BEC 공격 전문 갱단 vs. 이메일 보안 전문 기업

하필이면 이메일 보안 업체에 사기 메일 보낸 갱단들
같은 수법으로 이메일 주고받으며 역추적...두목 위치까지 파악해

[보안뉴스 문가용 기자] 업보이거나 허술한 작전이거나. 어찌됐든 최근 들어 꽤나 많은 사이버 범죄 단체들이 보안 업체 임원이나 전문가들을 건드렸다가 도리어 정체를 들키고 아지트를 발각당하고 있다.

[이미지 = iclickart]

한 악명 높은 나이지리아와 영국의 BEC(사업 이메일 침해) 공격 단체는 최근 소셜 엔지니어링 사기 작전을 실행했다. 그런데 하필이면 이메일 보안 전문 업체인 애거리(Agari)의 CEO인 라비 카토드(Ravi Kahtod)를 찍었다. 카토드인 척 애거리의 CFO인 레이몬드 림(Raymond Lim)에게 사기 이메일을 보낸 것이다. 8월 7일이었다.

그 후 무슨 일이 있었을까? 애거리가 그에 대한 상세 내용을 발표했다. 애거리는 이메일 보안 전문 업체에 이메일 사기 공격을 시도한 이 대범한 그룹에 런던 블루(London Blue)라는 이름을 붙였다. 수개월 동안 이들을 추적한 결과 내부 구조까지 파악이 완료됐다. “저희는 런던 블루가 사용했던 공격을 그대로 적용했습니다. 레이몬드 림의 비서인 것처럼 행동하며 그들의 메일에 대응해 살살 그들의 정보를 캐낸 것입니다. 그게 생각보다 잘 진행돼서 공격자들의 물리적인 위치까지도 파악하는 데 성공했습니다.”

애거리의 수석 위협 분석가이자 전 FBI 수사관인 크레인 해솔드(Crane Hassold)는 “런던 블루와의 메일 교환을 통해 알아낸 정보에, 저희가 수집한 첩보들을 합해 런던 블루 갱단의 두목에 해당하는 인물 두 명을 파악하는 데 성공했다”며 “런던에서 거주하고 활동하고 있다”고 말한다.

가장 놀랄만한 일은 이들이 무작위로 사기 메일을 살포하는 게 아니라는 것이었다. 최소 두 개의 합법적인 잠재 고객 발굴 서비스를 사용해 공격할 C-레벨 임원들을 골라냈다. “임원의 역할, 위치, 회사 규모 등을 기준으로 공격할 사람들을 선택했습니다. 표적들을 끊임없이 고르기 위해 그런 고객 발굴 서비스를 꾸준히 구독까지 했더군요. 2017년 11월 306명의 ‘잠재적인 표적’이 있는 목록을 받았고, 그 중에 애거리의 CFO가 있었습니다.”

그 외에도 이 306명 중에는 캘리포니아에 위치한 한 사립 대학교, 기업용 데이터 스토리지 업체, 유명 기타 생산 업체, 카지노, 호텔, 중소기업 등의 주요 임원들도 포함되어 있었다. “런던 블루는 총 82개국의 5만 여명의 CFO들을 표적으로 삼아 공격했습니다. 물론 미국에서 가장 많은 공격이 발생했습니다.”

하지만 런던 블루 공격자들은 한 가지를 간과했다. BEC 이메일 공격의 특징이기도 한데, 공격 표적의 실제 이메일 도메인을 스푸핑하지 않았던 것이다. 즉 이메일 헤더에 보낸 사람의 이메일 주소가 노출된 게 아니라 오로지 ‘라비 카토드’라는 이름만 나타났다는 뜻이다. 또한 여느 BEC 공격이 그렇듯, 멀웨어가 사용된 것도 아니었다.

