[2026 이메일 보안 솔루션 리포트] 클릭 한 번·발신 한 번에 무너지는 보안, ‘이메일의 두 얼굴’

이메일 기반 침투와 내부 유출이 동시에 증가하는 위협 구조
기술 탐지 우회하는 사회공학·BEC 공격의 일상화 주의해야
이메일을 데이터 자산으로 관리하는 보안 체계와 사용자 인식 개선 필요
‘이메일 사용자들의 이메일 보안 인식은?’ 중요성은 인지하지만 대응은 미흡해
이메일 보안 솔루션 전문기업 집중 분석: 소프트캠프, KT, 엔피코어, 프루프포인트 코리아

# 사례 1. 상사에게 이메일이 한 통 도착했다. ‘긴급 확인 요청’이라는 제목의 메일에는 거래처 명의의 첨부파일이 포함돼 있었다. 평소와 다르지 않은 업무 메일처럼 보였지만, 해당 파일을 여는 순간 내부 시스템 침투가 시작됐다.

# 사례 2. 한 직원이 외부 파트너에게 자료를 전달하는 과정에서 이메일에 파일을 첨부하던 중, 사내 직원들의 개인정보가 담긴 폴더를 실수로 함께 업로드했다. 해당 사실을 인지하지 못한 채 이메일이 발송되면서 개인정보 유출로 이어졌다.

[출처: gettyimagesbank]

[보안뉴스 강초희 기자] 이메일은 여전히 기업 보안 사고의 가장 주요한 침투 경로로 작용하고 있다. 사례 1처럼 외부 공격자가 정상 업무 메일을 정교하게 위장해 수신 단계에서 보안을 위협하는 경우가 있는가 하면, 사례 2처럼 내부에서 발송되는 정상 업무 메일이 실수로 인해 보안 위협으로 작용하는 경우도 적지 않다.

문제는 이메일이 기업 규모와 관계없이 모든 구성원이 매일 사용하는 기본 업무 수단이라는 사실에 있다. 구성원 한 명의 사소한 실수나 판단 착오가 조직 전체의 보안 사고로 확산될 수 있기 때문이다. 이에 따라 기업들은 이메일 보안을 수신과 발신 전 과정을 포괄하는 관리 영역으로 인식할 필요가 있다. 외부로부터 유입되는 악성 메일 차단은 물론, 내부에서 외부로 발송되는 정상 업무 메일에 대해서도 정보보호와 통제 체계를 갖추는 것이 중요해지고 있다.

커뮤니케이션 수단에서 공격 벡터로 변한 이메일
1971년 첫 등장한 이메일은 1980년대 SMTP 등 표준 프로토콜이 정립된 이후, 1990년대 인터넷 보급과 함께 기업과 개인의 핵심 커뮤니케이션 수단으로 자리 잡았다. 빠른 전달 속도와 낮은 비용, 첨부파일 기반 업무 공유라는 장점은 이메일을 대표적인 업무 인프라로 만들었다.

그러나 이러한 편의성은 동시에 공격자에게도 매력적인 표적이 됐다. 외부와 내부를 직접 연결하는 이메일의 구조적 특성상, 단 한 번의 실수만으로도 외부인이 내부 네트워크에 접근할 수 있기 때문이다. 초기의 이메일 공격은 스팸 메일이나 단순 악성코드 유포가 주를 이뤘지만, 최근에는 특정 조직과 직무를 정밀하게 분석한 표적형 공격이 일반화되면서 이메일을 통한 위협은 한층 고도화되고 있다.

이러한 흐름 속에서 이메일 보안에 대한 인식도 빠르게 강화되고 있다. 최근 발생하는 보안 사고의 상당수가 내부 PC의 악성코드 감염에서 시작되고 있으며, 그 유입의 출발점으로 이메일이 지목되는 사례가 늘고 있기 때문이다.

소프트캠프는 “과거에는 USB 등 이동식 저장매체나 불법 다운로드 파일과 같은 오프라인 경로가 주요 감염 수단으로 지목됐지만, 최근 들어서는 링크 클릭이나 첨부파일 실행을 통한 이메일 기반 유입이 사실상 주된 경로로 자리 잡았다는 분석이 나온다”고 말했다.

시큐레터는 “직원 계정이 탈취되거나 내부 사용자가 악의적으로 활용될 경우, 외부 공격자와 마찬가지로 내부 이메일을 통해 피싱이나 악성코드를 손쉽게 확산시킬 수 있으며 실제로 탈취된 내부 계정을 통한 공격이 51% 증가한 것으로 나타났다”고 설명했다.

프루프포인트 코리아도 “과거에는 이메일 보안이 스팸 차단이나 악성코드 필터링 수준에 머물러 있었다면, 이제는 실제 보안 사고의 출발점이 이메일이라는 인식이 조직 전반에 확산되고 있다”고 평가했다.

▲국내 주요 기업의 이메일 보안 제품&솔루션 [출처: 각 사 제공, 정리: 보안뉴스]

생성형 AI의 확산도 이메일 보안 환경에 변화를 더하고 있다. 공격자는 AI를 활용해 문장 표현과 맥락을 정교하게 다듬은 가짜 이메일을 대량으로 제작할 수 있게 됐고, 이로 인해 수신자가 메일의 진위 여부를 육안으로 판단하기는 더욱 어려워졌다. 특히 사회적 이슈나 시의성 높은 키워드를 활용한 공격이 증가하면서 이메일 보안에 대한 경각심도 커지고 있다.

