loading

메일 보안을 AI 솔루션으로 바꿨다가 거래처 인보이스가 안 들어와서 애먹었던 일

공공기관 프로젝트 낙찰과 함께 찾아온 이메일 보안 강화 의무

회사에서 공공기관이랑 엮인 프로젝트를 하나 맡게 되면서 갑자기 보안 규정을 맞춰야 하는 상황이 생겼다. 그전까지는 그냥 도메인 호스팅 업체에서 기본으로 제공하는 아주 단순한 스팸 차단 기능만 켜놓고 썼는데, 이번에는 무슨 보안 인증(CSAP) 어쩌고 하는 기준에 맞춰서 이메일 보안을 강화하라는 지시가 내려왔다. 솔직히 메일로 주고받는 게 다 견적서나 시안 파일 정도인데 굳이 이렇게까지 해야 하나 싶었지만, 하라니 어쩔 수 없이 알아보기 시작했다. 여러 군데를 찾아보다가 결국 KT AI 메일보안 서비스를 도입하기로 결정했다. 공공기관 쪽 가이드라인에 맞추려면 클라우드 보안 인증을 받은 국내 대기업 서비스를 쓰는 게 그나마 서류 제출할 때 말이 덜 나올 것 같았기 때문이다. 가격은 계정당 월 3,500원 안팎이었는데, 인원수가 수십 명 정도 되다 보니 매달 나가는 고정 비용치고는 아주 적은 돈은 아니어서 결재 올릴 때 약간 눈치가 보였다.

기존 호스팅 스팸 필터와 대기업 AI 보안 솔루션의 작동 방식 차이

기존에 쓰던 웹메일 시스템의 기본 스팸 필터는 그냥 제목에 ‘광고’나 ‘도박’ 같은 특정 키워드가 들어가면 걸러내는 수준이었다. 그래서 가끔 스팸이 흘러 들어와도 그냥 지우면 그만이었고 크게 신경 쓰이지 않았다. 그런데 새로 알아본 지능형 메일 보안솔루션들은 작동하는 방식 자체가 완전히 달랐다. KT AI 메일보안은 메일이 서버에 들어오기 전에 스팸 차단, AI 분석, 그리고 APT(지능형 지속 공격) 대응이라는 3단계 필터링 체계를 거친다고 설명되어 있었다. 메일 본문에 숨겨진 악성 링크나 피싱용 유도 문구까지 AI가 문맥을 분석해서 잡아낸다는 게 핵심이었다. 처음 소개 자료를 읽었을 때는 엄청 똑똑하게 일처리를 해줄 것처럼 보여서, 이제 스팸 메일 지우는 귀찮은 짓은 안 해도 되겠구나 하는 막연한 기대감이 들었던 것도 사실이다.

MX 레코드 변경과 DNS 동기화 대기 시간 동안의 먹통 상황

도입하기로 결정하고 나서 가장 먼저 부딪힌 문제는 도메인 네임서버(DNS) 설정이었다. 보안 솔루션을 거쳐서 메일이 들어오게 하려면 우리 도메인의 MX(Mail Exchanger) 레코드를 새로 부여받은 보안 서버 주소로 변경해야 했다. 예전에 도메인 연결할 때 한 번 해보고 거의 건드리지 않았던 영역이라 가이드를 보면서도 꽤 버벅거렸다. 게다가 DNS 레코드를 변경하고 나면 이게 전 세계 네임서버에 반영되는 데 시간이 걸리는데, 이 TTL(Time to Live) 대기 시간 때문에 꼬박 하루 동안 메일 수발신이 불안정할까 봐 조마조마했다. 실제로 변경을 적용하고 나서 약 18시간 동안은 외부에서 보낸 메일이 바로 안 들어오고 몇 시간씩 늦게 도착하는 일이 생겼다. 거래처에서 왜 메일 확인 안 하냐는 전화를 세 통쯤 받고 나니, 역시 이런 작업은 금요일 밤늦게 시작했어야 했다는 후회가 밀려왔다.

