중요한 기업 메일 보안, 발송 전 '승인 메일'로 꼼꼼히

강형석 redbk@itdonga.com

가비아 승인 메일 활용한 메일 보안 강화

[IT동아 강형석 기자] 파일을 보지 못하게 숨긴다거나 암호를 걸어두는 등 중요한 문서를 보호하는 방법은 많다. 하지만 전자우편의 내용물을 보호하는 방법은 많지 않다. 우리가 흔히 쓰는 대부분의 메일 서비스도 첨부되는 파일을 보호하는 기능은 찾아보기 어렵다. 만약 악의를 품은 공격자가 친구나 업무 관계자 등을 사칭, 정보를 가로채는 파일을 PC에 심어 중요한 문서나 자료를 가로채면 유·무형적 피해는 상당하다.

기업이라고 다르지 않다. 개인의 사생활 및 정보 만큼이나 중요한 기업 자산을 다루기 때문에 정보 보호의 중요성을 항시 인지해야 한다. 2014년 미국 버라이즌이 공개한 '데이터 유출 조사 보고서'에 따르면 공격을 위해 쓰인 악성코드의 80%가 메일 공격 방식으로 이뤄져 있다고 한다. 그만큼 전자우편이 보안에 취약하다는 의미다. 보안에 대한 의식과 함께 강력한 솔루션이 도입이 필요한 이유다.

가비아 보안 메일 서비스는 기업 내에서 주고 받는 전자우편을 다양한 방법으로 보호하는 솔루션이다. '암호 메일'과 '승인 메일'로 크게 나눌 수 있는데, 다양한 관리 도구와 보안 기능을 제공해 외부 침입이나 자료 유출에서 최대한 보호하는 역할을 한다.

이메일은 위험에 가장 많이 노출된 수단 중
하나다
이메일은 위험에 가장 많이 노출된 수단 중 하나다

승인 메일은 뭔가요?

전자우편을 보낼 때, 간단히 업무와 관련한 제목 및 내용을 적고 필요한 문서나 파일을 첨부해 보낸다. 하지만 이렇게 간단히 주고 받는 기업 메일에 기밀사항이나 그에 준하는 중요한 내용이 포함되어 있다면 유출됐을 때의 피해가 크다. 이렇기에 암호화를 하거나 사전에 내용을 검수 받고, 믿을 수 있는 곳으로 발송이 되는지 등 여부를 꼼꼼히 따져야 한다.

가비아 보안 메일 서비스 내 승인 메일은 말 그대로 메일을 전송하기 전에 관리자의 발송 승인을 얻는 구조다. 관리자는 발신자의 전자우편 내용을 사전에 확인하고 검수할 수 있다. 또한 발신자가 기업 정보 유출이 의심된다 판단하면 승인 메일로 발송해 전자우편 내용에 대한 검수를 요청할 수 있다. 승인 전에 발송자가 해당 전자우편을 회수하는 기능도 포함되어 있다.

업무로 주고 받는 전자우편 대부분이 중요한 업무 내용을 포함할 수 밖에 없다. 이에 승인 메일은 암호 메일과 함께 적용해야 어느 정도 효과를 볼 수 있는 메일 방식이다. 아무리 검수자가 꼼꼼히 보더라도 놓치는 부분이 있게 마련이다. 이런 부족한 부분을 채워주는 역할로 암호 메일을 쓰는 셈이다.

승인 메일은 어떻게 쓰나요?

승인 메일 설정은 가비아 보안 메일 서비스 도메인을 통해 관리자 로그인을 해야 한다. 관리자 로그인을 완료하면 보안 메일을 클릭한 다음 '승인 메일 설정' 버튼을 클릭한다. 기본 설정은 승인 메일을 쓰지 않도록 되어 있으니 활성화하려면 관련 설정을 마무리 해야 한다. 기존 가비아 보안 메일과 마찬가지로 승인 메일 설정을 하게 되면 POP3/SMTP를 쓸 수 없다.

승인 메일을 설정하기 위해서는 먼저 정책을 설정해야 한다. 사용하지 않는 조건을 제외하면 승인 메일 옵션은 3가지가 제공된다. '사외 메일 발송 시 승인'하는 것과 '사외 메일 발송 시 첨부 파일이 있을 때만 승인', '모든 메일 발송 시 첨부 파일이 있을 때만 승인' 등이다.

승인 메일 설정 화면.
승인 메일 설정 화면.

< 승인 메일 설정 화면. >

승인 조건을 설정한 다음에는 승인 대기 설정을 해야 한다. 이는 발송 승인을 받기 위해 관리자에게 알림을 발송하는 것 외에도 승인 대기를 통해 관리자에게 시간적 여유를 어느 정도 보장해 줄 수 있다.

