많은 현대인들이 이메일을 사용한다. 직장인의 경우 회사에서 제공하는 업무용 이메일 계정과 개인적으로 사용하는 이메일 계정을 포함해 적어도 2~3개 이상의 메일 계정을 보유하거나 사용하고 있다.

학생, 주부처럼 직장을 다니지 않는 경우에도 1개 이상의 이메일 계정을 사용하는 것이 전혀 이상하지 않다. 이렇듯 현대인은 여러 기업과 웹서비스에서 제공하는 1개 이상의 이메일 서비스를 이용하고 있다.

사람들이 이메일 서비스를 사용하는 이유는 두 가지로 요약할 수 있다.

첫째 이유는 정보 전달의 편리함이다. 컴퓨터 앞에서 전달하려는 내용을 기록하고 전달 버튼을 누르기만 하면 순식간에 상대방에게 정보가 전달된다.

제대로 전달 됐는지 여부도 바로 확인이 가능하고, 빠른 시간 안에 답장을 받아보는 것도 가능하다. 1분 1초가 아까운 현대사회에 가장 적합한 IT서비스라고 할 수 있다.

둘째 이유는 사용의 불가피성이다. 대기업 중소기업 할 것 없이 기업 업무의 상당 부분이 이메일을 이용해 처리되고 있다.

협력사와의 대화나 자료 전달, 직원 간의 업무처리와 정보 전달, 상관에게의 보고까지도 이메일을 통해 이루어진다. 이메일의 사용은 기업에 속한 직원이라면 선택이 아닌 필수요건으로 자리잡은 지 오래다.

하지만 역설적이게도 이 두가지 이유가 해커가 이메일을 공격수단으로 선택한 이유이기도 하다. 우선, 편리한 정보 전달 수단으로써의 이메일이 해커가 보낸 악의적 메일의 전달 수단으로써도 톡톡히 효과를 발휘한다.

큰 노력 없이 상대방의 이메일 주소를 알아내는 것만으로도 공격 감행이 가능하다. 거의 모든 국민들이 이메일 서비스를 사용하니 공격 대상도 무궁무진하다.

더해 기업에 속한 직원들은 업무처리를 위해 모두 이메일 서비스를 무조건 사용해야만 한다. 이 말을 다시 표현하면 수신된 이메일을 읽어보지 않을 수 없다는 뜻이다.

악의적 메일이라는 것만 속일 수 있다면 피해자는 무조건 메일을 읽어야만 하는 상황에 노출되는 것이며, 해커의 목적을 달성할 수 있다는 의미다. 이렇게 이메일을 이용해 이루어지는 해킹공격을 BEC(Buiness Email Compromise), EAC(Email Account Compromise)라고 한다.

여기서 우리가 주목해야 할 단어는 무조건 사용해아만 함을 뜻하는 '불가피성'이란 단어다.

모든 직장인들은 이메일을 이용한 공격으로 개인이나 기업이 피해를 당했다는 기사를 수시로 접하면서도 이메일을 사용한다. 사용하지 않으면 업무가 진행되지 않기 때문이다.

언제 해커가 보낸 악의적 메일에 당해 피해를 볼지 모르는 위험을 안고 살아가는 모양새다.

기업의 보안조직도 피해를 예방하기 위해 보안솔루션을 도입하고 직원들을 교육하는 등 다양한 대비를 하고 있다. 개인들도 나름 경각심을 가지고 의심되는 메일의 경우 삭제하거나 신고를 하기도 한다.

그러나 거래처, 동료, 친구 등을 사칭하거나 직장상사로 위장한 해커의 공격 앞에 무기력하게 무너지고 만다. 해커는 다양한 사회공학적 방법을 이용하여 보안솔루션을 우회하고 개개인의 경각심을 허물고 있는 것이다.

위험할 수 있음을 알면서도 쓸 수밖에 없는 이메일 서비스. 업무를 하기 위해, 친구들과 연락하기 위해서는 무조건 써야만 하는 서비스.

그리고 해커들이 가장 애용하는 공격수단. 이메일 서비스가 현대인이 직면한 가장 무서운 해킹공격이며, 정보보안조직이 가장 두려워하는 공격인 이유다.