회사 이메일 계정 탈취,첫 30분이 피해의 방향을 바꿉니다

회사 이메일 계정 탈취 대응
회사 이메일 계정 탈취,첫 30분이 피해의 방향을 바꿉니다 5

회사 이메일 계정 탈취,
첫 30분이 피해의 방향을 바꿉니다

평소와 다른 국가에서 로그인되었다는 알림, 내가 보내지 않은 메일, 거래처가 받은 낯선 계좌 변경 요청. 회사 이메일 계정 탈취는 대개 요란한 경고음보다 작은 이상 징후로 시작합니다.

이때 서둘러 비밀번호부터 바꾸면 문제가 끝날 것 같지만, 공격자는 이미 로그인 세션과 인증 토큰, 자동 전달 규칙, 외부 앱 권한을 남겨두었을 수 있습니다. 문은 잠갔는데 복제 열쇠가 아직 밖에 있는 셈입니다.

이 글은 대표, 보안담당자, 전산관리자가 사고를 발견한 직후 계정을 봉쇄하고 증거를 보존하며, 거래처 피해와 개인정보 유출 가능성을 판단하는 순서를 안내합니다. 기술 복구와 신고 검토를 따로 떼지 않고 하나의 시간표 위에 올려놓았습니다.

초기 차단 순서 계정 중지, 세션 폐기, 로그 보존의 우선순위를 확인합니다.
숨은 접근 제거 자동 전달, 앱 권한, 복구 정보와 위임 설정을 점검합니다.
신고 판단 기준 침해사고와 개인정보 유출을 구분하고 필요한 절차를 검토합니다.

지금 필요한 것은 완벽한 원인 분석이 아니라, 공격자의 다음 행동을 먼저 끊는 것입니다. 🔐

한눈에 보기

이 글의 대상: 직원 계정 탈취를 처음 발견한 중소기업 대표, 전산담당자, 보안담당자

해결할 문제: 계정 차단 순서, 공격자의 지속 접근 제거, 피해 범위 조사, 거래처 보호, 신고·통지 판단

읽은 뒤 할 수 있는 일: 첫 30분 사고 기록표를 만들고 직접 조치할 범위와 외부 전문가가 필요한 상황을 구분할 수 있습니다.

회사 이메일 계정 탈취 대응
회사 이메일 계정 탈취,첫 30분이 피해의 방향을 바꿉니다 6

읽기 전에 확인하세요

이 글은 회사 이메일 계정 탈취가 의심될 때 활용할 수 있는 일반적인 초기 대응 안내입니다. 실제 사고에서는 사용하는 메일 서비스, 관리자 권한 구조, 개인정보의 종류, 계약 관계와 적용 법령에 따라 필요한 조치가 달라질 수 있습니다.

관리자 계정이 탈취되었거나 공격자가 감사 로그를 삭제한 정황이 있다면, 이 글만으로 사고를 종결하지 마세요. 디지털 포렌식 업체, 개인정보보호책임자, 법률 전문가와 공식 기관의 확인이 필요할 수 있습니다.

안전 안내

의심 계정을 조사한다는 이유로 공격자에게 직접 연락하거나, 로그를 확보하기 전에 메일과 규칙을 삭제하지 마세요. 피해 확산 차단과 증거 보존을 동시에 진행해야 합니다.

직원 계정 한 개가 탈취된 상황

관리자 화면에 접근할 수 있고 피해 계정이 제한적이라면, 아래 순서대로 계정 차단과 로그 보존을 직접 시작할 수 있습니다. 다만 해당 직원과의 연락은 탈취된 이메일이 아니라 전화, 사내 메신저 또는 대면 방식으로 진행하세요.

관리자 계정이나 결제 시스템까지 영향을 받은 상황

최고 관리자, 쇼핑몰 관리자, 전자결재, 회계 프로그램 또는 인터넷뱅킹 계정까지 동일한 인증 정보를 사용했다면 사고 범위를 이메일에 한정해서는 안 됩니다. 권한 상승과 연쇄 침해 가능성을 기준으로 대응 수준을 높여야 합니다.

첫 5분, 계정을 봉쇄하는 세 가지 행동

첫 5분의 목표는 원인을 밝혀내는 것이 아닙니다. 공격자가 메일을 더 읽거나 사기메일을 보내고, 설정을 바꾸는 시간을 끊는 것입니다.