설정은 승인 대기를 설정하는 것과 하지 않는 것 2가지가 있다. 여기에 별도로 승인 대기 시간을 설정하도록 했다. 시간은 자유롭게 1시간 단위로 설정할 수 있으며, 해당 시간 내에 수신자에게 자동으로 반려할 것인가 발송할 것인가 여부를 정하는 기능도 마련됐다.

승인 정책 설정 과정
승인 정책 설정 과정

< 승인 정책 설정 메뉴. >

승인 대기 관련 설정 메뉴.
승인 대기 관련 설정 메뉴.

< 승인 대기 관련 설정 메뉴. >

2단계까지 승인 메일 관련 설정이라면, 3단계는 전자우편을 확인하고 발송 여부를 인가해 줄 승인 요청자를 설정하는 단계다. 한 명부터 여러 명에 이르기까지 승인 요청자를 설정할 수 있다. 승인자를 설정할 때 이름을 입력하면 자동 검색되어 목록이 보이도록 간편하게 만들었다.

승인 요청자는 담당자 정보가 있는 엑셀 파일로 일괄 등록도 가능하다. 하나하나 입력하는 것 보다 정리된 목록이 있으면 이를 활용하는 방법을 권장한다.

승인 요청자를 설정하는 3단계 과정.
승인 요청자를 설정하는 3단계 과정.

< 승인 요청자를 설정하는 3단계 과정. >

승인 메일은 관리자가 전자우편 내용을 확인하고 발송하는 과정에서 시간이 다소 소요될 수 있다. 때문에 확인된 거래처나 담당자에게는 승인 절차 없이 즉시 전자우편을 발송하도록 예외를 두는 작업을 마지막 단계에서 지원한다. '자동 승인 거래처'에 이름과 메일 주소 등을 입력하는 것으로 설정이 완료된다.

하지만 도메인으로 등록하게 되면 해당 도메인을 가진 메일 주소 모두 승인 절차를 거치지 않고 메일 발송이 이뤄질 수 있으니 주의해야 한다. 특히 포털 서비스의 도메인 등록에는 주의해야 한다.

승인 예외를 등록하는 마지막 단계.
승인 예외를 등록하는 마지막 단계.

< 승인 예외를 등록하는 마지막 단계. >

설정이 되면 가비아 보안 메일 서비스 내에서 전자우편을 보낼 때 '승인 편지함'에서 관련 작업을 진행하면 된다. 승인 대기와 승인, 반려, 회수 등의 4개 탭이 제공된다. 승인 대기는 관리자가 승인을 하지 않은 상태에서 대기 중인 전자우편 목록을 표시해 준다. 반려는 관리자가 발송 부적합한 내용이라 판단되어 돌려 보낸 메일이 쌓인다. 회수는 발신자가 스스로 부적합한 내용이라 판단해 승인 요청한 메일을 취소하면 나타난다. 회수된 메일의 내용은 관리자가 볼 수 없다는 점이 특징이다.

보안은 누구도 대신해 주지 않는다

보안은 스스로 지켜야 할 중요한 일 중 하나다. 보안은 어느 누구도 대신해 주지 않으며, 대신 하더라도 그 위험이 100% 사라진다 볼 수 없다. 보안을 대신해 줄 사람이 다른 마음을 품었는지 알 수 없으니 말이다. 자신과 관련한 중요 정보는 직접 관리하는 것이 옳다. 기업도 마찬가지다. 임직원 스스로가 기업의 자산을 보호한다는 의식을 가지고 움직여야 피해를 줄일 수 있다. 피해가 발생하기 전에 해당 요소를 미리 차단하는 것이 보안의 목적이기 때문이다.

가비아 승인 메일은 자료가 나가기 전 내부에서 확인을 거치고 안전하다 판단이 되면 발송하는 구조를 갖는다. 이 기준이 관리자에 따라 다르기에 피해를 완전히 차단하기 어렵다는 아쉬움이 남는다. 그러나 가비아 보안 메일 서비스 중 하나인 암호 메일을 함께 조합하면 자료를 보호할 가능성이 높아진다.

지금 당장 피해를 입지 않았어도 언제 어디서 어떤 일이 벌어질 지는 알 수 없다. 주변에는 언제나 위협 요소가 도사리고 있다. 소중한 기업 자산을 노리는 공격자로부터 유·무형적 자산을 지키려면 보안에 대한 경각심도 중요하지만 신뢰성 높은 보안 솔루션 도입 역시 병행해야 할 것이다.

글 / IT동아 강형석 (redbk@itdonga.com)

IT동아의 모든 콘텐츠(기사)는 Creative commons 저작자표시-비영리-변경금지 라이선스에 따라 이용할 수 있습니다.
의견은 IT동아(게임동아) 페이스북에서 덧글 또는 메신저로 남겨주세요.