2021.07.19

CEO 이메일 위조는 옛말... 나날이 교묘해지는 'BEC' 현황 및 예방법

Michael Hill | CSO
‘기업 이메일 침해(Business Email Compromise; BEC)’란 피해자를 속여 기업 정보/시스템 액세스를 노출시키거나, 돈을 건네게 하거나, 회사에 부정적인 영향을 미치는 다른 행위를 하도록 유도하는 이메일 기반의 사이버 표적 공격을 말한다. 

일반적인 무작위 피싱 이메일과 비교해 BEC 공격은 타깃이 구체적이고, 개인적이면서도 문법적으론 정확한 표현을 구사하여 그럴듯하게 보이는 데다가, 긴급한 지시사항을 전달해 이메일을 받은 사람은 이를 믿게 된다. 

英 사이버 보안 업체 ‘레드스캔(Redscan)’의 침투 테스트 부문 책임자 제드 카페츠는 <CSO>와의 인터뷰에서 “최근 언론에는 랜섬웨어가 부각되고 있지만 BEC 공격으로 인한 보안 위협을 잊지 않는 게 중요하다”라면서, “예나 지금이나 BEC 공격은 사이버 범죄자가 많이 사용하는 인기 있는 벡터이며, 탐지하기가 갈수록 어려워지고 있다”라고 말했다. 
 
ⓒGetty Images

통계
FBI의 ‘2020 인터넷 범죄 보고서(2020 Internet Crime Report)’에 따르면 지난 2020년 신고된 BEC 공격은 1만 9,369건이며, 피해액은 18억 달러에 달한다. 공격 건수는 전년 대비 19% 감소했지만 총 손실액과 피해자 1인당 평균 손실액은 전년 대비 각각 5%, 29% 증가했다. 

주요 목적은?
다른 모든 피싱 공격과 마찬가지로 BEC의 목적은 사람들이 정상적인 비즈니스 관련 이메일을 받았다고 착각하게 속여 기업에 유익하거나 필요하다고 생각하는 일을 하도록 하는 것이다.

작동 방식
몇 년 전 BEC가 처음 유명세를 탔을 때 이는 주로 C-레벨(CEO인 경우가 많음)의 이메일 주소를 위조(spoofing)한 다음 재무팀의 누군가에게 신뢰할 수 있는 공급업체의 은행 계좌로 자금을 이체하라는 긴급 요청을 보내는 식이었다. 

표준 절차를 벗어난 비정상적인 결제 프로세스이지만 이메일 주소도 진짜처럼 보이고, 표현도 개인적인 데다가(예: 이름을 기재한 것), ‘일반적인 관행은 아니지만 예기치 못한 오류로 해당 지불이 누락됐기 때문에 즉시 이체가 필요하다’라는 내용까지 나오면 꽤 쉽게 그럴싸한 시나리오가 만들어져서 처리하지 않을 수 없게 된다. 물론 해당 계좌는 사기꾼의 것이다. 

C-레벨 경영진, 재무팀 그리고 심지어 공급업체를 조사하는 데 시간을 투자함으로써 사기꾼은 거액의 돈을 손에 넣게 되는 것이다. 지불이 완료된 자금은 추적해 회수하기 어려우며, 사기꾼의 주머니에 들어가 버리고 만다. 

악의적으로 이득을 취하기 위해 구체적인 기업 표적을 찾아 공격하는 일이 계속되면서 BEC 공격은 더욱더 다양하고 지능적으로 발전하고 있다. 

진화 방식
카페츠는 “여전히 재무팀 직원은 BEC 공격의 가장 큰 표적이다. 하지만 IT팀, HR팀, 영업팀에 대한 공격도 점점 더 많아지고 있다”라고 언급했다. 또한 그에 따르면 BEC 공격은 이제 클라우드 기반 인프라와 서비스를 활용하여 표적을 유인해 암호 자격증명을 노출하도록 설계된 랜딩 페이지를 호스팅한다. 

이어서 그는 “신뢰할 수 있는 서비스(예: 쉐어포인트(Sharepoint))는 차단하기 어려울 수 있다는 점을 알고 있기 때문에 공격자는 이메일과 이에 수반되는 페이로드가 방화벽 정책을 회피할 수 있도록 하는 데 중점을 둔다”라고 말하면서 다음과 같이 설명했다. 

