오늘날 이메일 주소는 휴대전화 번호만큼이나 중요합니다(일부 상황에서는 더 중요할 수도 있습니다). 이메일 주소는 디지털 신원의 주요 형태 중 하나로, 전 세계 사람들과 연결하는 디지털 커뮤니케이션의 필수 요소입니다. 실제로 대부분 두 개 이상 가지고 있을 정도로(업무용과 개인용 등) 현대 생활에 없어서는 안 될 요소입니다. 물론 업무용 이메일은 대개 수시로 변경되지만, 개인용 이메일은 평생 두세 번 정도밖에 변경하는 일이 없기 마련입니다. 자신의 실명과 마찬가지로, 이메일 주소에 연결된 정보량 역시 상당합니다.

재택근무의 확산과 팬데믹의 영향으로 사람들의 온라인 활동이 점차 증가하면서, 규모를 키워가는 전 세계 사이버 범죄자 커뮤니티에서도 업무용과 개인용 이메일 주소를 주요 자산으로 활용하고 있습니다. 따라서 이메일 주소가 개인 데이터에 미칠 수 있는 위험과 이메일 주소를 안전하게 보호하는 방법에 대한 가이드를 마련했습니다.

• 해커가 이메일 주소로 무엇을 할 수 있나요?
• 이메일 주소로 어떤 정보를 얻을 수 있나요?
• 이메일 주소로 신원을 도용할 수 있나요?
• 해커가 내 이메일 주소를 어떻게 알아낼 수 있나요?
• 이메일 주소를 안전하게 보호하는 방법
  

해커는 이메일 주소로 무엇을 할 수 있나요?

모바일 애플리케이션으로 식료품을 구매하든 웹사이트에 처음 가입하든, 이메일 주소는 대개 온라인 로그인 양식과 포털의 시작점이며, 사용자 이름 대신 사용되기도 합니다. 해커와 기타 악성 행위자는 타인의 개인 계정을 진입점으로 삼아 개인용 또는 업무용 이메일 주소로 다양한 사기 시나리오를 구현할 수 있습니다. 기회만 주어지면 해커는 다음 공격을 할 수 있습니다.

"피싱 이메일"로 표적 공격: 피싱는 악성 코드를 첨부하거나 사기성 웹사이트로 연결되는 악성 링크를 포함합니다. 링크를 클릭하거나 첨부 파일을 다운로드하면 악성 코드가 시스템에 침투하여 개인 데이터를 훔칠 수 있습니다. 해커는 평판 높은 회사나 신뢰할 수 있는 웹사이트로 위장하거나 정부 관계자로 위장하여, 정교한 사회공학 기술로 은행 계좌 번호, 주민등록번호, 주소, 전화번호, 암호 등의 개인 정보를 알아내려고 합니다.

이메일 주소 "스푸핑": 이메일 주소 스푸핑은 이메일 주소의 숫자를 문자로 바꾸거나 대시를 추가하는 등 쉽게 알아채기 어려운 방식으로 사용자의 이메일과 유사한 가짜 이메일 주소를 만드는 것입니다. 그런 다음 해당 사용자를 사칭하여 친구와 가족의 정보를 탈취할 수 있습니다. 이 접근 방식은 이메일 클라이언트의 스팸 필터도 놓칠 때가 많습니다.

다른 온라인 계정 해킹: 해커가 이메일과 온라인 계정의 암호를 모두 알아내야 효과가 있는 방법이지만, 그만큼 뒤따르는 위험도 큰 방법입니다. 사이버 범죄자는 위에서 언급한 정교한 피싱 기술로, 다양한 온라인 계정에서 사용자에 관한 상세 정보를 빠르게 알아낼 수 있으며, 이는 대개 이메일 계정 자체에 액세스하는 것에서 시작합니다.

온라인에서 타인 사칭: 해커가 이메일 계정에 대한 전체 액세스 권한을 얻게 되면, 보통 민감한 정보나 해당 정보에 액세스할 방법도 거의 대부분 찾아낼 수 있습니다. 오늘날 이메일 계정은 친구, 가족, 직장, 집, 심지어 금융 서비스 제공업체에까지 이르는 다양한 메시지로 가득 차 있습니다. 이 모든 정보는 사용자 및 사용자와 가장 가까운 사람들을 사칭하여 2차 사기에 이용될 수 있습니다.