실제로 공공기관과 지방자치단체, 방산·외교 관련 조직을 겨냥한 공격에서는 내부 업무 흐름과 유사한 문구나 실제 존재하는 인물·기관명을 악용한 사례가 반복적으로 확인되고 있다. 2024년 12월 비상계엄 사태 후 ‘방첩사 작성 계엄 문건 공개’라는 제목의 메일이 정부와 공공기관 종사자에게 대량 유포됐고, 2025년 1월에는 공격자가 서울시 공무원을 사칭해 대북 전단 살포와 관련된 견해와 비대면 회의 가능 여부를 묻는 메일이 악성코드와 함께 유포된 바 있다.

리얼시큐는 “생성형 AI로 인해 더 이상 사람의 눈으로 정상 메일과 해킹 메일을 구분할 수 없어 현장에서도 메일 제목이나 본문만으로 위험 여부를 판단하는 방식에는 분명한 한계가 있다는 인식이 빠르게 확산되고 있다”며 “단순히 ‘의심스러워 보이는지’가 아니라 ‘기술적으로 신뢰할 수 있는 발신자인지’를 검증해야 한다는 요구가 뚜렷해지고 있다”고 말했다.

시큐레터는 “보안에 익숙한 사용자조차 AI 기반 공격에 속을 수 있다는 점이 현실로 받아들여지고 있다”며 “기업들이 기존 필터링 방식만으로는 더 이상 이메일 보안이 충분하지 않다고 판단하고, AI 기반 이메일 보안 체계로의 전환을 본격화하고 있다”고 전했다.

크리니티 역시 “이메일 서버 앞단에서 최대한 막고, 통과한 이메일은 사용자까지 안전하게 처리하게 하고, 혹시 발생한 사고는 감사·추적까지 가능해야 한다는 요구가 커지고 있다”고 이메일 보안 시장의 인식 변화를 설명했다.

기술보다 사람을 노리는 이메일 공격의 핵심 전략
이메일 공격의 상당수는 기술적 취약점보다 사람의 심리와 행동을 겨냥한다. 공격자는 수신자의 신뢰와 호기심, 긴급성, 두려움 등을 자극해 이메일을 열어보게 만들고, 링크를 클릭하거나 첨부파일을 실행하도록 유도한다. 최종적으로는 로그인 정보나 개인정보 입력, 송금·결제 행위로 이어지도록 설계돼 있다.

이러한 사회공학적 이메일 공격은 악성코드 유포부터 계정 탈취, BEC, APT 공격의 초기 단계에 이르기까지 다양한 형태로 전개된다.

최근 대표적인 이메일 공격으로 떠오르는 기법으로는 BEC(Business Email Compromise)가 있다. BEC는 기업 이메일을 악용해 정상 업무를 가장하고 송금이나 계좌 변경 등을 유도하는 금전 탈취형 사이버 공격이다. 기술 취약점보다 조직의 신뢰와 업무 절차를 노리는 사회공학적 사이버 공격으로, 최근 기업 대상 금전 피해의 주요 원인으로 지목되고 있다.

FBI가 발표한 보고서 Internet Crime Report에 따르면, 2023년 기준 BEC 신고 건수는 2만1489건으로, ‘피싱·스푸핑’, ‘개인정보 유출’, ‘미지급·미배송’, ‘공갈’, ‘투자 사기’, ‘기술지원 사기’에 이어 상위권 범죄 유형에 포함됐다. 2024년에도 BEC 신고는 2만1442건으로 전년과 동일하게 7위를 기록했으며, 금전적 피해 규모는 27억7000만달러에 달했다. 이는 투자 사기(65억7000만달러)에 이어 두 번째로 큰 손실 규모다. BEC가 신고 건수뿐 아니라 피해 규모 측면에서도 위협적인 사이버 범죄 중 하나임을 보여준다.

BEC의 금전적 피해 규모가 큰 이유로는 웨일링·임원 사칭형을 꼽을 수 있다. 이 유형은 대표이사나 임원 등 고위 의사결정권자를 직접 노리거나 이들의 권한과 신뢰를 악용해 공격을 전개한다는 점에서 피해 규모가 크다. 공격자는 ‘긴급 송금’, ‘외부 비밀 프로젝트’, ‘지금 바로 처리 필요’ 등 압박성 문구를 사용해 정상적인 검증 절차를 우회하도록 유도한다.

▲국내 주요 기업의 이메일 보안 구축 사례 [출처: 각 사 제공, 정리: 보안뉴스]

웨일링은 고위 임원 개인을 표적으로 삼아 정교한 이메일을 발송하는 방식이며, 임원 사칭형은 실제 계정 침해 없이도 표시 이름 위조나 유사 도메인을 활용해 임원 지시처럼 보이게 만드는 것이 특징이다. 이 과정에서 악성 링크나 첨부파일이 없는 경우도 많아 기존 이메일 보안 솔루션의 기술적 탐지를 우회하는 사례가 늘고 있다.

한편 TOAD(Telephone-Oriented Attack Delivery) 공격도 최근 빠르게 증가하고 있는 이메일 공격 유형이다. TOAD 공격은 이메일을 통해 신뢰를 형성하거나 사전 정보를 전달한 뒤, 실제 공격 단계에서 전화를 통해 피해자를 속여 악성 행위를 유도한다.

예를 들어 이메일로 거래 관련 내용을 전달한 후 전화로 첨부파일 실행이나 원격 접속을 요청하는 형태로, 기술적 보안 통제를 우회하고 사용자의 행동을 직접 조작한다. 이로 인해 이메일 자체는 정상으로 보일 수 있어 기존 이메일 보안 솔루션만으로는 탐지가 어려운 경우가 많다.

이메일 공격 맥락 분석 요구 커져...보안 체계 전환 필요성 대두
BEC 공격을 포함한 이메일 공격의 사회공학적 기법이 한층 정교해지고 있다. 그 결과, 기존의 기술적 탐지 방식만으로는 위협을 식별하는 데 한계가 있다는 지적이 나온다. 이에 따라 이메일 보안은 공격 맥락과 행위 패턴을 종합적으로 분석하는 대응 체계로의 전환이 요구되고 있다.