1. 관리자 화면에서 피해 계정을 일시 중지합니다

사용자에게 먼저 “혹시 로그인했나요?”라고 묻느라 시간을 보내기보다 관리자 계정으로 로그인 기능을 차단하세요. 피해 사용자의 업무가 잠시 멈추더라도 공격자의 활동을 그대로 두는 것보다 비용이 작습니다.

계정 중지 기능이 없다면 로그인 차단, 사용자 비활성화, 조건부 접근 차단 등 서비스에서 제공하는 가장 강한 임시 조치를 사용합니다. 최고 관리자 계정이 의심된다면 정상으로 확인된 다른 관리자 계정과 공급업체의 계정 복구 절차를 이용하세요.

2. 모든 활성 세션과 인증 토큰을 폐기합니다

비밀번호를 바꿔도 이미 발급된 로그인 세션이나 외부 앱의 인증 토큰이 즉시 사라지지 않는 환경이 있습니다. 따라서 전체 기기 로그아웃, 로그인 쿠키 초기화, 토큰 폐기 기능을 별도로 실행해야 합니다.

마이크로소프트는 탈취 계정을 우선 비활성화하고 활성 세션을 폐기한 뒤, 사서함 전달 설정과 받은편지함 규칙을 조사하도록 안내합니다. :contentReference[oaicite:0]{index=0}

3. 로그인 기록과 보안 로그를 원본 상태로 보존합니다

의심 메일, 로그인 알림, 관리자 감사 기록, 메일 추적 결과를 화면 캡처만으로 남기지 마세요. 가능하면 원본 파일이나 서비스에서 제공하는 내보내기 형식으로 보존하고, 추출 시각과 담당자를 기록합니다.

  • 최초 의심 로그인 시각과 위치
  • 사용한 기기, 브라우저, 인증 방식
  • 비밀번호 및 복구 정보 변경 기록
  • 메일 발송, 삭제, 전달, 규칙 생성 기록
  • 외부 앱 승인과 관리자 권한 변경 기록

첫 5분 대응 흐름

1단계 · 차단

피해 계정의 로그인을 일시 중지합니다.

2단계 · 폐기

활성 세션, 로그인 쿠키와 인증 토큰을 끊습니다.

3단계 · 보존

로그와 알림을 수정하지 않은 상태로 저장합니다.

순서가 바뀌면 생기는 문제

로그를 보존하기 전에 설정을 삭제하면 침입 시점과 피해 범위를 확인하기 어려워집니다. 반대로 로그 수집만 하느라 계정을 열어두면 공격자가 증거를 지우거나 추가 메일을 보낼 수 있습니다.

비밀번호보다 넓게, 공격자의 접속 수단을 제거하세요

계정을 차단한 뒤에는 깨끗한 기기에서 인증 정보를 다시 설정합니다. 여기서 깨끗한 기기란 악성코드 감염이 의심되지 않고, 운영체제와 브라우저가 최신 상태이며, 공격 당시 사용하지 않은 관리용 기기를 뜻합니다.

4. 고유한 비밀번호로 재설정합니다

기존 비밀번호에 숫자 하나만 덧붙이는 방식은 피하세요. 회사 이름, 계절, 연도, 전화번호처럼 추측하기 쉬운 조합도 사용하지 않습니다.

같은 비밀번호를 쇼핑몰, 고객관리 시스템, 클라우드 저장소, 사내 메신저에 재사용했다면 해당 계정도 별도 사고 대상으로 분류합니다. 단순히 “전 직원 비밀번호 변경”을 공지하기보다 재사용 가능성이 있는 계정부터 우선순위를 정하세요.

5. 다중인증 수단과 복구 정보를 다시 등록합니다

공격자가 자신의 휴대전화, 인증 앱, 보안키 또는 복구 이메일을 추가했을 수 있습니다. 등록된 다중인증(MFA) 수단을 모두 확인하고, 확인되지 않은 항목은 제거한 뒤 정상 사용자의 수단을 새로 등록합니다.

