암호화된 이메일이란 무엇입니까?

이메일 보안을 실행하지 않는 조직에 가장 큰 위험은 이메일 해킹 공격에 취약하다는 것입니다. 이로 인해 지적 재산과 자본 자산이 도용될 뿐만 아니라 브랜드 훼손과 고객 신뢰도 저해가 발생할 수 있습니다. 또한 조직이 비즈니스를 수행하는 부문 또는 관할권에 따라 다르게 직면할 수 있는 규정 준수 위험도 있습니다.최근 몇 년간 BEC(업무용 이메일 침해) 공격이 지역과 비즈니스 부문을 넘나들며 폭발적으로 증가하고 있습니다. 최신 FBI ICR(인터넷 범죄 보고서)에 따르면, 미국 내 조직은 2014년부터 2021년까지 BEC 공격으로 86억 달러의 손실을 입었고, 2021년에만 그중 24억 달러의 손실이 발생했다고 합니다.

이메일 해킹 공격에는 다음의 두 가지 유형이 있습니다.

• 피싱: 일반적인 메시지가 더 많은 공격 피해자에게 전달되는 경우
• 스피어 피싱 또는 BEC(업무용 이메일 침해) 공격: 개인 또는 그룹에 대한 구체적이고 계획된 표적 공격으로, 이러한 공격의 목표는 다음과 같습니다.
  • 민감한 정보 추출
  • 네트워크에 맬웨어 설치
  • 공격자가 소유한 계정으로 송금

이메일 서명/암호화는 조직이 지적 재산과 자본 자산을 도용하는 이메일 해킹을 방지하는 데 도움이 됩니다. 또한 기업이 민감한 데이터에 대한 통제력을 상실하면 발생할 수 있는 브랜드/평판의 훼손의 위험을 완화합니다. 그뿐만 아니라 디지털 서명/암호화된 이메일 기술을 채택하면 다양한 회사가 건강보험이동성과 결과보고책무활동 및 개인정보보호 규정 등의 다양한 규정을 모두 준수할 수 있도록 할 수 있습니다. 다양한 개인정보/보안 규정을 준수하고 유지하면 기업이 규정을 준수하지 않아서 높은 벌금을 낼 위험이 줄어듭니다.

조직은 종사 산업, 지역 또는 기업이 운영되는 위치에 따라 각기 다른 규정에 주의를 기울여야 합니다. 예를 들어, 미국에서는 건강보험이동성과 결과보고책무활동(HIPAA)에 의거하여 조직은 환자가 알지 못하거나 동의하지 않은 상태에서 민감한 환자 건강 정보가 공개되지 않도록 보호해야 합니다. 미국 보건복지부에 따르면, 건강보험이동성과 결과보고책무활동 위반으로 인한 비용은 2020년에만 1,300만 달러였습니다.

유럽 연합의 개인정보보호 규정(GDPR) 지침에 따르면, 개인 데이터는 전적으로 보호되어야 하며 그렇지 않은 경우 조직은 전년도 수익의 최대 4% 또는 최대 2천만 유로의 벌금을 부과받을 수 있습니다. 예를 들어 덴마크에서는 개인정보보호 규정의 연장선으로 민감한 개인 정보가 포함된 이메일을 암호화하는 것이 2019년부터 기업에 의무화되었습니다.

피싱 공격은 여전히 의료 서비스 분야 데이터 침해의 주요 원인으로, FBI의 인터넷 범죄 보고서에 따르면 조직은 BEC 공격으로 24억 달러의 손실을 입었다고 합니다. 피싱 공격은 대개 다단계 공격의 첫 번째 단계로, 맬웨어 또는 랜섬웨어가 뒤이어 배포됩니다.

건강보험이동성과 결과보고책무활동 저널의 의료 서비스 데이터 침해 보고서에 따르면 의료 서비스 분야의 이메일 관련 침해는 피싱 공격 다음으로 두 번째로 흔한 공격 유형이라고 합니다.

2021년 미국 인권청(OCR)에서 277건의 의료 서비스 이메일 침해 사고를 조사했는데, 그중 83%는 해킹이나 IT 사고로 발생한 것이었습니다.

이메일 계정 침해는 2020년 이틀에 1건이 넘는 비율로 보고되었지만, 이메일 관련 침해는 올해 네트워크 서버 침해에 이어 2위를 차지했습니다. 네트워크 서버는 대개 대량의 환자 데이터를 저장하기 때문에 해커와 랜섬웨어 공격자의 주요 표적이 됩니다.

현재 두 가지 이메일 보안 방식이 있습니다.

• PGP(Pretty Good Privacy)
• S/MIME(RSA 및 x.509 인증서 기반)

OpenPGP와 S/MIME는 몇 가지 측면에서 매우 유사합니다. 둘 다 디지털 서명을 통해 인증하고 데이터 암호화를 통해 개인정보를 보호합니다. OpenPGP는 많은 사람이 좋아하지만, 시장에서의 지원이 상당히 적습니다. S/MIME는 소프트웨어 벤더가 보다 광범위하게 지원하며, 가장 흔한 이메일 클라이언트에 통합되어 있습니다.

공개 키 암호화에는 두 개의 키가 있습니다. 하나는 공개할 수 있는 키고, 다른 하나는 비공개로 유지하는 키입니다. 발신자는 수신자의 공개 키를 사용하여 메시지를 암호화하고, 수신자는 자신의 개인 키를 사용하여 메시지를 해독합니다. 메시지가 여러 수신자에게 전송되는 경우 이메일은 모든 수신자의 공개 키로 각각 암호화됩니다.

