TTESays

글로벌 메일 인프라 공격 연대기가 한국에 던지는 질문 Part2

Donghwi Shin, Jin Kwak

Published: 14:00, 23 Mar 2026 (Updated: 04:38, 24 Mar 2026)

Photo by Kyle Loftus / Unsplash

💡

Editor Pick
- 우리나라 메일 서비스의 특징으로 바라봤을 때, 문제는 아직인가?
- 드러나지 않은 것인가? 아직 오지 않은 것인가?
- 드러나지 않았던 오지 않았던 기다리면 과거의 사례 답습

글로벌 메일 인프라 공격 연대기가 한국에 던지는 질문 Part1에서 메일 인프라의 중요성과 공격 사례들에 대해 살펴보았다. Part2에서는 우리 상황에 대해 어떤 자세로 메일 인프라를 바라봐야하는지 알아보고자 한다.

메일은 조직의 신뢰 인프라다

메일 공격이 위험한 이유를 정리 한다면, 메일은 단순한 메시지 시스템이 아닌 조직의 신뢰 인프라이다. 메일은 사람과 계정을 연결하고 승인과 문서를 연결하며 내부 시스템과 외부 서비스 사이의 인증 흐름을 연결한다. 이와 같은 맥락을 잘 이해하고 있는 공격자는 오직 메일함 접근만을 기대하고 접근하지 않는다. 그들은 조직의 신뢰 구조를 이해하기 위해 침입한다. 메일 계정 하나를 장악하면 내부 커뮤니케이션 파악, 승인 요청 위조, SaaS 계정 탈취, BEC 공격 등 다양한 공격이 가능하기 때문이다. 결국 메일 서버는 기업 네트워크에서 가장 조용하지만 가장 중요한 인프라 가운데 하나라는 점이 공격자들에게 매력적인 지점이다.

대한민국은 비교적 조용하다

이 지점에서 자연스럽게 하나의 질문이 생긴다. 글로벌 메일 인프라에서는 이렇게 반복적으로 취약점이 발견되고 실제 공격으로 이어지고 있는데, 왜 우리나라에서는 유사한 규모의 사건이 상대적으로 적게 드러나는 것처럼 보이는 것일까?

표면적으로 보면 한국은 비교적 안정적인 환경처럼 보인다. Microsoft Exchange나 Zimbra와 같은 글로벌 플랫폼에서 발생했던 대규모 침해 사건과 달리, 국내 메일 플랫폼에서는 수십만 서버 단위의 동시 침해 사례가 반복적으로 보고되지는 않았다. 일부 사건은 있었지만, 글로벌 사례와 비교하면 확산 속도나 영향 범위에서 차이가 존재한다. 그러나 눈에 보이는 이런 차이를 단순히 “안전”으로 해석하는 것은 위험하다. 오히려 조용함은 몇 가지 구조적 특성에서 비롯된 결과일 가능성이 있다는 점을 염두해야 한다.

첫 번째는 생태계의 차이다. 한국은 글로벌 SaaS 중심 시장이 아니라, 자체 메일 솔루션과 그룹웨어를 사용하는 비율이 높은 환경이다. MailPlug, Hiworks, DaouOffice, Crinity와 같은 국내 플랫폼은 중소기업, 교육기관, 공공기관에 널리 사용되고 있으며, 이들은 글로벌 보안 연구 커뮤니티에서 집중적으로 분석되는 대상이 아니다. 이는 곧 취약점이 발견되거나 공격이 발생하더라도 국제적인 보안 담론으로 확산되지 않을 가능성을 의미한다.

두 번째는 가시성의 문제다. 글로벌 플랫폼에서 발생하는 취약점은 수많은 보안 연구자와 기업에 의해 동시에 분석되고 공개된다. 반면 국내 솔루션은 취약점 공개와 분석, 그리고 공유의 흐름이 상대적으로 제한적이다. 공급사와 고객사 사이에서 문제 해결이 이루어지고 외부로 드러나지 않는 구조가 형성될 가능성도 존재한다. 이 경우 실제 공격이 존재하더라도 “사건이 없는 것처럼 보이는 상태”가 유지될 수 있다.