  • 복구 이메일과 복구 전화번호
  • 인증 앱과 보안키
  • 신뢰할 수 있는 기기
  • 백업 코드와 앱 비밀번호
  • 비밀번호 없는 로그인 수단

6. 외부 앱, 위임 사용자와 오래된 연결을 해제합니다

일정 관리, 고객관리, 메일 발송, 문서 서명 서비스가 이메일 계정과 연결되어 있다면 외부 앱 권한을 검토하세요. 공격자가 만든 연결뿐 아니라 사용 목적을 확인할 수 없는 오래된 앱도 일단 해제한 뒤 필요한 항목만 다시 승인하는 편이 안전합니다.

구글 워크스페이스를 사용한다면 구글의 탈취 계정 식별 및 보안 조치 안내에서 관리자 기능과 계정별 점검 항목을 확인할 수 있습니다.

조금 더 깊이 알고 싶다면

비밀번호는 사용자가 새로 로그인할 때 확인하는 비밀값입니다. 반면 세션 쿠키와 인증 토큰은 이미 로그인을 마친 사용자가 일정 기간 서비스를 계속 이용하도록 만드는 전자 출입증에 가깝습니다.

공격자가 이 출입증을 훔쳤다면 비밀번호 변경만으로는 즉시 퇴장하지 않을 수 있습니다. 그래서 계정 중지, 전체 세션 폐기, 외부 앱 권한 취소를 각각 확인해야 합니다.

자동 전달 규칙과 숨겨진 사서함 설정을 찾으세요

공격자는 계정에 다시 로그인하지 않고도 메일 내용을 받아보기 위해 자동 전달 주소나 받은편지함 규칙을 남겨둘 수 있습니다. 특히 송장, 세금계산서, 계약, 비밀번호, 인증번호 같은 단어가 들어간 메일만 골라 전달하도록 설정하는 사례를 주의해야 합니다.

외부 자동 전달과 받은편지함 규칙을 확인합니다

  • 외부 주소로 전달되는 전체 메일 설정
  • 특정 발신자나 키워드에만 작동하는 규칙
  • 메일을 자동으로 읽음 처리하는 규칙
  • 휴지통, 스팸함, 보관함으로 이동하는 규칙
  • 메일을 삭제하거나 다른 주소로 재전송하는 규칙

화면에 보이는 규칙만 확인하지 말고 관리자 기능에서 서버 측 규칙과 숨겨진 규칙을 함께 조사하세요. 마이크로소프트 공식 안내도 외부 전달 설정과 숨겨진 받은편지함 규칙을 별도 점검 대상으로 제시합니다. :contentReference[oaicite:1]{index=1}

보낸편지함이 비어 있어도 메일 추적 로그를 확인합니다

공격자가 발송한 메일을 바로 삭제했거나 별도 발송 경로를 사용했다면 사용자의 보낸편지함만으로는 피해를 확인하기 어렵습니다. 관리자 메일 추적 기능에서 발신 시각, 수신자, 제목, 전송 결과를 조사하세요.

위임, 공유 사서함과 메일 프로그램 연결을 살펴봅니다

다른 사용자가 피해 사서함을 읽거나 대신 발송할 수 있도록 위임된 권한이 있는지 확인합니다. 공유 사서함, 모바일 메일 앱, 데스크톱 메일 프로그램, 오래된 전송 프로토콜 연결도 점검 대상입니다.

실수 방지 메모

의심 규칙을 발견하면 이름, 생성 시각, 조건, 전달 주소를 먼저 기록한 뒤 삭제하세요. 곧바로 지우면 침입 목적과 피해 메일을 역추적할 단서를 잃을 수 있습니다.

피해 범위는 로그인 성공 기록 하나로 판단하지 않습니다

의심스러운 로그인이 한 번 있었다고 해서 모든 메일이 유출된 것은 아닙니다. 반대로 로그인 기록이 짧다고 해서 피해가 작다고 단정할 수도 없습니다. 공격자가 무엇을 열람하고 검색하고 전달했는지 시간순으로 재구성해야 합니다.