디지털 서명은 동일한 공개/개인 키 쌍을 사용하지만, 반대로 사용합니다. 발신자는 메시지의 보안 해시를 가져와 자신의 개인 키로 이 해시를 암호화합니다. 누구든지 발신자의 공개 키로 해독하여 해당 해시를 해독(하고 원본 메시지에 대해 동일한 해시를 실행하여 확인)할 수 있습니다. 이 공개 키와 연결된 개인 키의 소유자만 이를 암호화할 수 있으므로, 메시지를 확인할 수 있습니다. 이를 통해 무결성과 부인 방지를 보장할 수 있습니다. 발신자가 나중에 메시지를 보내지 않았다고 부인할 수 없기 때문에 부인 방지가 가능합니다.

Entrust S/MIME 솔루션은 조직이 이메일로 인한 회사 데이터 손실 위험을 크게 줄일 수 있도록 지원합니다. 내/외부 이메일에 지원되는 Entrust의 ID 및 엔드투엔드 암호화 기능은 배포 자동화/수명주기 관리 기능과 함께 조직이 다른 솔루션보다 규정 준수 및 보안 태세를 더욱 개선할 수 있도록 지원합니다.

RSA는 이메일 서명/암호화에 지원되는 유일한 공개 키 암호화 프로토콜입니다. SSL/TLS 인증서는 이 용도로 사용할 수 없습니다. 그러나 S/MIME와 연동하여 전송 중인 메시지를 보호하는 다른 암호화 기술이 있습니다. 예를 들어, TLS(전송 계층 보안) 또는 이전 SSL(Secure Sockets Layer)이 있습니다. 이러한 프로토콜은 이메일 서버 간의 터널이나 경로를 암호화하여 스누핑과 도청을 방지할 수 있습니다. 또한 이메일 클라이언트와 이메일 서버 간의 연결을 암호화합니다. S/MIME는 이러한 프로토콜과 함께 사용할 수 있지만 이에 종속되지는 않습니다.

VPN은 이메일을 암호화하지 않습니다. 이는 해킹이나 바이러스, 맬웨어를 방지하는 도구가 아닙니다. 또한 이메일 안의 내용을 보호하거나 이메일 발신자를 인증하는 데 도움이 되지는 않습니다.

이메일을 디지털 서명하고 암호화하면, 직원은 첨부 파일과 콘텐츠가 발신자의 이메일 주소에서 비롯되었으며 전송 중에 수정되지 않았음을 입증할 수 있습니다. 이를 부인 방지라고도 하며, 재판소에서 다양한 법률을 통해 입증됩니다.

기업 내 직원에게 자체 S/MIME 인증서에 대한 액세스 권한을 제공하면, 수신자와 발신자의 ID를 더 쉽게 식별할 수 있기 때문에 BEC(업무용 이메일 침해) 공격의 영향을 제한할 수 있습니다.

Entrust S/MIME 인증서에는 조직, 개인의 이름과 이메일 주소가 포함되어 있으므로, 이메일 수신자가 스팸 또는 피싱 이메일을 합법적인 발신자의 이메일과 구별할 수 있습니다.

Microsoft Outlook과 MacOS에서 보안 이메일 인증서를 설정하면 신뢰할 수 있는 이메일 환경이 어떤 모습인지 아주 쉽게 구별할 수 있습니다. 아래에서 네 가지 이메일 환경에 대한 시각적 개체를 확인할 수 있습니다.

1. 서명된 이메일
2. 암호화된 이메일
3. 서명되고 암호화된 이메일
4. 서명되지 않고 암호화되지 않은 이메일

Outlook과 MacOS 환경에는 세 가지 기본 신뢰 지표가 있습니다.

1. 이메일이 서명되었음을 나타내는 빨간 리본
2. 이메일이 암호화되었음을 나타내는 자물쇠 아이콘
3. X사 직원인 사용자 1이 서명한 이메일 왼쪽에서 발신자의 ID를 확인할 수 있습니다.

이와 대조적으로, 신뢰할 수 없는 이메일 환경에서는 서명되지 않고 암호화되지 않은 이메일에 리본이나 자물쇠 아이콘도 표시되지 않습니다. 이 경우 발신자 주소 사용자 1이 스푸핑될 수 있습니다.

이러한 기능은 두 사용자가 공개 키를 교환한 후에 사용할 수 있습니다.

자세한 내용은 Entrust 기술 자료 페이지를 참조하십시오.

Android 또는 iPhone 장치에 S/MIME 인증서가 설치되어 있는 경우, 화면 오른쪽에서처럼 열리거나 닫힌 자물쇠가 표시됩니다. 암호화된 이메일을 보내기 위해 사용자가 해야 할 일은 자물쇠 아이콘을 탭하는 것뿐입니다.

설정에서 이 옵션을 활성화하면 이메일에 자동으로 서명할 수 있습니다. 이 프로세스는 Entrust 기술 노트의 2부, 6단계에서 확인할 수 있습니다.

이메일 메시지를 서명 및/또는 암호화하려면, 옵션 탭 아래의 메시지 작성 이메일 대화 상자에 나타나는 서명 및/또는 암호화 버튼을 클릭하기만 하면 됩니다.