넷엔씨큐는 “스팸 메일 차단율은 여전히 이메일 보안에서 중요한 지표이지만, 앞으로는 고객에 대한 공격 트렌드를 분석하고 고객의 취약점을 알려줘 보안 대책에 실질적인 도움을 줄 수 있는 요소가 중요해질 것”이라고 분석했다.

리얼시큐도 “메일 본문은 얼마든지 정상처럼 위장할 수 있기 때문에 콘텐츠 분석만으로는 지능형 공격을 완벽히 탐지하기 어렵다”며 “RFC 표준을 엄격히 적용하고 발신 서버의 실제 구조와 응답, 발신 행위의 일관성을 종합적으로 검증하는 기술이 핵심 트렌드”라고 밝혔다.

크리니티는 “핵심은 ‘AI 기반 위협 탐지’와 ‘제로트러스트 관점의 검증’ 그리고 ‘데이터 중심 거버너스’의 결합이다. 공격이 정교해질수록 단일 기술로는 한계가 있다”고 설명했다.

프루프포인트 코리아는 “위협을 정밀하게 식별하고, 사용자의 행동과 맥락을 고려하며, 사고 발생 전·중·후 전반을 아우르는 보안 체계에 대한 요구가 이메일 보안 시장의 핵심 키워드”라고 말했다.

그렇다면 이메일 보안 시장에서 떠오르는 기술은 무엇일까? 이는 다음과 같이 정리할 수 있다.

①AI 및 머신러닝 기술: 최근 이메일 보안 게이트웨이는 LLM을 포함한 고도화된 알고리즘을 기반으로 이메일의 문맥과 의도를 해석하는 AI 네이티브(AI-native) 구조로 전환되고 있다. 이 같은 변화는 기존 규칙 기반 탐지를 회피하던 피싱 공격과 표적형 위협을 식별하는 데 핵심적인 기술적 기반으로 작용하고 있다.

②아이덴티티 및 행위 기반 분석: 정상적인 업무 커뮤니케이션과 다른 행위가 감지될 경우 이를 위협 신호로 판단해 BEC 공격이나 계정 탈취 이후의 이상 행위를 선제적으로 식별하고 있다.

③공급망 보안과 첨부파일 기반 위협 대응: 최근에는 공급망 보안 관점에서 이메일 위협을 바라보는 시각이 확대되고 있다. 협력사 계정을 경유한 VEC(Vendor Email Compromise) 공격이 늘어나면서 SPF, DKIM, DMARC 등 도메인 인증과 브랜드 식별 기술이 중요해졌고, 비실행 첨부파일을 활용한 공격에 대응하기 위한 CDR(Content Disarm and Reconstruction)와 및 정밀 파일 분석 기술 역시 필수 요소로 부상하고 있다.

소프트캠프 특히 도메인 인증 체계 전반의 구조적 한계를 지적했다. “발신 도메인 위조를 막기 위한 SPF, DKIM, DMARC 등 기본 인증 체계가 있음에도 불구하고 국내에서는 SPF 중심의 운영에 머무는 경우가 많다”는 게 그 설명이다.

SPF는 발신 도메인의 정상 IP 여부를 확인하는 방식으로 비교적 널리 적용돼 있지만, 위장 메일에 대한 방어 효과를 높이기 위해서는 DKIM과 DMARC까지 함께 적용해야 한다. DKIM은 발신 도메인의 진위와 메일 내용의 무결성을 검증하는 인증 기술이며, DMARC는 도메인 사칭 메일에 대한 차단·격리·허용 정책을 정의하는 관리 체계다.

그러나 실제 현장에서는 마지막 인증 단계인 DMARC의 도입이 더딘 상황이다. 기술적 설정 난이도와 운영 과정에서의 오탐 가능성, DNS(사람이 입력한 도메인 이름을 서버의 IP 주소로 변환해 주는 인터넷 주소 안내 시스템)에 인증 정보를 등록해야 하는 부담 등이 주요 이유로 꼽힌다.

특히 DMARC가 도입되지 않은 환경에서는 인증에 실패한 메일에 대해 차단이나 격리와 같은 정책을 적용할 수 없어 도메인 사칭 메일이 그대로 사용자에게 전달되는 구조가 된다. 결국 도메인 인증 체계가 존재함에도 불구하고, 실제 보안 효과는 제한적인 수준에 머무르게 된다.

여기에 이메일 운영 담당자와 정보보호 담당자가 분리돼 있는 조직 구조도 영향을 미친다. 이로 인해 이메일 보안이 전체 보안 체계에서 우선순위가 낮아지는 사례가 적지 않다.

현장에서는 여전히 ‘이메일 담당자는 보안 담당자가 아니다’라는 인식이 존재하며, 이로 인해 책임 주체가 불분명해지는 문제가 지적된다. 보안 담당자는 이메일 운영 담당자가 있다는 이유로 이메일 보안 책임에서 한 발 물러서고, 이메일 담당자 역시 운영 역할에 집중할 뿐 보안까지 책임져야 한다는 인식이 부족한 경우가 많다. 그 결과, 이메일 보안의 책임 경계가 모호해지고 관리 공백이 발생하는 구조가 형성되고 있다.

내부에서 새는 정보, ‘보낸 메일’이 보안 구멍 되다
이메일 보안은 그동안 외부에서 ‘수신’되는 이메일로부터의 방어를 중심으로 논의돼 왔다. 악성코드가 포함된 첨부파일이나 피싱 링크를 차단하고 위조된 발신자를 식별하는 것이 이메일 보안의 핵심 과제로 인식돼 왔기 때문이다.