7. 최초 침입부터 차단 완료까지 시간표를 만듭니다

기록 항목 확인할 내용 남겨야 할 자료
최초 이상 징후 의심 로그인, 인증 알림, 사용자 신고 알림 원본, 화면, 수신 시각
공격자 활동 메일 검색, 열람, 삭제, 발송, 전달 감사 로그, 메일 추적 기록
설정 변경 비밀번호, 복구 정보, 규칙, 앱 권한 변경 이력과 관리자 로그
초기 대응 계정 차단, 세션 폐기, 규칙 삭제 수행자, 시각, 결과
추가 확인 수신자 피해, 개인정보 포함 여부 연락 기록과 조사 결과

메일의 개수보다 정보의 성격을 먼저 봅니다

열람된 메일이 몇 통인지도 필요하지만, 그 안에 어떤 정보가 있었는지가 더 중요합니다. 고객 명단, 연락처, 계약서, 신분증 사본, 급여자료, 계좌번호, 의료정보, 인증번호가 포함되었다면 적은 수의 메일이라도 대응 수준이 높아집니다.

주소록, 저장소와 일정까지 함께 조사합니다

회사 이메일 계정은 메일함만 여는 열쇠가 아닐 수 있습니다. 같은 계정으로 클라우드 문서, 주소록, 일정, 화상회의, 전자결재와 고객관리 시스템에 접근할 수 있다면 각 서비스의 감사 로그를 별도로 확인하세요.

실제 적용 사례

직원 다섯 명이 근무하는 한 유통업체에서 영업담당자의 메일 계정에 해외 로그인이 발생했습니다. 담당자는 바로 비밀번호를 바꾸고 안심했지만, 이틀 뒤 거래처가 “변경된 계좌로 입금했다”고 연락해 왔습니다.

관리자가 다시 확인해 보니 공격자는 특정 거래처 이름이 포함된 메일을 외부 주소로 전달하는 규칙을 만들어 두었습니다. 보낸편지함에는 수상한 메일이 없었지만, 메일 추적 기록에서는 공격자가 거래처와 주고받은 대화를 삭제하면서 사칭 메일을 보낸 사실이 드러났습니다.

이 회사의 실수는 비밀번호 변경이 아니었습니다. 비밀번호 변경을 사고 종료로 착각한 것이 문제였습니다. 이후 회사는 계정 차단, 세션 폐기, 전달 규칙 확인, 거래처 경보를 하나의 묶음으로 표준화했습니다.

교훈은 단순합니다. 복구 버튼을 누르는 순간 조사가 끝나는 것이 아니라, 그때부터 공격자가 남긴 발자국을 읽기 시작해야 합니다.

사기메일은 회수보다 수신자 보호가 먼저입니다

사기메일이 발송되었다면 모든 메일을 완벽하게 회수할 수 있다는 전제로 움직이지 마세요. 같은 회사 내부에서는 관리자 기능으로 삭제할 수 있는 경우가 있지만, 외부 수신자의 메일함까지 통제할 수 없는 상황이 많습니다.

8. 내부와 외부 수신자에게 별도 채널로 경보를 보냅니다

탈취된 계정 자체로 “이전 메일은 가짜입니다”라는 안내를 보내면 수신자가 다시 의심할 수 있습니다. 회사 대표번호, 공식 홈페이지 공지, 다른 정상 계정, 담당자의 전화 등 신뢰할 수 있는 채널을 이용하세요.

수신자 상황 즉시 안내할 내용 추가 조치
메일만 받은 경우 의심 제목, 발신 시각, 삭제 요청 링크와 첨부파일을 열지 않았는지 확인
링크를 누른 경우 접속 중단과 비밀번호 변경 안내 로그인 정보 입력 여부와 기기 점검
첨부파일을 실행한 경우 네트워크 연결 차단 안내 보안담당자 또는 전문업체 점검
계좌 변경 요청을 받은 경우 기존 계좌 외 송금 중단 안내 회계팀과 거래처 담당자 간 전화 확인
이미 송금한 경우 즉시 은행에 사고 사실 전달 지급정지 가능성 확인과 수사기관 신고

송금 피해가 있다면 메일 조사보다 금융 조치를 우선합니다

가짜 계좌로 이미 돈을 보냈다면 송금은행과 수취은행에 즉시 연락해 지급정지 또는 반환 가능성을 문의하세요. 이어 경찰 신고에 필요한 이체확인증, 사기메일 원본, 정상 거래처 계좌 정보, 연락 기록을 준비합니다.