“일단 메일함 해킹에 성공하면 의심을 사지 않도록 서서히 그리고 체계적으로 행동한다. 표적을 도청하기 위해 주고받은 서신의 복사본을 자동으로 제3자 받은 편지함에 보내는 이메일 규칙을 만든다. 이렇게 훔쳐본 정보를 사용해 그럴듯한 요청을 지어내는 것이다.” 

英 데이터 보안 소프트웨어 업체 ‘이그레스(Egress)’의 위협 인텔리전스 부문 VP 잭 채프먼은 정보를 수집해 BEC 공격에 사용하는 방식이 눈에 띄게 발전했다면서, “오픈소스 인텔리전스는 고도로 정교한 BEC 이메일을 만들려는 공격자에게 노다지다. 온라인에서 찾아볼 수 있는 개인 및 기업 관련 정보가 많이 증가했다. 공격자는 소셜미디어 플랫폼과 회사 웹사이트를 통해 이러한 정보에 쉽게 접근할 수 있다”라고 전했다.

이러한 트렌드가 우려되는 이유는 이제 공격자가 이 정보를 고급 자동화 도구와 결합하고 있기 때문이라고 채프먼은 강조했다. 그는 “이 강력한 조합을 통해 해커는 개인정보와 소셜 엔지니어링 전술을 활용하여 조직 그리고 소속돼 있는 개인에게 고도로 정교한 공격을 가하는 자동화된 이메일을 생성할 수 있다”라고 말했다. 

英 사이버 보안 업체 ‘BH 컨설팅(BH Consulting)’의 설립자 브라이언 호난은 코로나19 팬데믹과 그에 따른 원격근무로의 전환이 현재 BEC 공격 트렌드에 큰 영향을 미쳤다고 언급했다. 

그는 “많은 사람이 원격근무를 하는 상황에서 공격자는 개인 이메일 서비스를 사용하여 직원을 사칭해 자연스럽게 급여나 비용 지급 계좌를 바꿔 달라는 요청을 한다”라면서, “이 방법을 사용해 대기업에 납품하는 중소기업을 사칭하기도 한다. 회사 이메일 서버에 원격으로 접속할 수 없어서 개인 이메일 주소를 사용하고 있다는 핑계를 대는 사례를 본 적이 있다”라고 말했다.

일부 공격자는 이메일을 도용해 동료에게 직원 상품용이나 고객 사은품용으로 제공할 기프트 카드를 구매해 달라면서 사회적 거리두기 때문에 직접 전달할 순 없으니 카드 세부 정보를 알려달라고 요청하기도 한다. 

호난은 “가상 카드는 빠르게 취소할 수 있기 때문에 범죄자는 피해자에게 가상 카드보단 실제 카드를 구매해 달라고 한다. 그리고 CVV 번호가 보이게 카드의 앞면과 뒷면의 사진을 보내 달라고 요청한다”라고 설명했다. 

BEC의 영향
BEC 공격이 기업에 얼마나 큰 피해를 줄 수 있는지 그 상한선은 없다. 美 인증기관 섹티고(Sectigo)의 CTO 제이슨 소로코는 하지만 BEC 공격의 목적이 단순하게 자금 탈취에 국한되지 않을 수 있다고 경고했다. 

그는 “간혹 범죄자는 정교한 BEC 공격을 통해 영업 비밀에 접근한 다음 이를 상당한 금액에 팔아넘기기도 한다. 심지어는 BEC 공격으로 기업 시스템에 침입해 멀웨어를 심기도 한다. 이를 통해 전체 시스템이 멈출 수 있다. 이는 회사에 재정적으로는 물론 고객 신뢰, 더 나아가서 규정 준수 측면에서 심각한 손실을 입힐 수 있다”라고 덧붙였다.

예방하기
BEC 공격이 야기할 수 있는 재정적 피해와 평판 훼손은 기업 차원에서 효과적인 예방 및 완화 전략을 마련하는 데 확실한 동기부여 역할을 한다. 채프먼은 고급 기술과 직원 교육을 결합한 접근방식이 필요하다고 조언했다. 

