마이크로소프트 공식 이메일로 사기가 온다면?

당신이 믿고 있는 이메일 주소가 사기꾼의 도구가 된다면 어떨까? 마이크로소프트가 공식적으로 "허용 목록에 추가하라"고 권하는 이메일 주소에서 사기 메일이 발송되고 있다는 충격적인 보고가 나왔다.

공식 주소에서 온 가짜 청구서

문제가 된 이메일 주소는 [email protected]이다. 이 주소는 마이크로소프트의 비즈니스 인텔리전스 플랫폼인 Power BI와 연결된 공식 계정으로, 구독 관련 이메일을 발송하는 데 사용된다. 마이크로소프트는 공식 문서를 통해 이 주소를 스팸 필터가 차단하지 않도록 허용 목록에 추가하라고 명시적으로 안내하고 있다.

그런데 바로 이 '신뢰할 수 있는' 주소에서 399달러 결제가 이루어졌다는 거짓 내용의 사기 메일이 발송됐다. 메일에는 거래를 취소하려면 전화하라는 번호가 포함되어 있었고, 전화를 걸면 원격 접속 프로그램 설치를 요구하는 전형적인 기술 지원 사기 패턴을 보였다.

신뢰의 무기화

이 사건이 특히 위험한 이유는 '신뢰'라는 개념 자체를 악용했기 때문이다. 일반적인 피싱 메일은 의심스러운 발신자나 어색한 문구로 어느 정도 걸러낼 수 있다. 하지만 이번 경우는 다르다. 사용자들이 의도적으로 '믿을 만한' 주소로 분류해둔 계정에서 사기 메일이 온 것이다.

국내에서도 비슷한 우려가 제기될 수 있다. 네이버, 카카오, 삼성 등 대기업의 공식 이메일 주소가 해킹당하거나 스푸핑된다면? 한국 사용자들은 특히 대기업 브랜드에 대한 신뢰도가 높아 더욱 취약할 수 있다.

기술적 허점인가, 관리 문제인가

현재로서는 정확한 원인이 명확하지 않다. 가능한 시나리오는 크게 세 가지다. 첫째, 마이크로소프트의 이메일 시스템 자체가 해킹당했을 가능성. 둘째, 이메일 주소 스푸핑을 통해 발신자를 위조했을 가능성. 셋째, 내부 계정 관리에 허점이 있었을 가능성이다.

어떤 경우든 이는 기업의 이메일 보안 관리에 대한 근본적인 질문을 던진다. 클라우드 기반 서비스가 확산되면서 하나의 계정이 수많은 서비스와 연결되는 상황에서, 보안 사고의 파급력은 과거와 비교할 수 없을 정도로 커졌다.

개인과 기업의 대응 방안

당장 개인 사용자들이 할 수 있는 것은 제한적이다. 공식 주소라고 해서 무조건 신뢰하지 말고, 메일 내용 자체를 면밀히 검토해야 한다. 특히 결제나 개인정보와 관련된 내용이라면 이메일이 아닌 공식 웹사이트나 앱을 통해 직접 확인하는 것이 안전하다.

기업 입장에서는 더욱 복잡한 과제다. 직원들에게 "공식 이메일도 의심하라"고 교육하기는 어렵다. 업무 효율성과 보안 사이의 균형점을 찾아야 한다. 이메일 인증 기술(DMARC, SPF 등)을 강화하고, 의심스러운 활동을 실시간으로 모니터링하는 시스템 구축이 필요하다.