누가 잘못했는지를 따지는 일은 나중입니다. 자금이 이동하는 동안 책임 공방을 시작하면 회수 가능성이 더 낮아질 수 있습니다.

공지에는 피해 예방 행동을 구체적으로 적습니다

“해당 메일을 무시해 주세요”라는 문장만으로는 부족합니다. 어떤 제목과 계좌번호가 사용되었는지, 링크를 눌렀다면 무엇을 해야 하는지, 정상 결제 정보는 어떤 채널로 확인해야 하는지를 분명히 알려야 합니다.

계정 하나에서 전사 침해로 번졌는지 확인하세요

직원 한 명의 이메일 계정이 탈취되었다면 같은 피싱메일을 받은 직원, 동일한 비밀번호를 사용한 계정, 해당 사용자가 접근할 수 있었던 관리자 시스템을 함께 조사해야 합니다.

9. 사용자의 컴퓨터와 스마트폰을 점검합니다

피싱 페이지에 비밀번호만 입력한 사고인지, 악성코드가 설치되어 세션과 저장된 비밀번호까지 탈취된 사고인지 구분하세요. 악성코드가 의심되면 피해 기기에서 관리자 작업이나 비밀번호 변경을 계속하지 않는 편이 안전합니다.

  • 최근 설치된 프로그램과 브라우저 확장 기능
  • 원격제어 프로그램과 알 수 없는 시작 프로그램
  • 브라우저에 저장된 업무 계정 비밀번호
  • 백신 또는 보안 프로그램의 탐지 기록
  • 운영체제와 브라우저의 업데이트 상태

다른 임직원 계정에서 같은 흔적을 검색합니다

동일한 제목의 피싱메일, 같은 외부 전달 주소, 같은 인터넷 주소에서의 로그인, 동일한 외부 앱 승인이 있는지 검색합니다. 발견된 흔적을 공통 침해지표로 정리하면 조사 범위를 좁히는 데 도움이 됩니다.

관리자 계정과 사업 핵심 시스템을 별도 확인합니다

도메인 관리, 메일 관리자, 쇼핑몰, 결제, 회계, 광고 계정은 일반 직원 메일보다 피해 파급력이 큽니다. 특히 쇼핑몰을 운영한다면 쇼핑몰 관리자 계정 해킹 초기 대응 방법도 함께 확인해 권한 변경과 주문·결제 정보 침해 여부를 점검하세요.

도메인 이름 서버(DNS), 메일 교환 기록, 관리자 권한 변경, 공유 계정과 퇴직자 계정의 로그인 기록도 확인합니다. 전 직원 비밀번호를 한꺼번에 변경하기 전에 어떤 계정이 실제로 영향을 받았는지와 세션 폐기 방법을 먼저 정하는 것이 좋습니다.

회사 이메일 계정 탈취 대응
회사 이메일 계정 탈취,첫 30분이 피해의 방향을 바꿉니다 7

72시간을 세기 전에 유출 여부와 인지 시점을 기록하세요

회사 이메일 계정 탈취와 개인정보 유출은 서로 관련될 수 있지만 같은 뜻은 아닙니다. 계정에 비정상 접근이 있었다는 사실만으로 모든 개인정보가 유출되었다고 단정해서도 안 되고, 메일이 삭제되지 않았다는 이유로 유출이 없었다고 결론 내서도 안 됩니다.

10. 사고 기록표와 신고·통지 판단표를 동시에 만듭니다

대한민국 개인정보 보호법 체계에서는 개인정보 유출 등을 알게 된 경우 정보주체에 대한 통지와 관계기관 신고 여부를 검토해야 합니다. 현행 시행령은 정보주체 통지를 원칙적으로 72시간 이내에 하도록 정하고 있으며, 일정한 신고 요건에 해당하는 경우 관계기관 신고도 72시간 이내에 하도록 규정합니다. 긴급한 피해 확산 방지 조치가 필요한 경우 등에는 예외와 보완 절차가 적용될 수 있습니다. :contentReference[oaicite:2]{index=2}