그는 “많은 기업이 아직도 구식 기술을 쓰고 있다. 이를테면 보안 이메일 게이트웨이, 소셜 그래프 기술만 사용하는 최신 도구 등이다. 둘 다 고도로 정교한 공격에는 불충분하다”라고 지적했다. 이어서 “정교하고 교묘한 공격을 막기 위해서는 제로 트러스트 모델을 기반으로 하며, 언어 분석과 머신러닝, 소셜 그래프 기술을 활용하는 휴먼 레이어 보안 솔루션이 필요하다”라고 강조했다. 

아울러 채프먼은 온라인 데이터 공유의 위험성, BEC 공격을 알아채는 방법, 공격자가 사용하는 최신 전술 등에 관해 직원을 대상으로 교육을 실시하라고 권고했다. 

카페츠는 BEC 공격자가 표적으로 삼을 수 있는 주요 계정에 멀티팩터 인증(MFA)을 사용해야 한다고 조언했다. 그는 “MFA는 구현하기 비교적 간단하다. 또한 사용자 암호를 도난당했다면 이는 중요한 통제 수단이 된다”라고 전했다. 

이어서 그는 “구닥다리라고 생각할 수 있지만 지불 요청을 확인하기 위한 수동 프로세스를 마련하는 것 역시 중요한 안전장치다. 이를 일관되게 적용하는 기업이 드물다”라면서, “BEC 공격을 항상 즉각적으로 알아차리기 어려울 수 있기 때문에 전화를 걸어 결제나 은행 계좌 변경을 직접 확인한다면 사기 시도를 식별하고 차단하는 데 도움이 될 것”이라고 덧붙였다. 

소로코는 이메일 서명이 BEC 공격 방지에 효과적이라고 언급했다. 이메일의 실제 출처를 분명하게 보여주고 이메일 내용이 변경되지 않았다는 것을 확인할 수 있어서다. 

그는 “이메일 서명 기술은 단시간 내에 크게 발전했다. 이제는 어떻게 해당 기술을 과거엔 못했던 방식으로 활용할 수 있는지 파악해야 한다”라면서, “교육은 필요하지만 그것만으론 충분하지 않다. 이것이 바로 이메일 서명과 같은 보안 계층이 중요한 이유 중 하나다. 왜냐하면 이는 교육에 포함돼 안전한 행동을 촉진할 수 있기 때문이다.”
 
ciokr@idg.co.kr
 



2021.07.19

CEO 이메일 위조는 옛말... 나날이 교묘해지는 'BEC' 현황 및 예방법

Michael Hill | CSO
‘기업 이메일 침해(Business Email Compromise; BEC)’란 피해자를 속여 기업 정보/시스템 액세스를 노출시키거나, 돈을 건네게 하거나, 회사에 부정적인 영향을 미치는 다른 행위를 하도록 유도하는 이메일 기반의 사이버 표적 공격을 말한다. 

일반적인 무작위 피싱 이메일과 비교해 BEC 공격은 타깃이 구체적이고, 개인적이면서도 문법적으론 정확한 표현을 구사하여 그럴듯하게 보이는 데다가, 긴급한 지시사항을 전달해 이메일을 받은 사람은 이를 믿게 된다. 

英 사이버 보안 업체 ‘레드스캔(Redscan)’의 침투 테스트 부문 책임자 제드 카페츠는 <CSO>와의 인터뷰에서 “최근 언론에는 랜섬웨어가 부각되고 있지만 BEC 공격으로 인한 보안 위협을 잊지 않는 게 중요하다”라면서, “예나 지금이나 BEC 공격은 사이버 범죄자가 많이 사용하는 인기 있는 벡터이며, 탐지하기가 갈수록 어려워지고 있다”라고 말했다. 
 
ⓒGetty Images

통계
FBI의 ‘2020 인터넷 범죄 보고서(2020 Internet Crime Report)’에 따르면 지난 2020년 신고된 BEC 공격은 1만 9,369건이며, 피해액은 18억 달러에 달한다. 공격 건수는 전년 대비 19% 감소했지만 총 손실액과 피해자 1인당 평균 손실액은 전년 대비 각각 5%, 29% 증가했다. 

주요 목적은?
다른 모든 피싱 공격과 마찬가지로 BEC의 목적은 사람들이 정상적인 비즈니스 관련 이메일을 받았다고 착각하게 속여 기업에 유익하거나 필요하다고 생각하는 일을 하도록 하는 것이다.