[출처: gettyimagesbank]

그러나 최근에는 기업 내부에서 ‘발신’되는 이메일 역시 또 하나의 보안 취약 지점으로 주목받고 있다. 정상적인 업무 메일이라 하더라도 첨부파일 암호화 미흡, 수신자 오기입, 중요 정보가 포함된 본문 노출 등 작은 부주의가 정보 유출이나 보안 사고로 이어질 수 있어서다.

즉, 기업 내부에서는 여전히 DRM(Digital Rights Management)을 통해 문서를 보호하고 있지만, 협력사나 외부 파트너에게 이메일로 문서를 전달하는 과정에서는 보안을 해제하는 관행이 반복되고 있다. 외부 수신자가 DRM 문서를 열 수 없기 때문이다. 이에 발신자가 직접 보호를 해제해 첨부하는 경우가 많은데, 이 과정에서 보안이 풀린 문서가 발신자의 PC와 보낸 편지함에 그대로 남는 문제가 발생한다.

특히 수신자가 여러 명일 경우, 외부 수신자 기준에 맞춰 문서를 해제한 채 발송하면서 내부 직원에게도 동일한 ‘해제본’이 전달돼 내·외부 구분 없이 보호되지 않은 문서가 유통되는 구조가 형성된다.

그동안 발신용 이메일 보안은 ‘보안 강화를 위해 편의를 희생해야 한다’는 인식이 강했다. 그러나 최근 시장에서는 두 요소 중 하나를 포기하는 방식이 아닌, 높은 보안 수준을 유지하면서도 사용자 개입을 최소화해 업무 편의성을 함께 확보하는 방향으로 흐름이 바뀌고 있다. 발신 단계에서의 자동 검사·통제, 정책 기반 처리 등과 같은 방식으로 사용자의 행동을 제한하기보다 시스템이 보안을 대신 수행하는 구조가 요구되고 있다는 분석이다.

정리하면 다음과 같다.

①첨부파일 통제와 안전한 전달: 대용량·외부 전송이 일상화되면서 암호화, 권한 제어, 만료, 열람 추적 같은 기능이 기본으로 인식되는 분위기다. 동시에 외부 수신자가 별도 절차 없이 문서를 열람할 수 있도록 사용자 경험(UX)을 고려한 전달 방식에 대한 요구도 함께 커지고 있다.

②민감정보 유출 방지(DLP): 개인정보, 재무자료, 계약서 등 민감한 문서가 이메일로 오가는 비중이 커지면서 정책 기반의 통제가 확산되고 있다. 자동 탐지·차단·마스킹·승인 워크플로우로 시장 흐름이 이동하는 모습이다.

③증빙과 감사: 이메일 보안은 이제 사후 책임과 내부 통제 관점에서도 중요성이 커지고 있다. 누가, 언제, 어떤 문서를 어떤 정책으로 발송했는지, 예외 승인 과정은 어떻게 이뤄졌는지까지 전 과정이 기록·추적돼야 감사와 컴플라이스 대응이 가능하다는 인식이 확산되고 있다.

실제로 리얼시큐는 “업무 편의성을 해치지 않으면서도 내부 중요 정보의 실수 또는 악의적 유출을 사전에 차단해 달라는 요구가 크다”며 “향후 발신 메일의 보안은 사용자가 별도로 인지하지 않아도 시스템이 자동으로 위험 요소를 감지하고, 필요할 경우 경고 또는 차단을 수행하는 방향으로 발전할 것”이라고 설명했다.

즉, AI 기술이 메일 본문과 수신자 패턴을 분석해 중요 정보 또는 민감 정보 포함 여부를 판단하고, 비정상적인 발송 시 자동으로 추가 인증이나 보호 조치를 수행하는 방식이 보편화될 것으로 예상된다.

세이퍼존은 “기업들이 이메일 보안에 가장 많이 요구하는 요소는 ‘업무 흐름을 유지하면서도 데이터 유출 리스크를 통제할 수 있는’ 실질적인 통제력이다”라며 “정확한 민감 정보 식별, 정책·결재 기반 통제, 첨부파일의 안전한 전달 방식, 그리고 업무 영향 최소화로 발신 이메일 보안의 흐름이 이동하고 있다”고 전했다.

이러한 변화는 이메일 보안을 단일 기능이나 솔루션이 아닌, 업무 흐름 전반을 고려한 관리 영역으로 재정의하고 있다. 과거에는 사용자가 직접 암호를 설정하고, 수신자를 확인하며, 필요 시 결재를 거치는 방식이 일반적이었다면, 최근에는 시스템이 발신 메일의 내용을 자동으로 분석하고 정책에 따라 처리하는 구조가 확산되고 있는 것이다. 발신자와 수신자, 조직 간 관계, 첨부파일 유형과 포함 정보 등을 종합적으로 판단해 승인·차단·변환 여부를 결정하는 방식이다.

특히 개인정보나 내부 기밀, 대외비 문서와 같이 유출 시 파급력이 큰 정보에 대해서는 발신 단계에서부터 관리 강도를 높이려는 움직임이 뚜렷하다. 첨부파일에 포함된 정보의 성격에 따라 결재 라인을 자동으로 확장하거나 외부 전송 시 별도의 보호 조치를 적용하는 방식이 대표적이다. 이는 발신자의 판단에 의존하던 기존 방식에서 벗어나 정책과 시스템 중심의 통제 체계로 전환되고 있음을 보여준다.

하지만 현 시점에서 편의보다는 보안에 초점을 맞출 것으로 보인다. 넷엔시큐는 “최근 연이은 보안사고로 인해 패널티가 크게 강화되고 있는 흐름 속에서 보안 쪽을 더 우선시할 것 같다”고 평가했다.