신고 요건에는 유출 규모뿐 아니라 민감정보·고유식별정보 포함 여부, 개인정보처리시스템이나 개인정보 처리에 이용하는 정보기기에 대한 외부의 불법 접근으로 유출이 발생했는지 등이 포함될 수 있습니다. 따라서 “1천 명 미만이니 신고 대상이 아니다”라고 단순 판단하면 위험합니다. :contentReference[oaicite:3]{index=3}

판단 질문 확인 자료 다음 행동
개인정보가 포함된 메일에 접근했는가 메일 검색·열람·전달 로그 노출 항목과 정보주체 범위 산정
외부로 전송되거나 내려받아졌는가 전달 주소, 앱 권한, 다운로드 기록 유출 경로와 회수 가능성 검토
민감정보나 고유식별정보가 있었는가 첨부파일과 메일 본문 분류 개인정보보호책임자와 즉시 검토
사실을 언제 알게 되었는가 최초 신고, 관리자 알림, 회의 기록 인지 시점과 판단 근거 문서화
피해 확산 방지 조치를 했는가 계정 차단, 토큰 폐기, 연락 기록 조치 시각과 결과를 계속 갱신

통지와 신고는 같은 절차가 아닙니다

정보주체 통지는 영향을 받은 고객이나 직원에게 유출 항목, 발생 시점과 경위, 피해 예방 방법, 회사의 대응과 문의처를 알리는 절차입니다. 관계기관 신고는 법령상 요건에 따라 개인정보보호위원회 또는 지정 전문기관에 사고 내용을 제출하는 절차입니다.

조사가 끝날 때까지 아무것도 하지 않는 방식도 주의해야 합니다. 구체적인 항목이나 시점을 모두 확인하지 못한 경우에도 우선 확인된 내용을 바탕으로 통지·신고한 뒤 추가 사실을 보완해야 하는 상황이 있을 수 있습니다.

KISA 118과 개인정보 유출 신고 창구를 구분합니다

한국인터넷진흥원 118 상담은 해킹·바이러스와 개인정보 관련 상담 경로를 제공합니다. 침해사고 대응 방향이 불분명하거나 신고 창구를 구분하기 어려울 때 초기 상담에 활용할 수 있습니다. :contentReference[oaicite:4]{index=4}

개인정보 유출 신고가 필요한 경우에는 개인정보 포털의 유출신고 안내에서 신고 방법과 담당 기관을 확인하세요. 개인정보보호위원회는 한국인터넷진흥원을 신고 접수 전문기관으로 안내하고 있습니다. :contentReference[oaicite:5]{index=5}

빠른 판단 기준

“탈취 계정에 개인정보가 있었는가”에서 멈추지 말고, 공격자가 그 정보에 접근하거나 외부로 전달할 수 있었는지, 어떤 로그로 판단했는지까지 기록하세요.

직접 해결과 유료 대응 서비스는 어디서 나뉠까요

모든 계정 탈취 사고에 고가의 포렌식 서비스가 필요한 것은 아닙니다. 관리자 로그가 충분하고 피해 계정이 하나이며, 외부 발송이나 개인정보 접근 흔적이 없다면 내부 담당자가 공식 절차에 따라 초기 복구를 진행할 수 있습니다.

반면 관리자 계정 침해, 다수 계정 확산, 로그 삭제, 송금 피해, 개인정보 포함 메일 접근이 확인되었다면 외부 전문가 비용은 단순한 복구비가 아니라 사고 범위를 증명하고 잘못된 신고 판단을 줄이기 위한 비용에 가깝습니다.

무료 관리자 기능으로 시작해도 되는 경우

  • 피해 계정이 일반 사용자 계정 한 개로 제한된 경우
  • 정상 관리자 계정과 감사 로그에 접근할 수 있는 경우
  • 악성 앱, 전달 규칙과 사기메일 발송 흔적이 없는 경우
  • 개인정보 또는 금융정보 접근 가능성이 낮은 경우
  • 사내에 계정 보안 설정을 이해하는 담당자가 있는 경우

