피싱 메일 한 통이 회사를 멈춘다 — 중소기업 이메일 보안 체크리스트 6

중소기업 이메일 보안 가이드. 대표 사칭 송금 사기, 거래처 위장 피싱, 랜섬웨어 첨부파일까지 — 보안 담당자 없는 회사가 지금 확인해야 할 메일 보안 체크리스트 6가지를 정리했습니다.

중소기업을 노리는 공격의 대부분은 해킹 영화처럼 오지 않습니다. 메일함으로 옵니다. 거래처를 사칭해 계좌가 바뀌었다는 메일, 대표 이름으로 송금을 지시하는 메일, 견적서로 위장한 랜섬웨어 첨부파일 — 직원 한 명이 한 번 클릭하면 끝나는 구조입니다. 보안 담당자가 없는 회사일수록 메일 보안은 장비가 아니라 점검 항목의 문제입니다. 지금 바로 확인할 수 있는 체크리스트 6가지를 정리합니다.

체크 1 — 우리 도메인, 사칭당할 수 있는 상태 아닌가

SPF·DKIM·DMARC는 우리 도메인을 사칭한 메일을 수신 서버가 걸러내게 하는 인증 설정입니다. 이것이 없으면 누군가 우리 회사 주소로 거래처에 가짜 계좌 안내를 보내도 막을 방법이 없습니다. 피해자가 우리가 아니라 거래처가 되는 순간 신뢰 문제로 돌아옵니다. 설정 방법은 회사 도메인 메일 만들기의 3단계에서 다뤘습니다. 이미 회사 메일을 쓰고 있다면 관리 화면에서 세 레코드가 있는지만 확인하면 됩니다.

체크 2 — 송금·계좌변경은 메일만으로 처리하지 않는다

대표 사칭 송금 사기(BEC)는 기술이 아니라 절차의 빈틈을 노립니다. 방어도 절차로 합니다. 계좌 변경과 일정 금액 이상 송금은 반드시 전화 등 다른 채널로 재확인한다는 규칙을 문서로 만들고 경리·회계 담당자와 공유하세요. 이 규칙 하나가 어떤 보안 솔루션보다 확실하게 송금 사고를 막습니다. 지출에 승인 절차를 태우는 구조는 전자결재 도입 가이드에서 다룬 것처럼 결재 시스템이 기본기가 됩니다.

체크 3 — 첨부파일·링크를 거르는 장치가 있는가

"이상한 메일 클릭하지 마세요"라는 당부는 교육으로서 필요하지만, 방어선으로는 부족합니다. 위장 메일은 갈수록 정교해져서 사람의 주의력만으로는 언젠가 뚫립니다. 발신자 위변조·악성 첨부·피싱 링크를 수신 단계에서 자동으로 걸러주는 필터링이 메일 서비스에 있는지 확인하세요. 랜섬웨어가 회사에 들어오는 가장 흔한 문이 메일 첨부파일입니다. 랜섬웨어 대비 전반은 중소기업 정보보안, 무엇부터 해야 할까에서 정리했습니다.

체크 4 — 개인 메일로 업무가 새고 있지 않은가

회사 메일이 있어도 습관적으로 개인 포털메일에 업무 문서를 보내 두는 직원이 있다면, 보안 경계가 회사 밖으로 뚫려 있는 것입니다. 개인 계정은 회사가 보호할 수도, 회수할 수도 없습니다. 규칙으로 막는 것과 함께, 회사 메일이 개인 메일보다 쓰기 편해야 실제로 지켜집니다. 모바일 앱과 충분한 용량이 안 되는 회사 메일은 결국 우회를 부릅니다. 포털메일 대신 기업메일을 써야 하는 이유와 이어지는 문제입니다.

체크 5 — 퇴사자 계정이 살아 있지 않은가

의외로 흔한 구멍입니다. 퇴사한 직원의 메일 계정이 몇 달째 수신 가능한 상태로 남아 있으면, 그 계정으로 오는 거래처 메일은 아무도 안 보는 곳에 쌓이거나 최악의 경우 외부에서 접근됩니다. 퇴사 당일 계정 비활성화 + 메일함 보존·인수인계를 절차로 못 박으세요. 계정과 자료가 회사에 남는 구조의 가치는 개인 클라우드 vs 회사 드라이브에서 다뤘습니다.

체크 6 — 당했을 때 절차가 있는가

클릭한 다음이 진짜 문제입니다. 의심 메일을 열었을 때 누구에게 알리는지, 비밀번호를 언제 바꾸는지, 거래처 사칭이 확인되면 어디에 신고하는지(한국인터넷진흥원 118)가 정해져 있어야 피해가 한 명에서 멈춥니다. 사고 대응은 잘잘못을 따지지 않는 문화가 핵심입니다. 혼날까 봐 숨기는 30분이 랜섬웨어에게는 회사 전체로 퍼질 시간입니다.

비즈메카EZ의 메일 보안은

KT 비즈메카EZ 기업메일은 KT 클라우드 기반으로 운영되고, 프리미엄 상품으로 AI위협메일차단을 붙여 발신자 위변조·악성 첨부·피싱 메일을 수신 단계에서 걸러낼 수 있습니다. 계정이 그룹웨어와 통합돼 있어 퇴사 처리 한 번으로 메일·메신저·드라이브 접근이 함께 회수되는 것도 체크 5의 관점에서 중요한 구조입니다. 그룹웨어 차원의 보안 점검 항목은 클라우드 그룹웨어 보안, 믿어도 될까에서 이어집니다.

정리

이메일 보안의 본질은 장비 구매가 아니라 도메인 인증, 송금 재확인 규칙, 자동 필터링, 계정 관리, 사고 절차라는 다섯 겹의 층을 쌓는 것입니다. 오늘 당장 SPF·DKIM 확인과 송금 재확인 규칙 두 가지부터 시작하세요. 비용이 들지 않는 항목입니다. 메일을 포함한 업무 시스템 전체를 정비할 계획이라면 중소기업 그룹웨어 추천에서, 비즈메카EZ는 1개월 무료 체험에서 시작할 수 있습니다.