세 번째는 투자와 구조의 문제다. 국내 메일 플랫폼은 자체적으로 개발되고 운영되는 경우가 많다. 이는 곧 기능 개발과 유지보수뿐 아니라 보안까지 동시에 책임져야 한다는 의미다. 그러나 글로벌 플랫폼과 비교했을 때 보안 연구, 취약점 대응, 공격 탐지에 투입되는 리소스가 충분한지에 대해서는 별도의 검토가 필요하다. 특히 온프레미스 환경이나 구축형 시스템에서는 패치 적용, 설정 관리, 접근 통제 등의 운영 문제가 보안 취약점으로 이어질 가능성이 높다.

이 세 가지 요소를 함께 놓고 보면 한국의 조용함은 하나의 결론으로 이어진다. 위협이 없어서 조용한 것이 아니라, 위협이 충분히 드러나지 않았을 가능성이다. 그리고 이 지점이 더 중요하다. 메일 인프라는 본질적으로 외부 입력을 처리하는 시스템이며, 글로벌 사례가 보여주듯 취약점은 반복적으로 발견된다. 한국 역시 동일한 기술 구조 위에 서 있다. 다만 그 취약점이 아직 대규모 사건으로 “보이지 않았을 뿐”일 수 있다.

지금 필요한 질문

이러한 맥락에서 지금 우리나라는 스스로에게 던져야 할 질문은 단순하지 않다. “공격이 있었는가”를 묻는 것만으로는 충분하지 않다. 오히려 더 중요한 질문은 “왜 아직 크게 드러나지 않았는가”라는 방향성의 질문을 답을 고민해야 한다.

국내 메일 플랫폼은 글로벌 플랫폼과 다른 생태계를 가지고 있다. 이는 기회이자 동시에 리스크이다. 자체 기술로 운영된다는 것은 빠른 대응과 맞춤형 기능 제공이 가능하다는 의미이기도 하지만, 반대로 보면 보안 투자와 연구 역시 내부에 의존해야 한다는 뜻이기도 하다. 메일 시스템이 점점 더 인증과 협업의 중심 인프라로 확장되는 상황에서, 이 구조는 단순한 운영 문제가 아니라 보안 전략의 문제로 이어진다. 따라서 지금 필요한 것은 사건 이후의 대응이 아니라 구조에 대한 질문이다.

국내 메일 플랫폼은 취약점 공개와 대응 과정을 충분히 투명하게 운영하고 있는가?
보안 업데이트는 얼마나 빠르게 적용되고 있는가?
온프레미스 환경에서 운영되는 메일 서버는 외부 노출 포트와 관리자 권한을 적절히 통제하고 있는가?
메일 시스템은 단순한 커뮤니케이션 도구가 아니라 인증 인프라로 인식되고 있는가?

그리고 더 근본적인 질문이 남는다.

지금 우리가 보고 있는 “조용함”은 실제로 안전한 상태를 의미하는가, 아니면 아직 드러나지 않은 위험이 축적되고 있는 상태인가?

글로벌 메일 인프라 공격 연대기는 이미 답의 방향을 보여주고 있다. 메일은 반복적으로 공격되고 있으며, 공격자는 이 인프라를 점점 더 전략적으로 활용하고 있다. 우리나라 역시 그 흐름의 바깥에 있지 않다고 생각해야 한다. 더구나 너무 많은 정보를 IT 환경에 담고 사용하는 국가라는 점을 고려한다면 공격자들에게 더욱 매력적인 대상일테니 흐름의 바깥이 아닌 중심에 있다고 생각해야 한다.

다시 한번 강조하지만 메일은 여전히 조직의 신뢰를 연결하는 핵심 인프라다. 그리고 그 인프라가 조용하다는 사실은, 안전하다는 의미는 아니다. 🆃🆃🅔