전문 대응업체를 검토할 신호

  • 최고 관리자나 다수 사용자 계정이 함께 탈취된 경우
  • 로그가 삭제되었거나 조사 가능한 기록이 부족한 경우
  • 고객 개인정보, 계약서, 신분증, 급여 또는 금융자료에 접근한 경우
  • 실제 계좌 변경 사기나 송금 피해가 발생한 경우
  • 악성코드, 원격제어 또는 랜섬웨어가 함께 의심되는 경우
  • 법정 통지·신고 여부와 인지 시점을 자체 판단하기 어려운 경우
대응 방식 적합한 상황 비용 구조 계약 전 확인사항
내부 직접 대응 단일 계정, 로그 확보 가능, 피해 제한적 관리자 인력과 기존 보안 도구 활용 담당자 권한, 기록 양식, 공식 절차
원격 보안 점검 설정 검토와 계정 복구 지원이 필요한 경우 시간제 또는 정해진 점검 범위 로그 분석 범위, 결과 보고서 제공 여부
침해사고 대응 다수 계정, 개인정보, 금전 피해 가능성 조사 범위와 투입 인력에 따른 견적 증거 보존, 원인 분석, 재발 방지 범위
디지털 포렌식·법률 협업 소송, 수사, 신고 판단에 증거가 필요한 경우 기기 수, 데이터 양, 긴급도에 따라 변동 증거 취급 절차, 보고서 활용 가능성

견적을 받을 때 물어볼 질문

  • 계정 복구만 하는지, 침입 원인과 피해 범위도 조사하는지
  • 메일, 클라우드 저장소와 사용자 기기 중 어디까지 포함되는지
  • 로그 원본과 조사 결과 보고서를 회사가 받을 수 있는지
  • 개인정보 유출 판단에 필요한 자료를 정리해 주는지
  • 야간·휴일 긴급 대응에 별도 비용이 있는지
  • 재발 방지 설정과 임직원 교육이 계약 범위에 포함되는지

비용을 낭비하지 않는 기준

“해킹 복구”라는 한 줄 견적보다 조사 범위, 산출물, 기기 수, 계정 수와 긴급 대응 비용이 구분된 견적을 받으세요. 가장 싼 업체보다 사고 범위를 설명할 수 있는 업체가 필요한 상황도 있습니다.

피해를 두 번 키우는 흔한 실수

계정 탈취 대응에서 가장 위험한 실수는 아무것도 하지 않는 것이 아닙니다. 한 가지 조치를 하고 사고가 끝났다고 믿는 것입니다.

복구와 조사를 하나만 선택합니다

업무를 빨리 정상화하려고 로그와 규칙을 지워버리거나, 증거를 모으느라 공격자의 접속을 계속 허용하는 경우가 있습니다. 차단 담당자와 조사 담당자를 나누면 두 작업을 병행하기 쉬워집니다.

아래 항목 중 하나라도 해당하면 대응을 다시 확인하세요

  • 감염이 의심되는 기존 기기에서 비밀번호를 변경했다.
  • 전체 세션 폐기 여부를 확인하지 않았다.
  • 복구 이메일과 다중인증 수단을 살펴보지 않았다.
  • 자동 전달과 받은편지함 규칙을 기록 없이 삭제했다.
  • 보낸편지함이 비어 있어 사기메일이 없다고 판단했다.
  • 외부 수신자에게 탈취된 계정으로만 공지했다.
  • 개인정보 유출 여부를 조사하지 않고 신고가 불필요하다고 결론 냈다.
  • 사고 인지 시점과 수행 조치를 문서로 남기지 않았다.

전 직원 비밀번호 변경이 항상 첫 답은 아닙니다

전사 변경이 필요한 사고도 있지만, 원인과 범위를 모른 채 비밀번호만 일괄 변경하면 직원들이 예측하기 쉬운 비밀번호를 급하게 만들거나 같은 감염 기기에서 다시 로그인할 수 있습니다. 영향 계정 차단, 세션 폐기, 기기 점검과 함께 시행해야 효과가 있습니다.

자주 묻는 질문

회사 이메일 비밀번호만 바꾸면 해커의 접속이 바로 끊기나요?

항상 그런 것은 아닙니다. 이미 발급된 로그인 세션, 인증 토큰, 앱 비밀번호 또는 외부 앱 권한이 남아 있을 수 있습니다. 비밀번호 변경과 함께 전체 세션 로그아웃, 토큰 폐기, 앱 권한 점검을 각각 실행하세요.

직원 개인 휴대전화의 회사 메일도 원격 로그아웃할 수 있나요?

