대, 매사추세츠공과대 등 주요 해외 대학처럼 정보보호를 전담하는 규모 있는 조직을 구성하는 것도 방법”이라고 했다.

  피싱 메일을 완전히 차단하기 어려운 만큼 학내 구성원이 해킹·피싱 메일에 경각심을 가질 필요가 있다는 지적도 나온다. 우승훈(정보대 컴퓨터학과) 교수는 “피싱 메일로 인한 보안 사고는 언제든 발생할 수 있다”며 “학내 구성원 각자가 의심스러운 메일을 읽지 않도록 보안 의식을 강화해야 한다”고 했다. 

 

*헤더 정보: 발신자, 수신자, 날짜, 메일 서버 경로, 제목 등 이메일의 전송 과정과 관련된 정보.

**도메인 인증: 이메일이 실제 표시된 발신자 주소에서 보낸 것이 맞는지 확인하는 절차.

 

글 | 사랑은·이재윤 기자 press@

일러스트 | 박은준 전문기자

저작권자 © 고대신문 무단전재 및 재배포 금지