작동 방식
몇 년 전 BEC가 처음 유명세를 탔을 때 이는 주로 C-레벨(CEO인 경우가 많음)의 이메일 주소를 위조(spoofing)한 다음 재무팀의 누군가에게 신뢰할 수 있는 공급업체의 은행 계좌로 자금을 이체하라는 긴급 요청을 보내는 식이었다. 

표준 절차를 벗어난 비정상적인 결제 프로세스이지만 이메일 주소도 진짜처럼 보이고, 표현도 개인적인 데다가(예: 이름을 기재한 것), ‘일반적인 관행은 아니지만 예기치 못한 오류로 해당 지불이 누락됐기 때문에 즉시 이체가 필요하다’라는 내용까지 나오면 꽤 쉽게 그럴싸한 시나리오가 만들어져서 처리하지 않을 수 없게 된다. 물론 해당 계좌는 사기꾼의 것이다. 

C-레벨 경영진, 재무팀 그리고 심지어 공급업체를 조사하는 데 시간을 투자함으로써 사기꾼은 거액의 돈을 손에 넣게 되는 것이다. 지불이 완료된 자금은 추적해 회수하기 어려우며, 사기꾼의 주머니에 들어가 버리고 만다. 

악의적으로 이득을 취하기 위해 구체적인 기업 표적을 찾아 공격하는 일이 계속되면서 BEC 공격은 더욱더 다양하고 지능적으로 발전하고 있다. 

진화 방식
카페츠는 “여전히 재무팀 직원은 BEC 공격의 가장 큰 표적이다. 하지만 IT팀, HR팀, 영업팀에 대한 공격도 점점 더 많아지고 있다”라고 언급했다. 또한 그에 따르면 BEC 공격은 이제 클라우드 기반 인프라와 서비스를 활용하여 표적을 유인해 암호 자격증명을 노출하도록 설계된 랜딩 페이지를 호스팅한다. 

이어서 그는 “신뢰할 수 있는 서비스(예: 쉐어포인트(Sharepoint))는 차단하기 어려울 수 있다는 점을 알고 있기 때문에 공격자는 이메일과 이에 수반되는 페이로드가 방화벽 정책을 회피할 수 있도록 하는 데 중점을 둔다”라고 말하면서 다음과 같이 설명했다. 

“일단 메일함 해킹에 성공하면 의심을 사지 않도록 서서히 그리고 체계적으로 행동한다. 표적을 도청하기 위해 주고받은 서신의 복사본을 자동으로 제3자 받은 편지함에 보내는 이메일 규칙을 만든다. 이렇게 훔쳐본 정보를 사용해 그럴듯한 요청을 지어내는 것이다.” 

英 데이터 보안 소프트웨어 업체 ‘이그레스(Egress)’의 위협 인텔리전스 부문 VP 잭 채프먼은 정보를 수집해 BEC 공격에 사용하는 방식이 눈에 띄게 발전했다면서, “오픈소스 인텔리전스는 고도로 정교한 BEC 이메일을 만들려는 공격자에게 노다지다. 온라인에서 찾아볼 수 있는 개인 및 기업 관련 정보가 많이 증가했다. 공격자는 소셜미디어 플랫폼과 회사 웹사이트를 통해 이러한 정보에 쉽게 접근할 수 있다”라고 전했다.

이러한 트렌드가 우려되는 이유는 이제 공격자가 이 정보를 고급 자동화 도구와 결합하고 있기 때문이라고 채프먼은 강조했다. 그는 “이 강력한 조합을 통해 해커는 개인정보와 소셜 엔지니어링 전술을 활용하여 조직 그리고 소속돼 있는 개인에게 고도로 정교한 공격을 가하는 자동화된 이메일을 생성할 수 있다”라고 말했다. 

英 사이버 보안 업체 ‘BH 컨설팅(BH Consulting)’의 설립자 브라이언 호난은 코로나19 팬데믹과 그에 따른 원격근무로의 전환이 현재 BEC 공격 트렌드에 큰 영향을 미쳤다고 언급했다. 

그는 “많은 사람이 원격근무를 하는 상황에서 공격자는 개인 이메일 서비스를 사용하여 직원을 사칭해 자연스럽게 급여나 비용 지급 계좌를 바꿔 달라는 요청을 한다”라면서, “이 방법을 사용해 대기업에 납품하는 중소기업을 사칭하기도 한다. 회사 이메일 서버에 원격으로 접속할 수 없어서 개인 이메일 주소를 사용하고 있다는 핑계를 대는 사례를 본 적이 있다”라고 말했다.