사용하는 메일 서비스와 기기 관리 설정에 따라 가능합니다. 관리자 화면의 전체 세션 폐기, 모바일 기기 연결 해제 또는 기기 관리 기능을 확인하세요. 회사가 개인 기기를 직접 초기화할 권한이 있는지는 내부 정책과 등록 방식에 따라 다르므로 구분해야 합니다.

자동 전달 주소를 발견하면 그 주소로 직접 연락해야 하나요?

권장하기 어렵습니다. 해당 주소가 공격자 소유인지, 탈취된 제3자의 주소인지 알 수 없고 조사 사실을 공격자에게 알려줄 수 있습니다. 전달 주소와 관련 설정을 증거로 기록하고 내부 보안담당자나 수사기관, 전문업체와 공유하세요.

공격자가 보낸 메일을 모든 수신자의 받은편지함에서 회수할 수 있나요?

동일한 회사 메일 환경에서는 관리자 삭제 기능을 사용할 수 있는 경우가 있지만 외부 수신자의 메일함까지 완전히 회수하기는 어렵습니다. 회수 성공 여부를 기다리기보다 별도 채널로 위험을 알리고 링크 클릭, 첨부파일 실행, 송금 여부를 확인하는 것이 우선입니다.

거래처가 가짜 계좌로 송금했다면 회사에도 책임이 생길 수 있나요?

책임 여부는 회사의 보안 관리, 사고 인지 후 대응, 거래 과정, 계좌 변경 확인 절차와 당사자별 과실 등에 따라 달라질 수 있습니다. 송금 피해가 발생했다면 자금 회수 조치를 먼저 진행하고, 계약 자료와 연락 기록을 보존한 뒤 변호사에게 구체적인 사실관계를 검토받으세요.

주민등록번호가 없으면 개인정보 유출이 아닌가요?

그렇지 않습니다. 이름, 이메일 주소, 전화번호, 고객번호, 계약 정보처럼 개인을 알아볼 수 있거나 다른 정보와 결합해 식별할 수 있는 정보도 개인정보가 될 수 있습니다. 메일 제목과 본문, 첨부파일을 함께 검토해야 합니다.

메일 열람 여부를 확인할 로그가 없다면 어떻게 판단해야 하나요?

확인되지 않은 사실을 단정하지 말고 접근 가능 시간, 로그인 방식, 메일 검색 기록, 자동 전달, 외부 앱 권한과 다운로드 가능성을 종합해 판단 근거를 남기세요. 로그가 부족한 사실 자체도 사고 기록에 포함하고, 개인정보나 금전 피해 가능성이 크다면 전문가와 공식 기관에 보수적으로 문의하는 편이 좋습니다.

구글 워크스페이스와 마이크로소프트 365의 대응 순서는 다른가요?

메뉴와 관리자 기능은 다르지만 핵심 순서는 비슷합니다. 계정 차단, 활성 세션 폐기, 비밀번호와 인증 수단 재설정, 외부 앱과 전달 규칙 점검, 로그 조사, 수신자 보호 순으로 진행하세요. 실제 메뉴는 각 서비스의 최신 공식 문서를 확인해야 합니다.

지금 15분 안에 사고 기록표부터 만드세요

문서나 스프레드시트를 열고 현재 시각, 최초 발견자, 피해 계정, 이상 징후, 지금까지 수행한 조치를 한 줄씩 적으세요. 정교한 보고서가 아니라 시간이 흐르면서 사실이 섞이는 것을 막는 작은 난간이면 충분합니다.

  1. 피해 계정의 로그인 차단 여부를 확인합니다.
  2. 전체 세션과 인증 토큰 폐기 여부를 기록합니다.
  3. 로그, 보안 알림과 의심 메일 원본을 보존합니다.
  4. 담당자를 계정 복구, 피해 조사, 대외 연락, 법률 검토로 나눕니다.
  5. 30분 뒤 다시 확인할 항목과 담당자 이름을 적습니다.

사고 대응은 한 번의 비밀번호 변경이 아니라, 차단하고 기록하고 확인하는 짧은 동작의 연속입니다. 오늘 한 가지 행동만 한다면 “누가 언제 무엇을 했는가”가 보이는 사고 기록표를 만드는 것부터 시작하세요.

최종 검토: 2026-07