과도하게 일 잘하는 AI 엔진이 빚어낸 거래처 인보이스 격리 사태

설정이 다 끝나고 며칠 동안은 평화로운 듯했다. 지저분한 광고 메일이 눈에 띄게 줄어든 것은 확실히 체감이 되었다. 하지만 진짜 골치 아픈 일은 그 뒤에 터졌다. 새로 바꾼 AI 엔진이 너무 열심히 일한 나머지, 기존 거래처에서 보낸 지극히 정상적인 업무 메일까지 악성 피싱 메일로 오인해서 격리소에 처박아 버린 것이다. 특히 자주 연락하던 해외 부품 업체의 인보이스 메일이 문제였다. 메일 본문에 달러 금액과 해외 계좌 번호가 적혀 있고 PDF 첨부파일이 들어있다 보니, 시스템이 이걸 전형적인 금융 사기 메일 패턴으로 판단한 모양이다. 거래처 담당자는 분명히 보냈다고 하는데 우리 쪽 수신함에는 아무것도 안 와 있고, 결국 보안 포털 관리자 화면에 들어가서 격리된 메일 목록을 일일이 뒤져서 수동으로 예외 처리를 해줘야 했다. 이 작업을 하느라 아침부터 서너 시간을 날리고 나니 허탈한 기분이 들었다.

매일 아침 보안 관리자 포털을 직접 확인해야 하는 수동 업무의 발생

이 일이 있고 난 후로는 매일 아침 출근하자마자 메일 보안 솔루션 관리자 페이지에 접속해서 격리함 목록을 확인하는 게 새로운 일과가 되어버렸다. 혹시나 또 중요한 거래처 메일이 갇혀 있지는 않은지 감시해야 했기 때문이다. 포털 대시보드에는 위협 탐지 건수나 차단된 악성코드 목록 같은 화려한 그래프들이 나오는데, 경영진에게 보고할 때나 쓸모 있는 그림이지 실무자인 나에게는 그냥 매일 들어가야 하는 귀찮은 페이지일 뿐이었다. 화이트리스트(안전 수신처) 등록 기능이 있긴 하지만, 거래처 담당자들의 이메일 주소가 워낙 다양하고 새로 연락하는 업체도 계속 생기다 보니 일일이 수동으로 관리하는 데도 한계가 있었다. AI가 알아서 학습한다고는 하는데, 어떤 기준으로 오탐지를 줄여나가는지 그 내부 과정을 직접 볼 수는 없으니 답답한 노릇이었다.

보안 인증 유지를 위해 감수하고 있는 찜찜한 관리 비용

결국 지금도 우리 회사는 이 보안 시스템을 계속 켜두고 쓰고 있다. 공공기관 사업을 유지하는 동안은 어차피 해지할 수도 없는 노릇이고, 스팸 차단율 자체는 이전보다 확실히 높아진 게 맞으니까. 하지만 AI 보안이 만병통치약이 아니라는 점은 뼈저리게 느꼈다. 기계가 완벽하게 다 걸러줄 것이라는 생각은 애초에 착각이었고, 결국 누군가는 격리 폴더를 모니터링하면서 ‘이건 진짜 메일이고, 이건 가짜 메일이다’를 직접 판별하는 수고를 들이고 있어야 한다. 기술이 발전해서 편리해진 면도 분명 있지만, 그만큼 관리해야 하는 귀찮은 포인트가 다른 형태로 바뀐 것에 가깝다는 생각이 든다. 다음 달에 예정된 보안 점검 실사 때 관련 서류 제출만 무사히 통과하고 나면, 이 귀찮은 관리 화면을 조금은 덜 들여다보게 되기를 바랄 뿐이다.

“메일 보안을 AI 솔루션으로 바꿨다가 거래처 인보이스가 안 들어와서 애먹었던 일”에 대한 3개의 생각

댓글 남기기