이메일 보안 중요성 인식에도 대응 체계는 미흡
보안뉴스와 시큐리티월드는 이메일 보안에 대한 보안 전문가들의 의견을 듣기 위해 2026년 1월 12일부터 13일까지 양일간 10만명의 보안 전문가들에게 설문조사를 실시했다. 이번 설문조사에는 공공(24.8%), 민간(75.2%)의 보안 전문가 1450명이 답했다.

▲이메일 보안에 대한 설문조사 [출처: 보안뉴스]

먼저 보안 전문가들이 속한 조직이 주로 사용하는 이메일 계정에 대해 물어봤다. 응답자의 64.1%가 ‘그룹웨어’를 답했고, 그 뒤를 ‘Outlook’(14.5%), ‘네이버’(9.7%), ‘Gmail(구글)’(6.2%), ‘다음(카카오)’(5.5%)가 이었다.

‘보안 위협에서 상대적으로 안전하다고 인식하는 이메일 계정’에 대해서는 응답자의 42.8%가 ‘그룹웨어’를 꼽았다. 2위는 ‘Gamil(구글)’로 26.2%의 선택을 받았으며, ‘네이버’(14.5%), ‘Outlook’(9.7%), ‘다음(카카오)’(5.5%)의 순으로 결과가 나타났다.

스팸(의심) 메일 대처 방식에는 ‘열어보지 않고 즉시 삭제한다’가 45.6%, ‘스팸함으로 이동하거나 발신자를 차단한다’가 17.2%, ‘스팸 신고 기능을 이용해 신고한다’와 ‘사내 보안팀 또는 외부 보안 서비스에 신고한다’가 12.4%, ‘메일 내용을 확인한 후 삭제한다’가 6.7%로 나타났다. ‘아무런 조치 없이 무시한다’라고 응답한 비율도 5.5%로 확인됐다.

이메일을 통해 보안 사고 또는 금전 피해를 경험했다면, 가장 큰 피해 유형은 무엇일까. 이에 대한 물음에는 ‘악성코드 감염을 경험했다’가 81.4%의 선택을 받으며 2위인 ‘피해 여부를 정확히 인지 못하겠다’(7.6%)와 압도적인 차이를 보여줬다. 그 뒤를 ‘계정 탈취 피해를 경험했다’(6.2%)가 이었으며, 금전 피해(BEC·피싱 등)를 경험한 비율도 4.8%로 적지 않았다.

그렇다면 이메일 보안 사고가 발생하는 가장 큰 원인은 무엇일까? 절반 이상의 응답자가 ‘보안 인식 부족’(59.3%)를 꼽았다. 그 뒤를 ‘최신 공격 기법 대응 미흡’(25.5%)이 차지했으며, ‘내부 관리/운영 미흡’과 ‘보안 솔루션 성능 부족’이 각각 8.3%, 6.9%를 기록했다.

이메일 보안 사고를 예방하기 위한 악성메일 모의훈련 실시 횟수도 물어봤다. 1년을 기준으로, 2회 실시가 28.3%로 나타났지만 ‘하지 않는다’고 답한 비율도 25.5%로 확인되면서 비교적 적은 차이를 보여줬다. 유료 이메일 보안 또는 이메일 보안 모의훈련 솔루션을 사용하지 않는 이유에 대해서는 복수응답으로 53.8%가 ‘비용 부담이 크다’를 꼽았으며, ‘효과에 대한 확신이 없다’와 ‘무료 솔루션으로도 충분하다고 생각한다’가 각각 19.3%, 17.9%의 선택을 받았다.

AI 시대 기업 이메일, 보안과 데이터 관리의 교차점
이메일 보안은 오랫동안 외부에서 유입되는 스팸과 악성코드를 차단하는 문제로 인식돼 왔다. 그러나 최근에는 내부 계정 탈취, 사용자 실수에 따른 정보 유출, 협력사·외부 기관을 향한 사칭 메일 등 발신(아웃바운드) 영역 역시 주요 보안 리스크로 부상하고 있다. 이메일이 내부 정보가 외부로 흘러나가는 직접적인 유출 통로가 되고 있다는 분석이다.

여기에 더해 이메일은 AI 시대의 핵심 데이터 자산으로서의 성격도 함께 지닌다. 개인의 업무 패턴과 조직의 의사결정 과정, 커뮤니케이션 기록이 가장 밀집돼 있는 데이터가 이메일이기 때문이다.

세이퍼존은 “이메일이 문서·데이터 유통의 핵심 통로라는 점이 재조명되면서 ‘데이터 보호 관점’으로 이메일 보안의 무게중심이 이동하고 있다”고 말했다.

소프트캠프는 “향후 에이전트형 AI가 메일 요약, 회신, 일정 관리, 의사결정 보조 역할을 수행하기 위해서는 과거 이메일 데이터가 중요한 학습 자원으로 활용될 수밖에 없다”며 “이 과정에서 이메일을 삭제하거나 방치하는 관행은 보안 측면뿐 아니라 데이터 활용 측면에서도 한계를 드러낼 수 있다”고 강조했다.

이에 따라 업계에서는 이메일 보관(아카이빙)·백업·관리에 대한 중요성도 함께 커지고 있다. 이메일을 장기적으로 안전하게 보관하고, 사고 발생 시 추적·감사가 가능하도록 관리하는 체계는 이제 선택이 아닌 필수 요소로 인식되고 있다. 특히 문서와 이메일의 등급에 따라 관리 강도를 달리하는 정책 기반 접근 방식, 결재·승인·반출 통제를 연계하는 구조는 점차 고도화될 가능성이 크다.