신원 도용 또는 금융 사기: 이 주제는 나중에 더 자세히 다루겠지만, 위에서 언급한 것처럼 이메일 주소는 실제 신원 정보로 직결되는 디지털 통로와 같습니다. 사이버 범죄자들은 피해자의 돈을 갈취하기 위해 다양한 기술을 사용합니다. 이는 불법 구매, 송금, 데이터를 인질로 잡는 랜섬웨어 등의 형태가 될 수 있습니다. 하지만 이는 개인 수준에 그치지 않고 기업에도 문제가 될 수 있습니다. 사이버 공격은 지난 10년간 꾸준히 증가하였으며, 데이터 유출 기업에 안겨주는 손실은 매년 수천 만 달러에 달합니다. 따라서 직원이 자신의 업무용 연락처 정보를 신중하게 관리하는 것도 중요합니다.

이메일 주소로 어떤 정보를 얻을 수 있나요?

이메일 주소로 당사자의 정보를 캐내는 확실한 방법은 역방향 이메일 검색 도구입니다. 이 도구를 사용하면 이메일 주소 입력으로 사용자를 확인할 수 있습니다. 위치, 직업, 소셜 미디어 계정 등의 데이터까지 찾아낼 때도 있습니다. 사실, 해당 정보는 일반 검색 엔진으로도 쉽게 찾을 수 있습니다. 검색 엔진과 웹사이트 크롤러는 여러 온라인 활동에서 중추적인 역할을 하며 상당한 양의 개인 데이터를 수집하므로, 해커가 이를 공격의 출발점으로 삼을 수 있습니다.

앞서 언급한 사칭 및 피싱 사기를 통한 개인 데이터 도용 외에도, 이메일 주소는 해커가 사용자와 가족을 표적으로 삼는 데 사용할 수 있는 중요한 신원 데이터를 포함할 수 있습니다. 사람들의 이메일에는 이름(또는 그 일부)과 기억하기 쉬운 숫자(보통 생년월일)가 들어갈 때가 많습니다. 사이버 범죄자들은 이 두 가지 식별 요소만으로도 온라인 금전 갈취에 필요한 개인 데이터를 수집할 수 있습니다.

이메일 주소로 신원을 도용할 수 있나요?

결론부터 말하면, 가능합니다. 이메일 주소만 있어도 타인의 완전한 신원 도용에 필요한 정보를 충분히 얻을 수 있습니다. 하지만 이메일 주소만으로는 어렵고 시간도 오래 걸립니다. 사이버 범죄자가 신원을 완전히 도용하려면, 우선 개인 데이터부터 수집해야 합니다. 예를 들어, 데이터 유출로 자격 증명을 수집하거나, 온라인에서 친구나 동료를 사칭하는 등 위 섹션에서 설명한 다양한 방법을 사용하거나, 드물지만 개인 소유물에서 일부 개인 문서를 물리적으로 훔치기도 합니다. 그런 다음 이러한 개인 데이터로 다양한 사기 범죄를 저지를 수 있습니다.

해커가 내 이메일 주소를 어떻게 알아낼 수 있나요?

해커는 이메일 주소만으로도 온갖 행위를 저지를 수 있으므로, 애초에 해커가 이메일 주소를 알아내는 방법을 아는 것이 중요합니다.

피싱 사기 페이지: 피싱 이메일로 개인 데이터를 수집하는 것과 마찬가지로, 해커가 이메일 주소를 요구하는 사기성 웹사이트 가입, 결제, 로그인 페이지 등을 만들 수도 있습니다. 이 페이지에서는 특수 로깅 소프트웨어로 이메일 로그인 세부 정보(기타 개인 정보 입력 시, 이도 포함)를 기록합니다.

대규모 데이터 유출: 사이버 범죄자는 때로 개인 정보 탈취를 위해 대기업이나 기관(병원이나 학교 등)의 데이터베이스를 직접 공격하여 이메일 주소를 훔치기도 합니다. 제삼자를 통한 데이터 도용 피해가 의심되면 개인 정보 침해 가이드의 단계를 따릅니다. 그 외에도 최신 보안 솔루션으로 인터넷과 다크웹을 모니터링하고 개인 데이터 유출을 확인할 수 있습니다.