그 첫 메일은 다음과 같은 내용을 담고 있었다.
레이, 오늘 송금할 게 있네. 혹시 지금 가능한지 알려주게. 가능하다면 송금에 필요한 정보들을 전달해주겠네. 카토드로부터

여기서부터 게임이 시작됐다. BEC 공격임을 간파한 애거리는 림의 비서인 알리시아(Alicia)인 것처럼 답 메일을 보냈다.
라비, 레이몬드는 이번 주 출장입니다. 제가 대신 송금을 진행할 수 있을 것도 같습니다. 필요한 정보를 저에게 알려주시겠습니까? 이미 잘 알고 계시겠지만 회사 규정 상 모든 송금은 수요일인 내일 진행될 예정입니다. 혹시 다른 곳에도 송금할 건이 있다면 미리 알려주시기 바랍니다. 내일이 지나면 또 한 달을 기다려야 하거든요.

거기서부터 범인들과의 이메일 교환이 이뤄졌다. 그 과정에서 애거리는 자금 운반책들이 사용하고 있는 계정 정보를 파악해냈다. 하솔드는 “총 20~25명의 자금 운반책들이 있는 것으로 파악됐습니다. 그 중 17명 정도는 미국과 서유럽에 흩어져 있고, 나머지는 나이지리아에 있는 것으로 밝혀졌습니다. 이 운반책들 중 최소 세 명은 전과가 있었고, 두 명은 성범죄 관련 기록이 있었습니다.”

BEC 사업
런던 블루의 BEC 공격은 규모를 갖춘 사업 형태로 진행되고 있었다. “정식 광고 서비스 업체들과 영업 전문 기업까지도 끼고 있었을 정도로 산업화가 되어 있었습니다. 표적을 고르고, 그 표적에 맞는 이메일을 작성하고, 소셜 엔지니어링 공격을 실시하는 것이 체계적으로 이뤄지고 있었고, 돈을 세탁하고 수거하고 배포하는 것까지 정교하게 진행되고 있었습니다. 그냥 허투루 메일 한 번 보내놓고 상대가 속기를 하염없이 기다리는 그런 갱단이 아니었습니다.”

BEC는 현재 사이버 공격자들 사이에서 가장 인기가 높은 공격 유형 중 하나다. FBI의 인터넷 범죄 신고 센터(Internet Crime Complaint Center)에 따르면 BEC 사기로 인한 피해는 총 120억 달러에 다다른다. 애거리는 “BEC 공격을 위한 이메일을 100통 보내면 4명이 속아 피해자가 된다”고 설명한다. “또한 요구하는 금액은 평균 3만 5천 달러였습니다.”

애거리는 영국과 미국의 사법 기관과 협조하여 런던 블루의 구성원들을 확인하기 시작했다. 여기에 두 명의 최고 우두머리가 걸렸다. 물론 아직 체포까지 이뤄지지는 않았다. “체포 작전은 진행 중에 있으며, 체포 이후에는 이 그룹 전체가 와해될 것이라고 보고 있습니다.” 해솔드의 설명이다.

애거리는 런던 블루 외에도 다른 BEC 전문 사기단을 10군데 정도 추적하고 있다. “그 중에서도 런던 블루는 중간 정도 규모인 것으로 보입니다.”

그렇다면 런던 블루는 자기들이 사기에 당하는 걸 정말 몰랐을까? “아마 알고 있었을 겁니다. 그런데 돈 욕심이 워낙 강해서 의심스러운 부분을 그냥 넘어간 것이죠. ‘덫일까’하고 망설이다가도 ‘그래도 돈이 얼만데’하면서 스스로 의심을 제한 것으로 보입니다.”

3줄 요약
1. BEC 공격 그룹 ‘런던 블루’, 하필이면 이메일 보안 전문 업체에 사기 시도.
2. 해당 업체는 BEC 그룹인 걸 알아채고 역으로 사기를 치기 시작, 정보 캐냄.
3. 두목 2명의 신원과 위치까지 파악. 곧 체포될 예정.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)