글로벌 피해액만 연 3조원인데…“대기업 88% 이메일 사기에 노출”

에바느 두마스 프루프포인트 아시아지역 담당 부사장이 23일 서울 소공동 롯데호텔에서 열린 기자간담회에서 발표를 하고 있다. 장우진 기자

이석호 프루프포인트 코리아 대표가 23일 서울 소공동 롯데호텔에서 열린 기자간담회에서 발표를 하고 있다. 장우진 기자

국내 코스피200 기업 10곳 중 9곳이 사기성 이메일(BEC) 공격에 취약하다는 분석이 나왔다.

에반 두마스 프루프포인트 아시아지역 담당 부사장은 23일 서울 소공동 롯데호텔에서 기자간담회를 갖고 "코스피200 기업 중 88%가 기업 정보보호에 필수적인 이메일 인증 프로토콜인 디마크(DMARC)를 갖추지 않은 것으로 조사됐다"며 "모든 기업은 공급업체와 판매사, 직원, 고객, 파트너사와 업무를 진행하기 위해 이메일 에코시스템에 의존하고 있어 사이버 공격과 브랜드 이미지 손상의 위험이 높다"고 진단했다.

사기성 이메일(BEC)은 도메인 사칭 등을 통해 첨부파일 없이도 피해를 주는 방식을 말한다. 전화는 보이스피싱, 모바일이 스미싱이라면 이메일 사기는 BEC 또는 스캠(SCAM)으로 불린다. 예를 들어 협력사로 가장해 납품 대금을 다른 계좌로 입금해 달라거나 내부 직원의 이메일을 도용해 월급 계좌를 빼돌리는 방식이 대표적이다.

이날 프루프포인트가 미 FBI 자료를 인용해 발표한 자료에 따르면 작년 BEC 손해액은 25억 달러(약 3조원)로 랜섬웨어의 49배에 이르는 것으로 조사됐다.

디마크는 이메일을 통한 사이버 공격을 방지하기 위한 글로벌 인증 표준으로, 한국인터넷진흥원(KISA)의 도입 권고사항이다. 디마크는 크게 이메일 출처가 가능한 '모니터', 받은 메일은 스팸·휴지통으로 보내는 '검역', 아예 이메일을 수신하지 않는 '거절' 3단계로 구분된다.

디마크를 도입하기 위한 비용은 따로 들지 않지만, 도입 과정에서 오류가 날 경우 필요 메일도 수신이 차단되는 문제가 발생할 수 있다. 이 때문에 다수 기업들이 가입을 꺼리는데 미국·호주 등 주요국은 정부 차원에서 강하게 권고하고 있어 도입률이 상대적으로 높은 편이다. 이날 발표 자료에 따르면 호주 75%, 싱가포르는 44%, 일본은 29%가 디마크를 도입해 한국보다 높은 비중을 보였다.

이에 프루프포인트는 단순 보안 솔루션이 아닌 해당 기업 임직원에 대한 위협 정도를 가시적으로 보여주는 등 전문화 된 솔루션을 기반으로 한국서 이메일 보안 넘버원 기업을 목표로 제시했다. 프루프포인트 코리아는 지난 4월 한국 법인을 설립했으며, 우선 국내 대기업과 테크기업 등을 중심으로 마케팅을 추진할 계획이다.

프루프포인트는 미 캘리포니아 실리콘밸리에 본사를 두고 있으며 포드, 제네럴모터스(GM), 페덱스, 메트라이프, 알리안츠, 씨티그룹 등을 고객사로 두고 있다. 지난해 매출액은 1조6000억원가량 된다.

이석호 프루프포인트 코리아 대표는 "이메일 보안서비스 등에 대한 한국 시장 성장 잠재력은 폭발적일 것으로 본다"며 "사이버 보안 표준은 기업이 스스로를 보호하기 위해 신뢰할 수 있는 확실하고 명확한 보안 기준을 만든다. 민간 부문 기업도 이메일 인증 프로토콜을 채택해 사이버 공격 위험을 낮출 때"라고 밝혔다.

장우진기자 jwj17@dt.co.kr