결국 이메일 보안은 더 이상 ‘받는 메일을 막는 기술’에 머물지 않는다. 수신과 발신, 보관과 활용, 사람과 AI를 아우르는 통합 관리 영역으로 확장되고 있으며, 이는 기업의 신뢰도와 데이터 경쟁력을 함께 좌우하는 핵심 인프라로 자리매김하고 있다.

▲소프트캠프의 이메일 보안 솔루션 SHIELD Mail [출처: 소프트캠프]

[이메일 보안 솔루션 집중 분석-1]
소프트캠프, 제로트러스트 기반 이메일 보안 서비스 SHIELD Mail(실드메일)
이메일 송·수신 과정에서 발생하는 주요 보안 위협 원천 차단으로 보안성 높인다

소프트캠프의 SHIELD Mail은 송·수신 과정 전반을 보호하는 이메일 보안 서비스로, DRM으로 대표되는 레거시 보안 환경과 Microsoft 365 기반의 모던 보안 환경을 유기적으로 연계한다. 사용자 별도 개입 없이 이메일 첨부파일에 DRM을 자동 적용하거나 Microsoft 365의 MIP 문서로 변환함으로써 이메일 기반 문서보안 오케스트레이션 제품으로써 경쟁력을 인정받고 있다.

이메일 송·수신 전 과정 통합 관리·보안
기업의 이메일 보안 환경에서는 외부 전달을 위해 내부 보안 문서를 해제하는 과정에서 보안이 해제된 파일이 발신자의 메일함에 잔존하는 문제와 레거시 보안 사용자와 Microsoft 365 등 모던 보안 사용자 간 비호환으로 인해 전반적인 보안 수준이 저하되는 문제가 지속적으로 지적돼 왔다.

SHIELD Mail은 내부 보안 문서 외부 전달 과정에서 발생하는 보안 해제 파일 잔존 문제와 레거시 보안 환경, Microsoft 365 기반 모던 보안 환경 간 비호환 이슈를 동시에 해결한다. 제로트러스트 조건부 적응형 정책(ZTCAP)을 기반으로 송·수신자의 컨텍스트를 분석해 첨부파일을 자동으로 암호화하거나 보안 형식으로 변환하며, 다수의 수신자가 존재하는 경우에도 수신자별 보안 수준을 차등 적용해 안전한 이메일 전달을 지원한다. 이를 통해 사용자 개입 없이도 일관되고 신뢰할 수 있는 이메일 보안 환경을 제공한다.

기업의 보안 정책과 수신자 환경에 따라 적용되는 ‘수신자별 승인 발송’ 기능도 주목할 만하다. 외부 협업을 위해 보안이 적용되지 않은 파일 발송이 필요한 경우, SHIELD Mail은 승인 기반의 간편한 반출 프로세스를 제공해 내부 승인 절차를 거친 뒤 보안을 해제하고 이메일을 발송할 수 있도록 지원한다. 이를 통해 외부 협업 과정에서도 이메일 반출 이력을 체계적으로 관리하고, 보안에 대한 투명성과 책임성을 동시에 강화한다.

아울러, SHIELD Mail은 보안 관리자가 이메일 송·수신 전 과정을 한 곳에서 통합 관리하고 점검할 수 있도록 지원한다. 메일 발신 내역은 물론 첨부파일의 변환 이력, 암호화 해제 발신 기록, 발신 차단 내역 등 주요 보안 로그를 관리자 화면에서 직관적으로 확인할 수 있다.

또 부서·사용자·파일 유형별 이메일 유통 현황을 시각화한 대시보드를 제공해 외부로 전달되는 이메일 흐름을 한눈에 파악할 수 있도록 함으로써, 사외 문서 반출 모니터링과 이메일 보안 가시성을 한층 강화한다.

▲KT의 이메일 보안 솔루션 KT AI메일보안 [출처: KT]

[이메일 보안 솔루션 집중 분석-2]
AI와 멀티 샌드박스 APT가 접목된 차세대 SaaS 이메일 보안 솔루션 ‘KT AI메일보안’
AI 접목된 이메일 보안 솔루션으로 보안 담당자의 운영 효율과 탐지 성능 극대화

해커의 AI 활용으로 피싱메일 제작 및 발송 속도가 폭증하고 있다. 프롬프트 몇 줄로 기업과 기관의 로그인 페이지를 복제해 수 초 이내에 만들어 배포하며, 이러한 공격은 더 이상 기존의 시그니처 차단 장비로는 막을 수 없게 됐다. 국정원에서도 2026년부터 ‘공공기관 사이버보안 평가지표’에 AI의 활용 가산점을 적용하는 등 이메일 본문 및 첨부파일의 행위를 분석해 위협을 차단하는 AI 접목 이메일 보안 서비스가 새로운 대책으로 주목받고 있다.

KT가 제공하는 ‘AI메일보안’은 메일을 시작점으로 한 침해 시도를 조기에 차단함으로써, 기업과 기관의 보안 대응을 사후 처리에서 선제 방어로 전환할 수 있도록 지원한다. 대다수의 기업에서 이메일 공격의 방어책으로 단일 스팸 솔루션만을 도입하고 있다. 기업의 보안 담당자들은 단일 솔루션의 한계를 실감하면서도, 다음과 같은 이유로 APT 솔루션이나 AI 기능의 추가 도입을 주저하고 있다.

①비용: 시중의 APT 솔루션은 1억원 이상 고가의 장비로, 초기 투자비가 크게 발생한다.
②운영 부담: 보안 조직이 작거나 전문성이 부족한 경우, 구축 솔루션의 운영 관리에 어려움이 있다.
③업무 민원: 검사로 인한 이메일 수신 지연으로 인해 고객사 및 임직원들의 민원이 발생이 우려가 있다.