소셜 미디어: 다양한 소셜 미디어 계정이 이메일 주소에 직접 연동되므로, 여러 소셜 미디어 사이트에서 이름, 전화번호, 이메일 주소 등 다양한 개인 데이터를 쉽게 알아낼 수 있습니다. 실제로 이러한 데이터 중 일부는 소셜 미디어 계정 액세스를 위한 암호 추측에 사용되기도 합니다.

이메일 주소를 안전하게 보호하는 방법

이메일 주소가 하나 이상 노출되면 개인정보 및 업무상 정보가 새어나갈 위험이 있으므로, 이메일 주소 무단 액세스를 방지하는 방법을 알아두는 것이 중요합니다.
강력한 암호 설정: 앞서 언급한 것처럼, 암호 없이 이메일 주소만으로는 개인정보를 훔치기가 매우 어렵습니다. 따라서 이메일 주소 해킹을 방지하는 가장 좋은 방법 중 하나는 "(특수문자, 숫자, 대문자, 소문자를 혼합하여 10~12자 내외)하는 것입니다. 암호 관리자 및 생성기로 가장 안전한 암호를 생성할 것을 권장합니다.

스팸 필터 및 차단 기능: 이메일 서비스 제공업체의 스팸 필터를 항상 활성화해 두면 악성 이메일이나 링크를 클릭할 가능성이 줄어듭니다. 또한 위험한 이메일이 스팸 필터를 통과하더라도(대개 스푸핑이 원인) 경계를 늦추지 말고 이러한 도메인을 차단하고 서비스 제공업체나 관련 IT 부서 직원에게 신고하는 것이 중요합니다.

2단계 인증 등록(가능하다면): 2단계 인증을 설정하면 온라인 보안을 두 배로 강화할 수 있습니다(이 옵션을 사용할 수 있다면). 신뢰할 수 있는 이메일 클라이언트는 대개 2단계 인증(2FA) 서비스를 기본으로 제공합니다. 2단계 인증은 신원 확인 정보를 추가로 입력해야 하는 보안 조치입니다. 이 신원 확인 정보는 추가 비밀 문답, 이메일로 전송된 보안 링크, 휴대 전화로 직접 전송된 인증 코드 등 다양합니다.

"버너" 이메일 계정 사용: 의심스러운(혹은 혹은 충분히 검증된 제공업체의 것이 아닌) 웹사이트나 애플리케이션에 가입할 때는 버너 이메일을 사용해야 합니다. 신원 확인 정보가 가짜이거나 거의 없는 이메일 계정이므로, 사기 및 해킹을 당해도 심각한 결과를 걱정할 필요가 없습니다. 요즘 이메일 계정은 간단하고 빠르게 폐쇄할 수 있으므로, 계정을 장기 또는 단기적으로만 활성화할 수 있습니다. 하지만 버너 계정도 사기성 이메일 메시지에서 다운로드하는 악성 코드는 막아주지 못한다는 점을 유의하십시오. 버너 계정에서도 외부 링크를 클릭하거나 첨부파일을 다운로드할 때는 각별히 주의해야 합니다.

모범 사례에 대한 지속적인 교육: 지금 같은 디지털 세상에서 데이터 보호는 IT 부서만이 아닌, 사용자 개인의 책임이기도 합니다. 따라서 기업의 사이버 보안 교육을 최신 상태로 유지하고 침해 발생 시 적절한 리소스를 참조하는 것이 중요합니다. 집에서도 개인용 컴퓨터는 항상 모범 사례를 상기하면서 사용해야 합니다. 온라인에서 조사하거나 IT 부서 또는 관리자에게 적절한 단계와 문서를 요청하고, 의심스러운 이메일은 즉시 신고/차단해야 합니다.

이메일 하이재킹, 데이터 손실에 무방비하게 당하지 마십시오. 지금 바로 Windows PC 및 Mac iOS에서 모두 사용할 수 있는 Kaspersky의 완벽한 보안 플랜으로 안전한 보호를 누리십시오.

연관 제품:

Kaspersky Password Manager