일부 공격자는 이메일을 도용해 동료에게 직원 상품용이나 고객 사은품용으로 제공할 기프트 카드를 구매해 달라면서 사회적 거리두기 때문에 직접 전달할 순 없으니 카드 세부 정보를 알려달라고 요청하기도 한다. 

호난은 “가상 카드는 빠르게 취소할 수 있기 때문에 범죄자는 피해자에게 가상 카드보단 실제 카드를 구매해 달라고 한다. 그리고 CVV 번호가 보이게 카드의 앞면과 뒷면의 사진을 보내 달라고 요청한다”라고 설명했다. 

BEC의 영향
BEC 공격이 기업에 얼마나 큰 피해를 줄 수 있는지 그 상한선은 없다. 美 인증기관 섹티고(Sectigo)의 CTO 제이슨 소로코는 하지만 BEC 공격의 목적이 단순하게 자금 탈취에 국한되지 않을 수 있다고 경고했다. 

그는 “간혹 범죄자는 정교한 BEC 공격을 통해 영업 비밀에 접근한 다음 이를 상당한 금액에 팔아넘기기도 한다. 심지어는 BEC 공격으로 기업 시스템에 침입해 멀웨어를 심기도 한다. 이를 통해 전체 시스템이 멈출 수 있다. 이는 회사에 재정적으로는 물론 고객 신뢰, 더 나아가서 규정 준수 측면에서 심각한 손실을 입힐 수 있다”라고 덧붙였다.

예방하기
BEC 공격이 야기할 수 있는 재정적 피해와 평판 훼손은 기업 차원에서 효과적인 예방 및 완화 전략을 마련하는 데 확실한 동기부여 역할을 한다. 채프먼은 고급 기술과 직원 교육을 결합한 접근방식이 필요하다고 조언했다. 

그는 “많은 기업이 아직도 구식 기술을 쓰고 있다. 이를테면 보안 이메일 게이트웨이, 소셜 그래프 기술만 사용하는 최신 도구 등이다. 둘 다 고도로 정교한 공격에는 불충분하다”라고 지적했다. 이어서 “정교하고 교묘한 공격을 막기 위해서는 제로 트러스트 모델을 기반으로 하며, 언어 분석과 머신러닝, 소셜 그래프 기술을 활용하는 휴먼 레이어 보안 솔루션이 필요하다”라고 강조했다. 

아울러 채프먼은 온라인 데이터 공유의 위험성, BEC 공격을 알아채는 방법, 공격자가 사용하는 최신 전술 등에 관해 직원을 대상으로 교육을 실시하라고 권고했다. 

카페츠는 BEC 공격자가 표적으로 삼을 수 있는 주요 계정에 멀티팩터 인증(MFA)을 사용해야 한다고 조언했다. 그는 “MFA는 구현하기 비교적 간단하다. 또한 사용자 암호를 도난당했다면 이는 중요한 통제 수단이 된다”라고 전했다. 

이어서 그는 “구닥다리라고 생각할 수 있지만 지불 요청을 확인하기 위한 수동 프로세스를 마련하는 것 역시 중요한 안전장치다. 이를 일관되게 적용하는 기업이 드물다”라면서, “BEC 공격을 항상 즉각적으로 알아차리기 어려울 수 있기 때문에 전화를 걸어 결제나 은행 계좌 변경을 직접 확인한다면 사기 시도를 식별하고 차단하는 데 도움이 될 것”이라고 덧붙였다. 

소로코는 이메일 서명이 BEC 공격 방지에 효과적이라고 언급했다. 이메일의 실제 출처를 분명하게 보여주고 이메일 내용이 변경되지 않았다는 것을 확인할 수 있어서다. 

그는 “이메일 서명 기술은 단시간 내에 크게 발전했다. 이제는 어떻게 해당 기술을 과거엔 못했던 방식으로 활용할 수 있는지 파악해야 한다”라면서, “교육은 필요하지만 그것만으론 충분하지 않다. 이것이 바로 이메일 서명과 같은 보안 계층이 중요한 이유 중 하나다. 왜냐하면 이는 교육에 포함돼 안전한 행동을 촉진할 수 있기 때문이다.”
 
ciokr@idg.co.kr
 

X