이와 같은 고민거리를 가진 기업이라면, ‘KT AI메일보안’이 좋은 해결책이 될 수 있다.

국내 최초, 유일한 Cloud 형 APT(멀티 샌드박스)가 접목된 이메일 보안 솔루션
AI메일보안은 국내 최초로 SaaS형 이메일 보안 서비스에 스팸, AI 탐지 모델, 멀티 샌드박스 APT를 결합한 통합보안 솔루션이다. 기존에는 기업이 이메일 APT 공격에 대응하기 위해 수억원 규모의 어플라이언스형 솔루션을 구축해야 했지만, AI메일보안은 10user 기준 월 3만원대의 SaaS 서비스로 제공돼 초기 구축비용 부담 없이 User의 수 만큼만 이용이 가능하다.

특히 최대 3종의 이기종 APT 대응 솔루션을 선택적으로 적용할 수 있어 기업은 구독형 방식으로 멀티 샌드박스 자원을 유연하게 도입할 수 있다는 점이 특징이다. 아울러 AI메일보안은 다양한 클라우드 메일 서비스와 호환된다는 장점이 있다.

SaaS 형태로 솔루션 최신 버전 업데이트와 운영까지 통합 제공
AI메일보안은 SPAM, AI 탐지 모델, APT 솔루션이 SaaS 형태로 한 번에 제공돼 탐지 성능 유지를 위해 고객사의 별도 운영 관리가 필요 없다. SPAM 솔루션은 UI 관련 문의 대응을 위한 전문 고객센터를 운영하고 있으며, AI 탐지 모델은 보안 전문가의 지속적인 AI 모델 관리 및 학습을 통해 정확도 97% 이상의 탐지율을 유지하고 있다. 최대 3종의 APT 역시 최신 버전으로 자동 업데이트가 이루어져 별도 유지관리 없이도 최신 위협 트렌드에 대응할 수 있도록 유지되고 있다.

AI를 활용한 보안정책 운영자의 업무 효율성 극대화
AI메일보안은 AI 기능을 접목해 보안 담당자의 업무 효율화를 지원한다. 스팸 필터링을 통과한 이메일은 APT 분석 전 단계에서 AI가 선행 분석을 수행한다. 이로 인해 샌드박스 검사에 따른 처리 지연을 최소화해 실제 PoC 결과 전체 메일 중 84%가 10초, 90%가 57초 이내 처리되는 성과를 보여 APT 단독 사용 대비 사내 불편신고가 감소하는 결과가 나타났다.

또 베타 서비스를 통해 AI 분석 결과와 각 샌드박스의 탐지 정보를 하나의 통합 화면에서 확인할 수 있는 One-View 기능과 보안 리포트를 자동으로 생성하는 챗봇 기능도 무료로 체험할 수 있어 보안 담당자의 업무 효율화를 지원한다.

AI메일보안은 공공기관에서도 빠른 도입이 가능하도록 연내 CSAP 인증을 취득할 계획이다. 이로 인해 이메일 보안 강화가 필요한 공공기관 및 산하기관에서도 손쉽게 서비스를 이용할 수 있게 된다.

▲ZombieZERO Email APT UI 대시보드 [출처: 엔피코어]

[이메일 보안 솔루션 집중 분석-3]
엔피코어, 이메일 구간 신·변종 악성코드 및 APT 공격 대응 솔루션 ‘ZombieZERO Inspector E’
AI 기반 다차원 분석으로 이메일 APT 공격 선제 차단- 고도화된 이메일 보안 체계 구현

오늘날 기업의 정보 자산은 끊임없이 진화하는 사이버 위협에 노출돼 있다. 특히 이메일을 통해 유입되는 지능형·표적형 공격(APT)은 전체 사이버 공격 경로의 약 90%를 차지하며, 기업의 생존을 위협하는 핵심 요인으로 작용하고 있다. 공격자는 정상적인 업무 메일로 위장해 악성코드와 피싱 링크를 유포하고, 이를 통해 내부 시스템 침투를 시도해 왔다. 이러한 공격은 단 한 번의 사용자 실수만으로도 기업의 핵심 정보 유출과 업무 중단을 초래해 왔다.

이에 따라 기업에는 단순 스팸 차단을 넘어, 신·변종 악성코드와 APT 공격을 사전에 탐지하고 차단할 수 있는 고도화된 이메일 보안 체계가 필요해졌다. ZombieZERO Inspector E는 이메일을 통해 유입되는 위협을 정밀하게 분석하고 차단함으로써, 조직의 핵심 정보 자산을 안전하게 보호해 왔다. 이는 이메일 보안의 가장 취약한 구간을 선제적으로 방어하는 효과적인 대응 체계로 평가받고 있다.

AI 기반 다차원 분석에 의한 탐지
엔피코어의 ZombieZERO Inspector E(이메일 APT)는 블랙리스트 및 백신(AV) 검사, YARA 기반 정적 분석, 딥러닝 기반 악성코드 분석, 가상 환경 기반 동적 분석(Sandbox)을 통합한 다차원 분석 구조를 적용한다.

▲AI 딥러닝 이미지 유사도 기반 AI 분석 결과 [출처: 엔피코어]

특히 파일을 RGB 이미지로 변환해 유사도를 분석하는 AI 딥러닝 기술을 활용함으로써, 이미 알려진 악성코드와 동일하거나 유사한 계열의 신종·변종 악성코드까지 정밀하게 탐지한다. 이를 통해 기존 보안 방식으로는 대응이 어려웠던 최신 이메일 기반 위협에 대해서도 높은 탐지력과 대응력을 제공한다.

