프루프포인트는 2024 파리올림픽 공식 파트너 기업 중 66%가 도메인 사칭으로부터 자신을 보호하기 위한 필수 보안 정책이 미비해 이메일 사기 피해 리스크가 있다고 발표했다.
전 세계인이 올림픽 좌석 티켓을 온라인 예매하는 상황에서는 올림픽 주최 정부기관(70%), 주요 온라인 티켓 예매 플랫폼(90%), 여행 사이트(40%) 등 일반인에게 피해를 줄 수 있는 사기성 이메일을 선제적으로 차단하기 어려울 것으로 예상된다.
프루프포인트는 최근 몇 년간 사이버 범죄자가 피해자 네트워크 및 기술 인프라를 직접 해킹하기보다 적법 기관으로 위장하는 전술을 사용하는 사례가 증가했다고 밝혔다. 이에 프루프포인트는 이메일 사칭 리스크에 대비해 현재 보안 상황을 점검하기 위한 이메일 인증 프로토콜(DMARC) 분석 결과를 발표했다.
DMARC는 사이버 범죄자의 도메인 오용을 방지하기 위해 고안된 이메일 인증 프로토콜이다. ‘모니터(Monitor)’는 인증되지 않은 이메일이 수신자의 받은 편지함 또는 기타 폴더로 이동하도록 허용한다. ‘검역(Quarantine)’은 인증되지 않은 이메일을 걸러내 휴지통 또는 스팸 폴더로 보내는 수준이다. ‘거부(Reject)’는 인증되지 않은 이메일이 수신자에게 도달하지 못하도록 차단하는 가장 높은 보호 수준을 의미한다.
프루프포인트는 파리올림픽 생태계를 구성하는 도메인 143개를 분석했다. 그 결과 공식 파트너 기업 중 66%가 이메일 사기 리스크에 노출됐다. 2024 파리올림픽 공식 파트너 기업 77곳 중 26개(34%) 기업만이 최고 수준의 DMARC '거부' 기능을 적용해 적극적으로 도메인명 보호 조치를 했다.
올림픽 행사 주최 20개 도시 중 6개(30%)만이 공식 웹사이트에 최고 수준의 DMARC '거부' 기능을 적용했다. 티켓 재판매 플랫폼 10곳 중 1곳(10%)만 '거부' 모드를 적용했다. 여행 플랫폼 10곳 중 6곳(60%)이 '거부' 모드를 적용해 도메인명을 적극적으로 보호하며, 기본 DMARC 레코드를 구현한 비율도 90%에 달했다.
프루프포인트는 요청한 적 없는 이메일·문자·전화 경계하고, 특히 '긴급'이라 강조하거나 결제 요청하는 경우 주의하라고 강조했다. 이뿐 아니라 이메일이나 문자로 금융 정보를 요청하는 경우 주의해야 하며, 필요 시 금융 기관에 직접 확인해야 한다고 언급했다. 또한, 사용 중인 온라인 계정마다 비밀번호를 다르게 설정하고, 다중 인증(MFA) 활용을 권고했다.
로익 구에조 프루프포인트 사이버 보안 전략 책임자는 “파리올림픽 개막을 앞두고 많은 공식 파트너 기업이 이메일 보호 대책을 시행하지 않는 것이 우려스럽다. DMARC는 적용이 쉽고 효과적인 도메인명 보호 방법으로서 도메인 스푸핑(spoofing) 등 이메일 사기를 방지한다. 기업이 대응에 나서지 않으면 사이버 공격이 급증할 가능성이 있다”고 전했다.
헬로티 구서경 기자 |