URL 자동 분석으로 보이지 않는 이메일 공격까지 완벽 차단
이메일 본문과 첨부파일 속에 숨겨진 URL을 자동으로 추출하고 정밀하게 분석하는 기능은 보이지 않는 위협까지 완벽하게 차단한다. 또한 암호로 보호된 압축 파일의 경우에도 이메일 본문 내 암호 문구나 사전 등록된 값을 활용하여 압축을 해제한 후, 내부 콘텐츠까지 빈틈없이 분석한다.

AI 분석으로 탐지 속도 향상 및 악성 유형 정보 제공
NET(신기술) 인증 및 특허를 획득한 AI 분석 기술이 적용된 본 시스템은 기존 보안 시스템의 샌드박스 분석 방식 대비 더욱 빠르고 정확한 악성코드 및 랜섬웨어 탐지·대응 능력을 제공한다. AI 딥러닝 기반 이미지 유사도 분석 기술을 통해 실행 파일당 약 3초 이내에 신종 및 변종 악성코드를 탐지하며, 98.8%에 달하는 높은 탐지율로 악성코드의 확산을 근본적으로 차단하는 데 핵심적인 역할을 한다.

스팸 메일 차단 기능
스팸 스코어 기준을 통한 스팸 메일 차단 기능도 함께 제공해 이메일 APT 방어와 스팸 메일 차단 기능을 단 하나의 장비로 통합 운영하며 효율성을 극대화할 수 있다.

▲프루프포인트의 Nexus AI Detection Engine [출처: 프루프포인트 코리아]

[이메일 보안 솔루션 집중 분석-4]
AI가 없으면 막을 수 없는 이메일 위협, Nexus AI Detection Engine로 대응하다
인바운드·아웃바운드·도메인 사칭까지, 머신러닝 기반 대응이 핵심

이메일은 여전히 기업 환경에서 가장 중요한 업무 커뮤니케이션 수단이지만, 동시에 사이버 공격자가 가장 선호하는 침투 경로이기도 하다. 최근 국내에서 발생한 개인정보 유출 및 금전 피해 사례를 살펴보면, 상당수가 이메일을 기점으로 시작된 공격이라는 공통점을 갖는다. 공격 기법이 고도화되면서 기존의 규칙 기반, 시그니처, 샌드박싱 중심 이메일 보안 체계만으로는 한계가 분명해지고 있다.

최근 이메일 공격의 가장 큰 특징은 악성코드보다 사람의 판단을 노린 사회공학 기법에 있다. 경영진이나 재무 담당자를 사칭하는 비즈니스 이메일 사기(BEC), 정상 거래처와 거의 구분이 어려운 도메인을 활용한 피싱 공격은 악성 파일 없이도 피해를 발생시킨다. 공격자는 정상적인 커뮤니케이션 흐름을 정교하게 모방해 정적 분석이나 룰 기반 필터를 우회한다.

아웃바운드 이메일 역시 주요 위협 영역으로 부상하고 있다. 계정 탈취가 발생하면 공격자는 정상 사용자 권한으로 외부에 이메일을 발송하며 내부 문서나 고객 정보를 유출할 수 있다. 내부자의 실수로 인한 정보 유출 또한 빈번하지만, 기존 보안 체계는 ‘정상 사용자 행동’을 전제로 설계돼 있어 이러한 위협을 실시간으로 식별하는 데 한계가 있다.

여기에 더해 기업 도메인을 악용한 사칭 공격도 증가하고 있다. 공격자는 기업의 공식 도메인과 유사한 도메인을 생성하거나, DMARC 정책이 미흡한 도메인을 악용해 외부에서 사칭 이메일을 발송한다. 이러한 메일은 기업 내부 이메일 보안 시스템을 거치지 않기 때문에, 인바운드 보안만으로는 대응이 어렵다.

이처럼 이메일 위협이 인바운드, 아웃바운드, 도메인 사칭으로 확장되면서 이메일 보안의 핵심 기술 역시 변화하고 있다. 전문가들은 이제 이메일 보안의 경쟁력이 AI와 머신러닝 기반 분석 역량에 달려 있다고 강조한다.

글로벌 이메일 보안 전문 기업 프루프포인트(Proofpoint)는 대규모 글로벌 이메일 트래픽을 학습한 AI·ML 모델을 통해 이메일 위협을 정밀하게 분석한다. 프루프포인트의 Nexus AI Detection Engine은 메일 내용뿐만 아니라 발신자의 과거 행태, 도메인 신뢰도, 수신자와의 관계, 메시지 문맥을 종합적으로 평가해 정상 커뮤니케이션과 비정상 행위를 구분한다. 이를 통해 첨부파일이 없는 이메일까지도 정밀하게 탐지한다.

또 인바운드 영역에서는 AI 기반 URL 분석과 동적 첨부파일 분석을 결합해 샌드박스 우회 기법과 지연 실행형 공격을 식별하며, 사후에 악성으로 판정된 메일을 자동으로 회수하는 기능도 제공한다. 아웃바운드 영역에서는 사용자 행동을 학습한 ML 모델과 DLP 정책을 연계해 비정상적인 정보 전송을 사전에 차단한다.

특히 EFD(Email Fraud Defense)는 AI·ML 기반 분석을 통해 기업 도메인을 사칭한 외부 이메일을 탐지한다. 단순한 DMARC·SPF·DKIM 검증을 넘어 발신 도메인의 평판과 공격 이력, 메시지 패턴을 머신러닝으로 평가함으로써 기업 도메인 외부 영역까지 보호 범위를 확장한다.

AI 활용이 급증하고 공격자 역시 AI를 활용하는 현시점에서, 이메일 보안을 규칙 기반 기술에만 의존하기는 어렵다. 인바운드·아웃바운드·도메인 보호 전 영역에 AI·ML을 적용한 이메일 보안 전략이 지능화되는 이메일 위협 환경에서 실질적인 대안으로 주목받고 있다.